Bizコンパス

巧妙化する最近のフィッシングの傾向と効果的な対策
2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

著者 北河 拓士

 国内でのフィッシングの被害が相次いでいます。本連載でもフィッシング対策について何度か触れてきましたが、再度それらをまとめてみたいと思います。

 

フィッシングとは?

 フィッシング(Phishing)とは、実在する組織を騙ったメールなどにより、本物そっくりの偽サイトに誘導し、アカウント情報(ユーザID、パスワード等)やクレジットカード情報を入力させ、騙し取る行為です。

(マルウェアに感染させることを目的としたメールも、フィッシング・メールに含めることもありますが、今回はアカウント情報やクレジットカード情報を詐取するものに限定します。)

 最近では、スマートフォンのSMS(ショート・メッセージ・サービス)を用いたフィッシングも増えており、SMSとPhishingを合わせてスミッシング(Smishing)と呼ばれることもあります。

 フィッシングでアカウント情報やクレジットカード情報を詐取されると、個人情報の悪用や、口座からの送金や物品購入、クレジットカードの不正利用などの金銭被害が生じる恐れがあります。よって、危険性や正しい対処法を理解し、警戒を怠らないことが重要です。

 最近のフィッシング攻撃は非常に巧妙になっていると言われます。その特徴を見てみましょう。

 

【最近のフィッシングの特徴1】不自然さのない日本語が使われている

 以前は、フィッシング・メールは英語や機械翻訳したような不自然な日本語のものが多く、あやしいメールに注意していれば防ぐことができました。しかし、現在では、日本語として不自然さのない文面のものが増えています。過去に送信された正規のメールをコピーして利用されることもあり、文面だけでフィッシングと容易に判断できなくなっています。

 

【最近のフィッシングの特徴2】メールクライアントに表示される差出人は正規のものが使われる

 メールクライアントに表示される「送信元」は、偽装が可能と思って下さい。フリーメールのアカウントや類似のドメインのアカウントからフィッシング・メールが送信されることもありますが、正しい「送信元ドメイン」であってもなりすまされている可能性があります。

 メールの送信元(From)には「エンベロープFrom」と「ヘッダFrom」の2種類が存在します。郵便の封筒に書かれた差出人に相当するのが「エンベロープFrom」で、封筒の中の便箋に書かれた差出人に相当するのが「ヘッダFrom」です。メールクライアントに表示される送信元は「ヘッダFrom」の方です。「ヘッダFrom」は送信者が自由に設定できるため、簡単になりすまし可能です。

 送信ドメインを検証するSPF(Sender Policy Framework)という仕組みは、日本でもかなり普及しています。SPFはインターネット標準(RFC)では、「エンベロープFrom」の検証が必須とされており、メールクライアントに表示される「ヘッダFrom」は検証しません(ただし、ドコモのように「ヘッダFrom」をSPFで検証している独自の実装もあります)。

「ヘッダFrom」の偽装を防ぐ仕組みとしては、DKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication, Reporting & Conformance)もありますが、現時点では日本でのDMARC普及率はまだ低く、特に送信側でDMACRポリシーを「reject(拒否)」に設定しているところや受信側でDMARCポリシーに基づいて処理を行っているところはごく少数です。よって、「ヘッダFrom」の偽装が受信側で拒否されることは現時点ではあまり期待できません。

 メールのヘッダ情報を詳しく見れば、「送信元」が偽装されているかどうかを判断することは可能ですが、ある程度の専門知識が必要で、一般の人が判別するのは難しいでしょう。

 

【最近のフィッシングの特徴3】SMSの発信元も正規と同じものが使われることがある

 SMSを利用したフィッシングでは、利用にあたっての審査もなく、匿名や偽名で利用可能な国際網経由の海外のSMS配信サービスが使われることが多くなっています。海外のSMS配信サービスでは、送信元に任意のアルファベットを指定できるものもあるため、実在する組織名を発信元としたフィッシングSMSが送信されることがあります。

 正規のSMSがアルファベットの発信元を使用している場合、同一の発信元を使われるとスマホのメッセージアプリでは同一のスレッドに表示されるため発信元だけでは本物かの区別がつきません。

ドコモ公式を装ったSMSのフィッシングの例
(https://www.nttdocomo.co.jp/info/spam_mail/column/20190617/より)

 

【最近のフィッシングの特徴4】フィッシング・サイトは本物と見分けがつかない

 本物のWebサイトのコンテンツを複製すれば、全く同じ見た目の偽サイトを簡単に作成することが可能です。よって、サイトの見た目から本物のサイトかフィッシング・サイトかを判断することは困難です。

 

【最近のフィッシングの特徴5】フィッシング・サイトにもHTTPSが使われている… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第18回

マルチクラウドの活用に必要なクラウドマネジメントとは?