フィッシング 【phishing】 フィッシング詐欺
概要
フィッシング(phishing)とは、金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説がある。フィッシングの代表的な手口は以下のとおり。メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンクが載っている。
リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップページは「偽者」である。本物を見て安心した利用者がポップアップに表示された入力フォームに暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送信される。
フィッシング攻撃者は、URLに使用される特殊な書式を利用してあたかも本物のドメインにリンクしているかのように見せたり、ポップアップウィンドウのアドレスバーを非表示にするなど非常に巧妙な手口を利用しており、「釣られる」被害者が続出している。
フィッシングへの対応策としては、送信者欄を信用しない、フォームの送受信にSSLが利用されているか確認する、メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号やURLなどから案内が本物かどうかを確認する、などが挙げられる。
スピアフィッシング (spear phishing)
特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺。もとは魚釣りの用語で、銛(もり)や水中銃で魚を突き刺す釣り方のこと。
大手銀行のオンラインバンキングなど有名なサービスの不特定多数の利用者を狙う通常のフィッシングとは異なり、対象の素性を調査した上で、その個人に合わせた手法が個別に考案されるのが特徴である。
例えば、大企業の支店に勤務する社員に「本社の情報システム部の者だが調査に必要なのであなたのパスワードを教えてほしい」といったメールを送り、だまされた社員から聞き出したパスワードを使ってその企業のネットワークに不正侵入するといった手が使われる。他にも、上司や取引先に成りすまして業務上の機密情報や知的財産を詐取するといった事例が報告されている。
ファーミング詐欺 (pharming)
有名な金融機関やオンラインショップのサイトをそっくりに真似た偽のサイトを作り、DNSサーバの情報を書き換えることで利用者を誘導し、暗証番号やクレジットカード番号などを詐取する詐欺。フィッシング詐欺の手口の一つ。
通常、Webサイトにアクセスするにはドメイン名を含んだURLを入力するが、ドメイン名は通信事業者などが管理するDNSサーバによってIPアドレスに変換され、対応するIPアドレスを持ったサーバにアクセスすることになる。
ファーミングを行う攻撃者は、このDNSサーバの管理するドメインとアドレスの対応表を不正に書き換え(DNSキャッシュポイズニング)、利用者がドメインを問い合わせると偽のアドレスを返すよう細工する。
利用者は自分の利用している金融機関などの正しいURLにアクセスしているつもりで、攻撃者の運用するそっくりな偽のサイトに誘導され、不正に情報を詐取される。なお、パソコンの中にもドメインとアドレスを対応付けるhostsファイルというファイルが保存されており、ウイルスなどを使ってこれを書き換えることで偽のサイトに誘導する手法もある。
フィッシング詐欺は偽の案内メールなどで利用者を「一本釣り」にする手法だが、DNSサーバに不正な情報を流すことでそのサーバを利用する利用者を丸ごと偽のサイトに誘導する様子を農業(farming)に例え、ファーミングと名付けられた。綴りが本来の "farming" ではなく "pharming" なのはフィッシング詐欺を "phishing" と綴るのを踏襲したもので、"sophisticated" (洗練された) が語源と言われている。
共有ボタンをタップ