「ここ数年、フィッシング詐欺ってよく聞きますよね」「そうね。じゃあ、『標的型攻撃』っていうのは知ってる?」「何ですか、それ? 初めて聞きました……」
大手総合商社のメデア商事。入社2年目、総務部の山田カナは、昼休みに先輩の葛城レイコからITセキュリティの用語についてレクチャーを受けることになった。
カナ ここ数年「フィッシング詐欺」って、よく聞きますよね。詐欺っていうことは分かるんですけど、どうすれば被害に遭わずに済むのかが分からなくて……。
レイコ ふ〜ん。そもそも「フィッシング詐欺」って何か分かってる?
カナ えっと、悪い人が銀行とかカード会社なんかのふりをして、「登録情報を再登録してください」みたいなメールを送りつけてくるんです。それで、そのメールを信じて、メールに書いてあるサイトにアクセスして個人情報なんかを入力すると、それがそっくり盗まれちゃうっていう詐欺。
レイコ 正解。でもこれって簡単に言っちゃえば「ネット版振り込め詐欺」ってことよね。
カナ そうか。一方的に名乗ってきたヤツが言う情報をうのみにすることで騙されちゃうっていう点では同じですね!
レイコ でしょ? じゃあ、なんで「フィッシング」って言うのかは知ってる?
カナ 釣りの「fishing」だと思うんですけど違うんですか?
レイコ 日本ではカタカナで「フィッシング」って書くから、それで正しいと言ってもいいと思うんだけど、アルファベットで書くと「phishing」になるの。
カナ へぇ。じゃあ「釣り」って意味じゃないんですか?
レイコ 確かに元々はエサをまいて被害者を釣り上げるという意味で「釣り」のfishingってことらしいんだけど、それがphishingと表記するようになったのには諸説あるの。
カナ 諸説? 1つじゃないんですか?
レイコ そう。最もよく知られているのは、詐欺の方法が洗練されている、つまり「sophisticated」だという意味で、その「ph」を「f」の代わりに使ったという説。
カナ う〜ん、分かったような分かんないような……。
レイコ ほかには、昔から同音を別文字で表記する、例えば「You」を「U」、「to」を「2」と書くみたいなルール(?)がスラングにはあって、単にそれに従っただけっていう説もあるの。
カナ こっちの方が何となく納得できます。
レイコ それに「password harvesting fishing」の略なんて説も。
カナ それどういう意味ですか?
レイコ 直訳すれば「パスワードを収穫する釣り」って意味。
カナ ちょっとこじつけっぽいような……。
レイコ ま、結局のところ「釣り」であることには変わりないのよ。
レイコ フィッシングと似たようなもので「標的型攻撃」っていうのもあるんだけど聞いたことある?
カナ 何ですか、それ? 初めて聞きました。
レイコ 特定の企業や個人宛に、実在の会社や人物を騙った偽メールを送って、ウイルスに感染させたり、個人情報を盗み出したりするの。本物のフリをして相手を信用させて騙すところはフィッシングと同じだけど、狙う対象とメールの内容がフィッシングとはちょっと違う。一般的にフィッシングっていうと、不特定多数に偽メールを送りつけて、そのうちの何人かが引っかかればOKという詐欺手法だけど、標的型攻撃は特定の企業や個人を対象にして、その狙う相手が騙されやすいようにメールの内容が工夫されてるのよ。
カナ どんな工夫なんですか?
レイコ 例えば、見ず知らずの他人からワードの文書とか添付ファイルが送りつけられてきても、イマドキの社会人なら怪しいと思って開かないでしょ?
カナ はい。
レイコ でも自分の会社の取締役を名乗って「来年度の予算案なので目を通しておくように」なんて書かれたメールが送られてきたら、添付ファイルを無条件に開いちゃう人は多いんじゃない? そういう人の油断をついた攻撃ってことなの。
カナ うわあ、イヤラシイ……。それでその添付ファイルを開くとマルウェアに感染しちゃうわけですね……。
カナ それで結局、そういうものから身を守るにはどうしたらいいんですか?
レイコ メールを信用しない(きっぱり)。
カナ 簡単におっしゃいますけど、それじゃ仕事にならないですよっ!(怒)
レイコ まあ、そうだけど、完璧な防御策としては「信用できないメールは使わない」ってことしかないわけ。
カナ そんなあ……。
レイコ 現実的な対策としては、フィッシングなら、まずメールに書かれた URLが正しいものか確認することは大事ね。例えば、Googleだったら「http://www.google.com/……」でなきゃいけないのに、そこが「http://www.google.com.foo.bar.org/……」みたいなものだったら、ぱっと見た感じではGoogleだけど偽者だな、とか。
カナ う〜ん、難しいです(涙)
レイコ 「http://」と次の「/」の間の文字列をチェックすればいいだけなんだけどね。あとは最近のブラウザにはフィッシング対策機能がついているので、それを使うって手もある。
カナ フィッシング対策機能?
レイコ フィッシングに使われている偽サイトの「URL」が登録されたデータベースがあるの。それと照らし合わせて、これからアクセスしようとしているサイトが偽サイトかどうかを判定してくれるっていう機能。
カナ それなら簡単でいいですね♪
レイコ でもこれもデータベースに登録されていないような出来立てほやほやの偽サイトには使えないかもね。
カナ ええ〜(涙)
レイコ それからフィッシングにしろ、標的型攻撃にしろ、送られてきたメールが本物かどうかを確認するのは重要ね。
カナ はい、それは分かります。でもどうやって?
レイコ ある程度の専門知識がある人ならば、メールに付与されている情報から、かなりの確度で判定できるんだけど、普通の人がそれをやるのは大変かな……。
カナ わたしでもできる方法ってありますか?
レイコ 誰でもできる方法としては、想定外のタイミングでメールを受け取った場合や想定外の添付ファイルが送りつけられてきた場合に要注意。例えば、普段そんなメールを送って来ない部長や社長から「来年度の予算を見たまえ」なんていうメールが来たら怪しいわね。そういう時には、送信元に電話などのメール以外の方法で確認するっていうのがあるけど。
カナ なるほど。でも常にそんなことやってたら仕事になんないかも。
レイコ ま、とにかく、誰からのメールであっても添付ファイルは不用意に開かないこと、書かれているURLにむやみにアクセスしないこと、これしかないわね。とりあえず、届いたメールにちょっとでも疑問を感じたら、まず情シスに相談するってのが一番。
カナ そうします……。
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築のコンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
Copyright © ITmedia, Inc. All Rights Reserved.