あなたをターゲットにしたフィッシング詐欺、“釣られない”ためにどうする?キーワードで学ぶセキュリティの基礎

「ここ数年、フィッシング詐欺ってよく聞きますよね」「そうね。じゃあ、『標的型攻撃』っていうのは知ってる?」「何ですか、それ? 初めて聞きました……」

» 2009年04月27日 19時20分 公開
[山賀正人,Business Media 誠]

 大手総合商社のメデア商事。入社2年目、総務部の山田カナは、昼休みに先輩の葛城レイコからITセキュリティの用語についてレクチャーを受けることになった

フィッシング詐欺=ネット版振り込め詐欺


カナ ここ数年「フィッシング詐欺」って、よく聞きますよね。詐欺っていうことは分かるんですけど、どうすれば被害に遭わずに済むのかが分からなくて……。

レイコ ふ〜ん。そもそも「フィッシング詐欺」って何か分かってる?

カナ えっと、悪い人が銀行とかカード会社なんかのふりをして、「登録情報を再登録してください」みたいなメールを送りつけてくるんです。それで、そのメールを信じて、メールに書いてあるサイトにアクセスして個人情報なんかを入力すると、それがそっくり盗まれちゃうっていう詐欺。

レイコ 正解。でもこれって簡単に言っちゃえば「ネット版振り込め詐欺」ってことよね。

カナ そうか。一方的に名乗ってきたヤツが言う情報をうのみにすることで騙されちゃうっていう点では同じですね!

【コラム】フィッシング詐欺の語源は、釣り? 洗練?

レイコ でしょ? じゃあ、なんで「フィッシング」って言うのかは知ってる?

カナ 釣りの「fishing」だと思うんですけど違うんですか?

レイコ 日本ではカタカナで「フィッシング」って書くから、それで正しいと言ってもいいと思うんだけど、アルファベットで書くと「phishing」になるの。

カナ へぇ。じゃあ「釣り」って意味じゃないんですか?

レイコ 確かに元々はエサをまいて被害者を釣り上げるという意味で「釣り」のfishingってことらしいんだけど、それがphishingと表記するようになったのには諸説あるの。

カナ 諸説? 1つじゃないんですか?

レイコ そう。最もよく知られているのは、詐欺の方法が洗練されている、つまり「sophisticated」だという意味で、その「ph」を「f」の代わりに使ったという説。

カナ う〜ん、分かったような分かんないような……。

レイコ ほかには、昔から同音を別文字で表記する、例えば「You」を「U」、「to」を「2」と書くみたいなルール(?)がスラングにはあって、単にそれに従っただけっていう説もあるの。

カナ こっちの方が何となく納得できます。

レイコ それに「password harvesting fishing」の略なんて説も。

カナ それどういう意味ですか?

レイコ 直訳すれば「パスワードを収穫する釣り」って意味。

カナ ちょっとこじつけっぽいような……。

レイコ ま、結局のところ「釣り」であることには変わりないのよ。


「来年度の予算案なので目を通しておくように」でだます「標的型攻撃」

レイコ フィッシングと似たようなもので「標的型攻撃」っていうのもあるんだけど聞いたことある?

カナ 何ですか、それ? 初めて聞きました。

レイコ 特定の企業や個人宛に、実在の会社や人物を騙った偽メールを送って、ウイルスに感染させたり、個人情報を盗み出したりするの。本物のフリをして相手を信用させて騙すところはフィッシングと同じだけど、狙う対象とメールの内容がフィッシングとはちょっと違う。一般的にフィッシングっていうと、不特定多数に偽メールを送りつけて、そのうちの何人かが引っかかればOKという詐欺手法だけど、標的型攻撃は特定の企業や個人を対象にして、その狙う相手が騙されやすいようにメールの内容が工夫されてるのよ。

カナ どんな工夫なんですか?

レイコ 例えば、見ず知らずの他人からワードの文書とか添付ファイルが送りつけられてきても、イマドキの社会人なら怪しいと思って開かないでしょ?

カナ はい。

レイコ でも自分の会社の取締役を名乗って「来年度の予算案なので目を通しておくように」なんて書かれたメールが送られてきたら、添付ファイルを無条件に開いちゃう人は多いんじゃない? そういう人の油断をついた攻撃ってことなの。

カナ うわあ、イヤラシイ……。それでその添付ファイルを開くとマルウェアに感染しちゃうわけですね……。

普段メールしない人から普段メールしない内容で受信したら怪しい!?

カナ それで結局、そういうものから身を守るにはどうしたらいいんですか?

レイコ メールを信用しない(きっぱり)。

カナ 簡単におっしゃいますけど、それじゃ仕事にならないですよっ!(怒)

レイコ まあ、そうだけど、完璧な防御策としては「信用できないメールは使わない」ってことしかないわけ。

カナ そんなあ……。

レイコ 現実的な対策としては、フィッシングなら、まずメールに書かれた URLが正しいものか確認することは大事ね。例えば、Googleだったら「http://www.google.com/……」でなきゃいけないのに、そこが「http://www.google.com.foo.bar.org/……」みたいなものだったら、ぱっと見た感じではGoogleだけど偽者だな、とか。

カナ う〜ん、難しいです(涙)

レイコ 「http://」と次の「/」の間の文字列をチェックすればいいだけなんだけどね。あとは最近のブラウザにはフィッシング対策機能がついているので、それを使うって手もある。

カナ フィッシング対策機能?

レイコ フィッシングに使われている偽サイトの「URL」が登録されたデータベースがあるの。それと照らし合わせて、これからアクセスしようとしているサイトが偽サイトかどうかを判定してくれるっていう機能。

カナ それなら簡単でいいですね♪

レイコ でもこれもデータベースに登録されていないような出来立てほやほやの偽サイトには使えないかもね。

カナ ええ〜(涙)

レイコ それからフィッシングにしろ、標的型攻撃にしろ、送られてきたメールが本物かどうかを確認するのは重要ね。

カナ はい、それは分かります。でもどうやって?

レイコ ある程度の専門知識がある人ならば、メールに付与されている情報から、かなりの確度で判定できるんだけど、普通の人がそれをやるのは大変かな……。

カナ わたしでもできる方法ってありますか?

レイコ 誰でもできる方法としては、想定外のタイミングでメールを受け取った場合や想定外の添付ファイルが送りつけられてきた場合に要注意。例えば、普段そんなメールを送って来ない部長や社長から「来年度の予算を見たまえ」なんていうメールが来たら怪しいわね。そういう時には、送信元に電話などのメール以外の方法で確認するっていうのがあるけど。

カナ なるほど。でも常にそんなことやってたら仕事になんないかも。

レイコ ま、とにかく、誰からのメールであっても添付ファイルは不用意に開かないこと、書かれているURLにむやみにアクセスしないこと、これしかないわね。とりあえず、届いたメールにちょっとでも疑問を感じたら、まず情シスに相談するってのが一番。

カナ そうします……。

今日のまとめ

  1. 本物のフリをした偽メールや偽サイトを使った攻撃に「フィッシング」と「標的型攻撃」「スピアフィッシング」がある。
  2. これらの攻撃に対しては、届いたメールをむやみに信用しないという以外に決定的な対策はない。

著者紹介 山賀正人(やまが・まさひと)

 セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築のコンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら


関連キーワード

ブログ | SNS | Web2.0 | セキュリティ | 匿名 | ブラウザ | ITセキュリティ | 会員制 | 検索 | 総務 | 不安 | 情報漏洩 | 便利 | 暴露ウイルス | ファイル交換ソフト | mixi(ミクシィ) | P2P | プログラミング | プレイステーション 2 | PSP | 検索エンジン | ストーカー | 電話 | 機密情報


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ