フィッシング詐欺メールの数がウイルスメールの数を超えたことが今年1月、明らかになった。簡単にフィッシングサイトを作成できる「フィッシングサイト構築ツール」が売買され、「中間者攻撃」と呼ばれる新たな手口も出現するなど油断ならない状況にある。そうしたフィッシング詐欺の現況をふまえ、騙されないための対策を提案する。
<INDEX>
● 増える一方の偽メールや偽サイト
● ターゲットは現金搾取に必要な個人情報~2千万円の荒稼ぎも
● 新たな騙しの手口~「中間者攻撃:マン・イン・ザ・ミドル・アタック」とは?
★ コラム:スパムメールは詐欺への入り口~注意したい新手法
● 再確認しておこう! フィッシング詐欺対策「5つの心得」
<本文>
「ネットオークション詐欺の情報をお知らせします。」──オークション事務局からのメッセージにも見えるこんなメールすら、いまや手放しで信用することはできない。金融機関やオークションサイトなどを装ったメールや偽サイトを使ってユーザーの情報を掠め取り、不正に使用するフィッシング詐欺が増加しているからだ。
米セキュリティベンダーのMessageLabsは今年1月、フィッシング詐欺メールの数がウイルスメールの数を超えたこと、新たな手口が出現していることを伝えた。さらに同月、簡単にフィッシングサイトを作成できる「フィッシングサイト構築ツール」が販売、使用されていることが明らかになった。
【関連ニュース】
・簡単設定で本物そっくり、危険なフィッシングサイト構築ツール登場(2007/01/15)
● ターゲットは現金搾取に必要な個人情報~2千万円の荒稼ぎも
フィッシング詐欺のターゲットとなるのは、不正に使用して現金を手に入れることができる個人情報だ。盗んでオンラインバンキングにログインすれば、預金を操作できる金融機関の口座番号やカード番号、暗証番号など。また、人気オンラインゲームやネットオークションなどのIDとパスワードも狙われている。詐欺師たちはIDの本当の持ち主に成りすまして不正にアクセスし、ゲームで取得した通貨やアイテムをRMT(※)で現金化したり、オークションで架空出品や商品の詐取したりする。
※RMT(リアル・マネー・トレード):オンラインゲームで使用する通貨やアイテムなどを現実の通貨で売買すること
今年2月にはヤフーオークションをかたるメールと偽サイトを使ってオークションIDとパスワードを掠め取り、約2,000万円を荒稼ぎした犯人たちが逮捕された。ヤフーオークションでは、フィッシングなどで盗まれたIDとパスワードの不正利用が相次いでいることを受けて、「ログイン履歴表示」サービスを開始した。ログイン履歴をチェックすることで、不審なアクセスの有無を確認し、不正アクセスに対応しようとするものだ。
【関連ニュース】
・相次ぐオークション詐欺~ ヤフー、対策として「ログイン履歴表示」開始(2007/02/08)
● 新たな騙しの手口~「中間者攻撃:マン・イン・ザ・ミドル・アタック」とは?
フィッシングメールの数が増加しただけではなく、詐欺師にとって好都合な新たな手口も登場した。前出のMessageLabsは報告の中で、ユーザーと正規サイトの間に割り込む形で偽サイトを設置して入力情報を掠め取る「中間者攻撃(マン・イン・ザ・ミドル・アタック)」と呼ばれる手法の出現について警告した。冒頭で紹介した「フィッシングサイト構築ツール」で作成されるサイトも「中間者攻撃」の手法で個人情報を盗み取る。
「中間者攻撃」では、ユーザがそれと知らずに偽サイトにアクセスし、偽サイトが正規サイトの情報を取り込んでユーザーに表示する。ユーザーはこの偽サイトに取り込まれた正規サイトの画面に個人情報を入力する。偽サイトは入力情報を正規のサイトに送り、正規のサイトからのリダイレクトをユーザーに表示する。
この方法で偽サイトに情報を入力させることで、詐欺師たちはさまざまなメリットを得る。たとえば、本物の結果をユーザーに返すことで偽サイトであることに気付きにくくしたり、正規サイトのリアクションを確認してアカウントの有効性をその場で確認したり。また、ワンタイムパスワードをユーザーに突破させれば、正規サイトにログインした偽サイトを通じ、正規サイトでさまざまな操作を行うことが可能になる。
偽サイトへ誘導する手口や偽サイトの出来ばえは、これまでのフィッシング詐欺と変わらないが、騙されたときに被害を受ける可能性が高くなってしまうのだ。
------------------------------------------------------
コラム:★スパムメールは詐欺への入り口~注意したい新手法
詐欺師が騙す相手に仕掛ける罠のうち、最も手軽なツールがメールだ。詐欺師たちは詐欺メールでも日々新たな手口を編み出している。以前から多くの例が報告されているなりすましメールでは、今年1月、裁判所が公開した「フィンガー・プリント」を悪用した架空請求メールが登場した。同メールには裁判所のフィンガー・プリントが記載されており、送信元が本当に裁判所からであるかのように見せかけていた。今回は架空請求詐欺に使用されたが、今後、フィッシング詐欺などでも、偽メールを本物と信じ込ませるために同様の手口が使われる恐れがある。
------------------------------------------------------
数を増し、新たな手口を編み出して忍び寄るフィッシング詐欺。詐欺師たちは一瞬の隙を突いて、目当ての個人情報を奪おうと鵜の目鷹の目で狙っている。コツコツ貯めた財産や、時間と労力を掛けて集めたゲームのアイテムなど、大事なものを失う前に、フィッシング詐欺に騙されないよう、基本的な心得を確認しよう。
(1) 金融機関からメールにて口座番号や暗証番号などといった個人情報を問い合わせることは無いと心得る
(2) 送りつけられてきたメールのリンクを、安易にクリックしない
(3) アクセスしたいサイトには、ブラウザの「お気に入り」または「ブックマーク」からアクセス、または、URLを直接入力する
(4) アドレスバーのURLが「https://」で始まる正しいアドレスか、ブラウザに錠マークは表示されているかを、確認する
(5) 錠マークをダブルクリックして「プロパティ」を表示。「証明書」ボタンをクリックして電子証明書を確認する
表示されたURLが正しいからといって油断は禁物。フィッシング詐欺サイトの中にはURLを偽装するものもある。また、ユーザーのパソコンの設定を勝手に変更するウイルスやワームを添付したメールを送りつけ、正しいURLを入力しても偽サイトへ強制的に誘導するいわゆる「ファーミング詐欺」も報告されている。必ず錠マークや電子証明書を確認するよう心がけたい。
* * *
現実社会で日々起こる詐欺事件を見ていると、詐欺とはつくづく心理戦だと思う。「限定」「今だけ」というあおり文句や、まくし立てる手法で心理的に切迫させ、考える時間を与えないケースが多い。フィッシング詐欺でも同様に、「今すぐ更新しないと」などといった脅し文句で揺さぶりをかけてくる。ここで慌てては悪党どもの思うツボ。いま一度、そのメールを開いていいのか、そのURLをクリックしても無事か、ひと呼吸置いて考えてみてはいかがだろうか。
(執筆:現代フォーラム 山口)