Bizコンパス

フィッシング被害者にならないのは、運がいいだけ?
2019.05.31

さらに巧妙になるフィッシングを防げるか

フィッシング被害者にならないのは、運がいいだけ?

著者 すずきひろのぶ (鈴木裕信)

 偽メールを送りつけ本物そっくりの偽サイトに誘導し、そこで利用者のアカウント名とパスワードを入力させ盗むフィッシング(Phishing)。今回はそのフィッシングの実例を紹介し、これまでの対策で対応できるのか、これからの時代に必要な対策は何なのかを考察する。

 

「心当たりのないメールは無視」「あやしいサイトに近づかない」に効果はあるか?

 まだ日本国内でいまほどフィッシングが蔓延していなかった頃は、フィッシングで送られているメールの文面は、かなりあやしい日本語だった。しかし、いまでは文面から簡単に見分けがつかないレベルに上がっている。もちろん誘導される先の偽サイトもレイアウトがよくできている。

 さらには、偽サイトとパソコンとの通信はSSL/TLS、つまり暗号化された通信をおこなっているものもある。フィッシングが稚拙なレベルだった頃の先入観で判断すると逆に罠に落ちるかも知れない。

 一日に数通のメールしか届かないなら別だが、朝、会社に出てきてメールをみようとするとうんざりするほど届いているのではないだろうか。一通一通フィッシングのメールなのかどうなのか吟味しながら読んでいくような時間はないだろう。ざっと、見て、チェックしなければならないリンクがあれば、とりあえずクリックしてみる、というのが普通ではないだろうか。筆者も似たようなものである。

 そこにセキュリティシステムをすり抜けたフィッシングのメールが紛れ込み、偽サイトへのリンクをクリックしてしまうこと可能性も十分にあるだろう。バリバリの理系大学の教員や現役学生が一度に何人もフィッシングにひっかかってしまい、パスワードを盗まれメールシステムに侵入されてしまう時代なのだ。筆者だって大丈夫だと胸を張っていえる立場ではない。ただ運がいいだけなのかもしれない。

 これまでのように「心当たりのないメールは無視する」「あやしいサイトに近づかない」「ブラウザのURL表示の頭に鍵マークがついているか(httpsが使われているか)確認する」といったこれまでよくいわれてきた、“素朴”というか、教条的な対策では対応できない時代ではなくなっている。「心当たり~」などは、ぼんやりとした記憶の前では効果がないし、そもそも「心当たりのない」仕事が降ってくるのは日常茶飯事だろう。「あやしい~」というのは裏を返せば「あやしくないサイトには近づいて良い」というメッセージでしかない。そもそも怪しいか否か判定方法はどこにあるのか。

 今どきのフィッシングを仕掛けてきているのは愉快犯ではなく銀行口座やクレジットカードといったマネタイズ可能な情報を不正に入手しようとしている犯罪者、もしくは犯罪グループが主である。犯罪者は犯罪者なりに、これまでの問題点を改善し(この場合は改悪かも知れないが)、より一人でも多くから、一円でも多く金を盗み取る努力をしているのだ。心当たりのありそうなメールの内容を作るのに腐心し、あやしくないように見えるサイトを構築し誘導し、中にはSSL/TLSを使っているサイトをフィッシングサイトに仕立てるのである。

 

三菱UFJニコスを騙ったフィッシングのケーススタディ

 以下の図1の例は、先日、筆者に届いたメールだ。Google Gmailを使っているので、迷惑メールに分類され、さらにはメールを読めば警告が出ているので、最初からフィッシングとわかるが、まずはフィッシングのメールの文面をみてもらいたい。

 最近、フィッシングの本文は短くなっているものが多い。たぶんスマートフォンで読むことも想定しているのであろう。が、この実例をみてもわかるが、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

関連キーワード

SHARE

関連記事

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

2019.03.27

セキュアなリモートアクセス環境を構築する手法第1回

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

BCP/BCMの効果を最大にする、クラウドサービス活用術

2019.03.08

災害対策にも使えるクラウド

BCP/BCMの効果を最大にする、クラウドサービス活用術

IoTで車両事故ゼロを目指す八洲ファシリティサービス

2019.02.01

IoTはビジネスの現場をどう変えていくのか第1回

IoTで車両事故ゼロを目指す八洲ファシリティサービス