国内でのフィッシングの被害が相次いでいます。本連載でもフィッシング対策について何度か触れてきましたが、再度それらをまとめてみたいと思います。
フィッシングとは?
フィッシング(Phishing)とは、実在する組織を騙ったメールなどにより、本物そっくりの偽サイトに誘導し、アカウント情報(ユーザID、パスワード等)やクレジットカード情報を入力させ、騙し取る行為です。
(マルウェアに感染させることを目的としたメールも、フィッシング・メールに含めることもありますが、今回はアカウント情報やクレジットカード情報を詐取するものに限定します。)
最近では、スマートフォンのSMS(ショート・メッセージ・サービス)を用いたフィッシングも増えており、SMSとPhishingを合わせてスミッシング(Smishing)と呼ばれることもあります。
フィッシングでアカウント情報やクレジットカード情報を詐取されると、個人情報の悪用や、口座からの送金や物品購入、クレジットカードの不正利用などの金銭被害が生じる恐れがあります。よって、危険性や正しい対処法を理解し、警戒を怠らないことが重要です。
最近のフィッシング攻撃は非常に巧妙になっていると言われます。その特徴を見てみましょう。
【最近のフィッシングの特徴1】不自然さのない日本語が使われている
以前は、フィッシング・メールは英語や機械翻訳したような不自然な日本語のものが多く、あやしいメールに注意していれば防ぐことができました。しかし、現在では、日本語として不自然さのない文面のものが増えています。過去に送信された正規のメールをコピーして利用されることもあり、文面だけでフィッシングと容易に判断できなくなっています。
【最近のフィッシングの特徴2】メールクライアントに表示される差出人は正規のものが使われる
メールクライアントに表示される「送信元」は、偽装が可能と思って下さい。フリーメールのアカウントや類似のドメインのアカウントからフィッシング・メールが送信されることもありますが、正しい「送信元ドメイン」であってもなりすまされている可能性があります。
メールの送信元(From)には「エンベロープFrom」と「ヘッダFrom」の2種類が存在します。郵便の封筒に書かれた差出人に相当するのが「エンベロープFrom」で、封筒の中の便箋に書かれた差出人に相当するのが「ヘッダFrom」です。メールクライアントに表示される送信元は「ヘッダFrom」の方です。「ヘッダFrom」は送信者が自由に設定できるため、簡単になりすまし可能です。
送信ドメインを検証するSPF(Sender Policy Framework)という仕組みは、日本でもかなり普及しています。SPFはインターネット標準(RFC)では、「エンベロープFrom」の検証が必須とされており、メールクライアントに表示される「ヘッダFrom」は検証しません(ただし、ドコモのように「ヘッダFrom」をSPFで検証している独自の実装もあります)。
「ヘッダFrom」の偽装を防ぐ仕組みとしては、DKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication, Reporting & Conformance)もありますが、現時点では日本でのDMARC普及率はまだ低く、特に送信側でDMACRポリシーを「reject(拒否)」に設定しているところや受信側でDMARCポリシーに基づいて処理を行っているところはごく少数です。よって、「ヘッダFrom」の偽装が受信側で拒否されることは現時点ではあまり期待できません。
メールのヘッダ情報を詳しく見れば、「送信元」が偽装されているかどうかを判断することは可能ですが、ある程度の専門知識が必要で、一般の人が判別するのは難しいでしょう。
【最近のフィッシングの特徴3】SMSの発信元も正規と同じものが使われることがある
SMSを利用したフィッシングでは、利用にあたっての審査もなく、匿名や偽名で利用可能な国際網経由の海外のSMS配信サービスが使われることが多くなっています。海外のSMS配信サービスでは、送信元に任意のアルファベットを指定できるものもあるため、実在する組織名を発信元としたフィッシングSMSが送信されることがあります。
正規のSMSがアルファベットの発信元を使用している場合、同一の発信元を使われるとスマホのメッセージアプリでは同一のスレッドに表示されるため発信元だけでは本物かの区別がつきません。

ドコモ公式を装ったSMSのフィッシングの例
(https://www.nttdocomo.co.jp/info/spam_mail/column/20190617/より)
【最近のフィッシングの特徴4】フィッシング・サイトは本物と見分けがつかない
本物のWebサイトのコンテンツを複製すれば、全く同じ見た目の偽サイトを簡単に作成することが可能です。よって、サイトの見た目から本物のサイトかフィッシング・サイトかを判断することは困難です。
【最近のフィッシングの特徴5】フィッシング・サイトにもHTTPSが使われている… 続きを読む