フィッシング (詐欺)
出典: フリー百科事典『ウィキペディア(Wikipedia)』
フィッシング(英:phishing)は、インターネットのWWWやEメール等を使った詐欺の一種である。
語源については、"sophisticated"(洗練された)と"fishing"(釣り)の合成語とする説や、単に"fishing"のLeet的言い換え(同音を別表記にした、ユーモアの一種)とする説、"password harvesting fishing" の略とする説がある。
インターネット上で様々なサービスが提供されるにつれ、年々増加と高度化の傾向が顕著である。
目次 |
[編集] 概要
この行為は、悪意の第三者が会員制ウェブサイトや有名企業を装い、「ユーザーアカウントの有効期限が近付いています」や「新規サービスへの移行のため、登録内容の再入力をお願いします」などと、本物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールを送りつけ、クレジットカードの会員番号といった個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを獲得することを目的とする。その結果として架空請求詐欺や預金の引き下ろし・成り済ましなどに利用され、多重に被害者となってしまう、または間接的に加害者になってしまうケースも目立ってきている。
フィッシング詐欺は、主にアメリカ国内を中心に被害が急増し、例として10万ドルをフィッシングサイトに振り込んでしまった被害者がいる。イギリスのメッセージラボ社の調査によれば、2003年9月には月間約280件の発見であったのが、2004年3月には月間約22万件にまで増えているといい、迷惑メールの新たな形態としても目立つようになってきている。日本でも2004年12月に国内初のフィッシング詐欺の被害が確認されたと警察庁が明らかにした。日本でのフィッシング詐欺の例として、2005年11月に千葉銀行を騙り各企業へCD-ROMを郵送し、そのCD-ROMをパソコンに入れるとフィッシングサイトに勝手に繋がり金を騙し取られるという事件が発生した。
近年ではYahoo!等のポータルサイトにおいて、インターネットオークション会員やウォレット等の様々なサービスが、一つのIDとパスワードに集約されて提供されている事情もあり、日本国内でもこれらのアカウント乗っ取りを目的としたフィッシング詐欺と見られる無差別送信のメールや、偽のサイトが報告されている。この場合、アカウントが乗っ取られれば、自分の名前で嘘のオークション出品物が出されたり、正当な出品者から出品物を騙し取るのに利用されたりといった、二次的にオークション詐欺の片棒を担がされる事態に陥る危険性がある。
なお、詐欺に至らなくとも(詐欺での摘発に至らなくとも)偽のサイトを作るという行為だけでも、著作権法や商標法などの違反となり処罰の対象となる可能性がある。
[編集] 予防策
この詐欺行為の被害を防止する上で勧められる対策としては、以下の方法が挙げられる。
- 利用しているWebブラウザに対策機能がある場合はそれを有効にすること
- 近年、一部のWebブラウザにはフィッシング詐欺対策機能が実装されるようになってきている。
- Internet Explorer 7.0以降
- Mozilla Firefox 2.0以降
- Opera 9.10以降
- 近年、一部のWebブラウザにはフィッシング詐欺対策機能が実装されるようになってきている。
- 利用しようとしているサービスのセキュリティーの仕組みを理解すること
- あなたが利用しようとしているサービスのセキュリティーの仕組みを理解すること。インターネットは基本的に性善説に基づいて設計されている仕組みである、ウェブについては SSL などのセキュリティーを確保する仕組みが一般的になっているが、これらの技術は後から拡張した技術であり、以前からあるセキュリティーを考慮しない仕組みと組み合わせると、いとも簡単にセキュリティーが保障できなくなる。いずれかの箇所でセキュリティーが確認できない箇所があれば、そこには詐欺を働く余地があることになり、擬装されている可能性がある。そのことを理解した上で利用するべきである。以下に挙げられている確認方法は、そのうちのありがちな手口の一部に過ぎない。また最近では SSL のセキュリティーを取得した新手のフィッシングサイトも出現しており、見抜くのが難しくなっている。
- URLが本物であることの確認
- なお、Webブラウザのセキュリティホールによりアドレス欄などに表示されるURLが偽装されている場合があるので、アドレス欄だけで確認するのでは不十分である。表示されているウェブページのプロパティを確認することがより有効である。また、ウェブブラウザのセキュリティホールを改善するために利用しているウェブブラウザを最新版にする必要もある。(ただし、一部にはプロパティ表示すら偽装の可能性があるセキュリティホールもあるため要注意である。)
- なお最近では、正式なサイトも偽のサイトも、サブドメインとドメイン名が長く続いているために非常に紛らわしい物もあるため、ぱっと見では即座に判断が付かないケースも発生している。これに対する予防策は、正式なサイトのトップページからリンクを辿る方法が有効である。
- メールヘッダーにて送信者情報の確認
- なおメールのヘッダーにおける送信者情報を偽装するのは、技術的には比較的容易であり、これだけを頼りにするのは危険である。(Path: ヘッダのIPアドレスなど、偽装しにくい物もある)
- メールに書かれているリンクを安易にクリックしない
- 必要な場合は、ブラウザのアドレス欄やブックマークを利用して自ら該当するサイトにアクセスする。その上で、該当サイト上にメールと同じ内容の告知が無いかを見て判断する。
また、サイトによっては、「そのようなメールを配信することはない」と明言している所もあるので、サイトの姿勢、セキュリティ対策などに着目することも予防策の一つとなる。
なお、不幸にもこのフィッシング詐欺が疑われる物に対して、IDやパスワード等を教えてしまった場合には、電話やメール(早いほど良いので、電話の方が望ましい)でサービス提供元に相談し、サービス停止およびパスワード変更といった対策を取るべきである。
クレジットカード企業や銀行が情報確認する場合は書面で行われ、ウェブで確認することはない。
[編集] 技術面から見た将来的な危険性
しかし近年では、特に脆弱性が放置されたままのような、DNSサーバーに干渉し、本来のサイトに対して有効なリンクを辿っているにも関わらず、予期しないサイトに誘導される危険性が指摘されている。これはパソコンやサーバーに対してではなく、ネットワークの通信経路に働き掛けるため、現段階では確実な予防方法はDNSSECによる認証である(IPアドレスの所属ドメインをWHOISサービスで確認するなど方法はあるが、そもそも真性な接続先のサーバーのIPアドレスは一定の物でない可能性もあるため要注意)。しかし同種の攻撃には高度な技術(大がかりなクラッキング作業)が必要とされるため、現段階において同種のフィッシング詐欺は報告されていないものの、一時的に正常に参照されなくなる被害を被ったサイトが出た事件もある。
また、技術的可能性としてはルーターをクラックしてインターネット上でルーティングされるIPパケットを恣意的に制御する悪用の可能性、およびそれのフィッシングへの応用の可能性もある。
また、マルウェアの中には、パソコン内の通信制御(ルーティングテーブル、ネームリゾルバAPI等、あるいは単なるhostsファイル)を乗っ取り或いは書き換え、リンク先とは違うサイトを開かせるトロイの木馬も発見されており、実際に特定の銀行サイトに対する操作のみに反応して、所定のフィッシング詐欺サイトへと誘導する物も確認されている。またhostsファイルを書き換えて、偽のDNSサーバーを参照させ、偽のサイトへ誘導しようと試みるワームの存在も確認されているため、将来的にはコンピュータウイルス対策を含めて、これらフィッシング詐欺への警戒を行う必要がある。
[編集] 関連項目
- スパイウェア
- スキミング
- ファーミング
- ソーシャル・エンジニアリング
- ビッシング
[編集] 外部リンク
カテゴリ: コンピュータ関連のスタブ項目 | インターネットセキュリティ | 犯罪 | 詐欺