フィッシング詐欺とは?

知らないとヤバイ!PCとスマホの情報セキュリティーの話

 フィッシング詐欺は、詐欺とありますが、実際にはトロイの木馬やブラウザハイジャッカーなどが関係している事も多いため、ウイルスなどのマルウェアによる犯行などもあるサイバー犯罪となっています。これは例えば、インターネット上などで、価値のある情報、メールアドレスやパソワードやクレジットカードの情報を奪うために行われる詐欺行為ですので、典型的な例では、とかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われます。

フィッシング詐欺の経緯と現状

 主にアメリカで被害が急増していたフィッシング詐欺ですが、実際に10万ドルをフィッシングサイトに振り込んでしまった被害者がいるほどまでに、その被害は大規模化しています。イギリスのメッセージラボ社の調査によると、最初期は月間約280件の事件数であったのにもかかわらず、たったの一年で月間約22万件もの被害をだしているというのです。これは迷惑メールの新たな形態としても目立つようになってきており、日本でも2004年12月に国内初のフィッシング詐欺の被害が発生するとその被害数は莫大的に増えているといわれています。

 日本でのフィッシング詐欺の例として、2005年11月に千葉銀行を騙り各企業へCD-ROMを郵送し、そのCD-ROMをパソコンに入れるとフィッシングサイトに勝手に繋がり金を騙し取られる事件が発生しました。さらに国内各大手銀行のネットバンキングサービスに対して、常駐したマルウェアが偽のログイン画面をポップアップして暗証番号等を入力させるという手口で、不法に預金を引き出される被害が発生してしまいました。

 近年ではYahoo!等のポータルサイトにおいて、インターネットオークション会員やウォレット等の様々なサービスが、ひとつのIDとパスワードに集約されて提供されている事情もあってか、これらのアカウント乗っ取りを目的としたフィッシング詐欺と見られる無差別送信のメールや、偽のサイトが報告されていますし、アカウントが乗っ取られれば、自分の名前で嘘のオークション出品物が出されたりするリスクもあることから、出品者から出品物を騙し取るのに利用されたり、二次的にオークション詐欺の片棒を担がされる事態に陥るおそれがあります。

手口の概要

 この詐欺の殆どは、悪意の第三者が会員制ウェブサイトや有名企業を装い、「ユーザーアカウントの有効期限が近づいています」や「新規サービスへの移行のため、登録詳細の再入力をお願いします」、または「システムのアップデートが必要です」などのような本物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールを送りつけ、クレジットカードの会員番号といったような個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを獲得することを目的とています。特にこのメールなどが、実際の公式のメールを参考に作られていることが多く、素人目には見ぬくことが出来ないという実情もあります。また、DNS書き換え等により、正しいURLを入力しているのに偽のウェブサイトに誘導されてしまうというファーミングという類似手法もあります。

 これによって実際には詐欺メールなどが送られてこなくともフィッシング詐欺の被害にあってしまうということや、結果として架空請求詐欺や預金の引き下ろし・成り済まし等に利用され、多重に被害者となってしまう、または間接的に加害者になってしまうケースも目立ってきています。

対処方法

 まず真っ先にできることは、クレジットカード番号や暗証番号、パスワード、その他個人情報を入力するよう促されたら、自身が今アクセスしているサイトが偽サイトではないか、本物であるかを今一度確認することが必要になります。しかし、DNS書き換えなどが行われていた場合には用意に判断がつかないという場合もあるかもしれません。その場合はSSLという暗号通信が利用されているか? それがしっかりとしたそのサービスの物となっているかというのを確認するという手段が有効です。またウェブページのプロパティーを参照してみるというのもひとつの手で、アドレスバーのURLを偽装するタイプのものでも、実際にプロパティーを見てみると全く別のURLになっていたりすることもあるからです。(ただし、そこも偽装されている可能性があるので判断基準の一つとするに留めること)また、ウェブブラウザのセキュリティホールを改善するために利用しているウェブブラウザを最新版にするのもいい方法です。

なお最近では、正式なサイトも偽のサイトも、サブドメインとドメイン名が長く続いているために非常に紛らわしい物もあるため、ぱっと見ただけでは即座に判断が付かないケースも発生しています。これに対する予防策は、正規のサイトのトップページからリンクを辿る方法が有効であります。さらに利用しているWebブラウザやウイルス対応ソフトにフィッシング対応機能があるのであればはそれを有効にすることも重要になってくるかと思います。

 しかし、もしもこれがCD-Rを送り付けてくるようなソーシャルエンジニアリングのような手法であった場合にはこれでは防げません。もしも不審なCD-Rが送られてきても、決してパソコンの中には入れないことがセキュリティーの面では重要だと言えるでしょう。また、キーロガーなどを用いてコンピュータのキー入力を盗まれていたなんてケースもありますので、物理面とソフト面、両方の警戒を怠らないように気をつけましょう。