本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
「フィッシング(phishing)」ってなんだ!?

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。

 今回のテーマは「フィッシング(phishing)」。本物そっくりの偽メールやサイトを使って、不特定多数のインターネットユーザーから個人情報などを盗み取るオンライン詐欺の一種です。手口が巧妙化し、深刻な被害が懸念されるため、企業レベル、個人レベルでの対策が必要です。

フィッシング(phishing)とは

フィッシング(phishing)とは、オンラインバンキングやオンラインショッピング事業者などを装い、不特定多数のインターネットユーザーから個人情報を盗む詐欺行為を指す。その主要な手口は、ユーザーに偽りの情報を記載した電子メールを送りつけ、本物と酷似したWebサイト(フィッシングサイト)へ誘導し、ユーザーのIDやパスワードなどといった個人情報を入力させるというものだ。そうして入手した個人情報は、金融機関から現金を引き出したり、ショッピングサイトで物品を購入後、転売したりすることに悪用される。フィッシングはメールが配信されユーザー情報が入手できてから、数分で悪用されることもあり、またフィッシングサイトは国外に設置され国際犯罪となることが殆どで、サイト自体も1週間ほどで閉鎖されてしまうケースが多いため、取り締まることが困難となっている。

■フィッシングの語源
 あたかも悪意を持った詐欺師が、一般のユーザを騙す行為そのものが「釣り上げる」(Fishing)ことを比喩してこう呼ばれている。
 フィッシングが「fishing」ではなく「phishing」と呼ばれる語源については諸説あるが、ハッカー同士が常用する命名則として「F」を「Ph」に置き換えて呼ぶという説と、「洗練された」(=sophisticated)の「ph」を取ったという説の2つが有力だと言われている。

フィッシングの手口

最近、話題に上がることも多いフィッシングは、1996年頃から存在していたと言われている。一口にフィッシングといっても、今日までの間に様々な手法で変化を続け、同時に手口も巧妙化してきている。

フィッシングの手法は、偽りの告知を送ってくる「誘導」と、個人情報を入手する「収集」に分けることができる。誘導では、メールの送信者を偽り、「貴殿の口座の再認証が必要です」「貴殿の口座で疑わしい取引が行われました」といった、もっともらしい文章を送ってくる。その上で、怪しまれないように、指定のURLに誘導する。誘導先のWebページは、本物の事業者の会社のロゴを使ったり、それらしいURLを使っているため、一見して偽物だとわからないものが用意してある。そして、ユーザーに怪しまれないようIDやパスワードの入力を促す。また、「タレントの画像が届きました」という内容のメッセージをクリックすると、個人情報を抜き出すスパイウエアに感染し、本人が知らないうちにIDやパスワードが、仕掛けた詐欺師側に通知されてしまうというタイプの手口もある。

フィッシングの手口イメージ

具体的な騙しの手口

【ドメイン名(URL)に不信感を持たせない】

Webページの内容を完全に複製することは、HTMLの仕組み上簡単なことである。我々が、日常でWebページを確認する際、真っ先に見るのがアドレスバーであるが、このアドレスバーを詐称する手口として、まず、OSやブラウザのセキュリティホールを悪用する「スプーフィング」がある。さらに、もっと単純に人を信用させる手口がある。例えば、本物のドメイン名は「www.keyman.or.jp/」だが、「www.keymans.or.jp/」という酷似したドメインや「www.keyman-recruit.or.jp/」のようにもっともらしいドメインを使われた場合、一見して真正を確認することができない。また、WebサイトがSSLで暗号化されていれば、そのサイトは信頼できるサイトであると我々は一般的に認識するが、SSL暗号鍵の詳細には、サーバー証明書を発行した会社の会社名が英語で標記されているため、もし、偽の会社がサーバー証明書を偽造していたとしても、一般的には、そこまで詳細に確認しきれないし、日ごろ使っている金融会社であっても、その正式な英語表記を知っているかという点も疑問として残るため、簡単に見破ることができないといえる。


【受信したメールの信用性は皆無】

フィッシングの誘導はメールで行なわれることが多いが、ユーザーが読んでいるほぼ全ての記載事項は誰でも簡単に変えることができる。つまり、送られてきたメールの内容を安易に鵜呑みにしてはいけないということだ。プロバイダによっては送信者認証という送信者を偽れないサービスもあるが、酷似する独自ドメインから送信された場合は、ドメイン名を詐称しているわけではないので効果がない。こうした対策には、電子署名を使い、正しい送信者であることを証明する「S/MIME」があるが、ごく一部で利用されているのみに留まっている。

フィッシングの被害

フィッシングの被害にあった場合、金融機関であれば現金を引き出されたり、クレジットであれば物品を購入されてしまう。いずれにしても金銭的に実害があることは間違いない。こういった事例は海外では広く知られており、「Anti-Phishing Working Group」(APWGという非営利団体が、米国におけるフィッシングの状況を一般に広く告知している。一例を挙げると、2004年10月にブラジルの犯罪集団53名が摘発された事例では、被害総額は日本円で86億円。また、2004年12月には1707件のフィッシングサイトが確認され急速な増加傾向を見せている。

実際、日本でも、昨年発生したVISAを偽るフィッシング詐欺や、Yahooを騙ったフィッシングサイトのニュースが記憶に新しいところだ。Yahooでは現在も注意を呼びかける文章が掲載されている。こうした一連の詐欺の手口は「振り込め詐欺」のように、常に多様化され新たな手段が登場してくることが予想される。

正確な知識と適切な安全対策の実施が第一

個人がフィッシングにだまされないように気をつけるポイントは、心当たりのないメールやインスタントメッセージのファイルを不用意に開かないことや、PCのセキュリティ対策(OSの更新、ウイルスソフト)の実施だ。また、当たり前だが「メールで個人情報を送信しない」ことや、個人情報を入力する際は「URL」「SSLの鍵マーク」などは最低限確認したい。

政府レベルでの対策は、上記の事件と前後して、経済産業省や総務省、警察庁などが本格的にフィッシングに関する検討を始めている。先般も、銀行の偽造カード対策として引出し限度額の設定や、被害補償も含めた検討が始まったことが報道された。


フィッシングは、直接被害にあうのが個人であることはもちろん、ターゲットとなった企業側もまた被害者である。今後は、ユーザー保護の観点から、また、ブランドイメージの失墜を防ぐためにも、B to Cのサービスを行っているWebサイトはフィッシング対策を行っていく必要があるだろう。また現在はパソコンを対象として問題視されているフィッシングだが、将来的には携帯電話や情報家電などへも波及していく可能性が充分考えられるため、企業、個人とも注意を払っていく必要がある。

取材協力 :株式会社セキュアブレイン

掲載日:2009年3月18日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2005年2月16日掲載分

検索

このページの先頭へ