Bizコンパス

巧妙化する最近のフィッシングの傾向と効果的な対策
2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

著者 北河 拓士

 国内でのフィッシングの被害が相次いでいます。本連載でもフィッシング対策について何度か触れてきましたが、再度それらをまとめてみたいと思います。

 

フィッシングとは?

 フィッシング(Phishing)とは、実在する組織を騙ったメールなどにより、本物そっくりの偽サイトに誘導し、アカウント情報(ユーザID、パスワード等)やクレジットカード情報を入力させ、騙し取る行為です。

(マルウェアに感染させることを目的としたメールも、フィッシング・メールに含めることもありますが、今回はアカウント情報やクレジットカード情報を詐取するものに限定します。)

 最近では、スマートフォンのSMS(ショート・メッセージ・サービス)を用いたフィッシングも増えており、SMSとPhishingを合わせてスミッシング(Smishing)と呼ばれることもあります。

 フィッシングでアカウント情報やクレジットカード情報を詐取されると、個人情報の悪用や、口座からの送金や物品購入、クレジットカードの不正利用などの金銭被害が生じる恐れがあります。よって、危険性や正しい対処法を理解し、警戒を怠らないことが重要です。

 最近のフィッシング攻撃は非常に巧妙になっていると言われます。その特徴を見てみましょう。

 

【最近のフィッシングの特徴1】不自然さのない日本語が使われている

 以前は、フィッシング・メールは英語や機械翻訳したような不自然な日本語のものが多く、あやしいメールに注意していれば防ぐことができました。しかし、現在では、日本語として不自然さのない文面のものが増えています。過去に送信された正規のメールをコピーして利用されることもあり、文面だけでフィッシングと容易に判断できなくなっています。

 

【最近のフィッシングの特徴2】メールクライアントに表示される差出人は正規のものが使われる

 メールクライアントに表示される「送信元」は、偽装が可能と思って下さい。フリーメールのアカウントや類似のドメインのアカウントからフィッシング・メールが送信されることもありますが、正しい「送信元ドメイン」であってもなりすまされている可能性があります。

 メールの送信元(From)には「エンベロープFrom」と「ヘッダFrom」の2種類が存在します。郵便の封筒に書かれた差出人に相当するのが「エンベロープFrom」で、封筒の中の便箋に書かれた差出人に相当するのが「ヘッダFrom」です。メールクライアントに表示される送信元は「ヘッダFrom」の方です。「ヘッダFrom」は送信者が自由に設定できるため、簡単になりすまし可能です。

 送信ドメインを検証するSPF(Sender Policy Framework)という仕組みは、日本でもかなり普及しています。SPFはインターネット標準(RFC)では、「エンベロープFrom」の検証が必須とされており、メールクライアントに表示される「ヘッダFrom」は検証しません(ただし、ドコモのように「ヘッダFrom」をSPFで検証している独自の実装もあります)。

「ヘッダFrom」の偽装を防ぐ仕組みとしては、DKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication, Reporting & Conformance)もありますが、現時点では日本でのDMARC普及率はまだ低く、特に送信側でDMACRポリシーを「reject(拒否)」に設定しているところや受信側でDMARCポリシーに基づいて処理を行っているところはごく少数です。よって、「ヘッダFrom」の偽装が受信側で拒否されることは現時点ではあまり期待できません。

 メールのヘッダ情報を詳しく見れば、「送信元」が偽装されているかどうかを判断することは可能ですが、ある程度の専門知識が必要で、一般の人が判別するのは難しいでしょう。

 

【最近のフィッシングの特徴3】SMSの発信元も正規と同じものが使われることがある

 SMSを利用したフィッシングでは、利用にあたっての審査もなく、匿名や偽名で利用可能な国際網経由の海外のSMS配信サービスが使われることが多くなっています。海外のSMS配信サービスでは、送信元に任意のアルファベットを指定できるものもあるため、実在する組織名を発信元としたフィッシングSMSが送信されることがあります。

 正規のSMSがアルファベットの発信元を使用している場合、同一の発信元を使われるとスマホのメッセージアプリでは同一のスレッドに表示されるため発信元だけでは本物かの区別がつきません。

ドコモ公式を装ったSMSのフィッシングの例
(https://www.nttdocomo.co.jp/info/spam_mail/column/20190617/より)

 

【最近のフィッシングの特徴4】フィッシング・サイトは本物と見分けがつかない

 本物のWebサイトのコンテンツを複製すれば、全く同じ見た目の偽サイトを簡単に作成することが可能です。よって、サイトの見た目から本物のサイトかフィッシング・サイトかを判断することは困難です。

 

【最近のフィッシングの特徴5】フィッシング・サイトにもHTTPSが使われている… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

SHARE

関連記事

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

2019.10.25

ビジネススピードを加速するIT基盤第22回

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

2019.09.29

失敗する働き方改革、成功する働き方改革第4回

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

2019.09.11

働き方改革&生産性向上のカギはどこにある?第13回

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法