全5550文字

 日々進化、巧妙化するフィッシング詐欺、ビジネスメール詐欺、ランサムウェア……。錯誤を狙った罠(わな)や理解不足による失敗に陥らないためのネットセキュリティー講座です。自分だけでなく、会社や取引企業、人脈を傷つけないための常識、ソリューション力を身につけましょう。

桜井敏昭(日経ビジネス):前回、前々回はパスワードについて取り上げてきました。今回は「フィッシング」詐欺についてですね。セキュリティー情報の収集・分析をしている社団法人JPCERTコーディネーションセンターが事務局となっている「フィッシング対策協議会」のサイトに行くと、どんなフィッシング詐欺が行われているかを見られますね。

「フィッシング対策協議会」のサイト。フィッシング詐欺の事例を見られる

ショッピング系だけでなくクラウドサービスも狙われている

辻伸弘(セキュリティリサーチャー):セキュリティー対策では、過去のものを見たり、知ったりすることは大事です。ただ、このサイトでは、安全のためなのかフィッシングサイトのURLの一部が伏せ字になっています。これではURLの情報を参考にできず残念です。

 フィッシングは「似たサイトや同じようなサイトを作ってそこへ誘導し、認証情報などを奪う」ものです。偽サイトへ誘導するリンクを埋め込んだメールやショートメッセージ(SMS)を送り、サービス利用者本人にIDやパスワード、クレジットカード情報などを入力させて盗みます。また、偽サイトで悪意のあるアプリケーションをインストールさせて、端末内の情報を盗んだり、次の攻撃の足場にしたりします。一般になじみがあるのはメールを使ったフィッシングでしょう。

 メールに記述されたリンク先で認証情報、クレジットカード情報などを入力すると、それが攻撃者に渡ってしまいます。メールの内容も5~6年ほど前は、稚拙な表現のものが多かったのですが、次第に巧妙になり、日本語の表現も向上しています。

 目的は金銭的なものがほとんどです。盗んだID、パスワードなどを使って、ネットで物品を購買して換金するのです。注意したいのは、ショッピング系サイトだけでなく、クラウドサービスの普及に伴って、Microsoft社のOffice365のアカウントに代表されるクラウドサービスを狙ったものが出てきていることです。

 クラウドサービスではスパムメールの踏み台にするために狙われている場合があります。メールサービスだけではなくそれに付随しているオンラインストレージなども盗み見られる可能性があり、そちらにも注意が必要です。

 これまで多くのメールサービスは社内のシステム(オンプレミス)を使ってきました。オンプレミスで使われるIDやパスワードは、オープンなネットワーク上では使われないため、仮にそれが漏れても、誰でもアクセスできるわけではありませんでした。しかし、クラウドなら別です。フィッシングでアクセスに必要なIDやパスワードを盗めば、メールのやり取りを見ることができます。それが「ビジネスメール詐欺(BEC)」に利用されてしまうのです。BECについては、この連載で取り上げる予定です。