インターネット犯罪(Internet Crime)

インターネット犯罪(Internet Crime)
327.2
フィッシング 【phishing】
金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを
搾取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている
(sophisticated)ことから「phishing」と綴るようになったとする説がある。
代表的な手口は以下のとおり。メールの送信者名を金融機関の窓口などのアドレスにしたメー
ルを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンク
が載っている。リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポ
ップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップ
ページは「偽者」である。本物を見て安心したユーザがポップアップに表示された入力フォームに
暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送
信される。対応策としては、
①送信者欄を信用しない。
②フォームの送受信にSSLが利用されているか確認する。
③メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号や URL
などから案内が本物かどうかを確認する。
ファーミング【pharming】
オンライン詐欺は「釣り」から「農業」へ?
2005 年 1 月,米国 IT メディアのいくつかが「pharming(ファーミング)」という言葉を使い始めた。
オンライン詐欺「phishing(フィッシング)」の“進化形”と説明している。phishing が fishing(釣り)に
基づいた造語であるのに対して,pharming は farming(農業,農場で栽培する)をもじったものだ。
(注 1)
注 1:「医薬品成分を含んだ遺伝子組み換え植物を栽培すること」「遺伝子組み換えによって医薬品成分を含んだ動
植物を作ること」なども pharming と呼ばれる。こちらは,「栽培する」の farm と「薬学」の pharm(pharmacy)を組み合わ
せた造語。
ただし言葉は新しいものの,ファーミングの内容自体は目新しいものではない。フィッシング“対
抗”で無理やり作られた単語に思える。一部のセキュリティ・ベンダーがユーザーをあおるために
作った感が強い。とはいえ,今後は国内メディアでも目にする機会があるかもしれないし,ベンダ
ーのセールス・トークにも出てくる可能性も高い。 言葉自体はともかく,その手口と防御策は知っ
ておいて損はないだろう。
偽サイトへ自動的に誘導
フィッシングはオンライン詐欺の一種。ユーザーを正規のサイト(ショッピング・サイトや銀行/ク
レジット・カード会社のサイトなど)に見せかけた偽サイトへ誘導し,クレジット・カード番号やサー
ビスのパスワードといった個人情報を入力させて盗む。
このとき,ユーザーを偽サイトへ誘導するために使われるのが,そのサイトの運営企業から送ら
れたように見せかけた偽メールである。偽メールには,もっともらしい文章と URL が記されている。
その URL をユーザーがクリックすると,偽サイトへ誘導されることになる。偽メールを餌にして,ユ
ーザーを偽サイトに“釣り上げる”ことからフィッシングと呼ばれる。
それに対してファーミングでは,フィッシングとは異なり,餌(偽メール)をまく必要はない。“種”
さえまいておけば(仕掛けを施しておけば),えさをまかなくても“収穫”できるという。このため,
ファーミングと呼ぶ。
具体的には「ユーザーが“正規の URL”をブラウザに入力しても,偽サイトへ“自動的”に誘導さ
れる」――。これがファーミングである。「悪意のある Web サイトへのリダイレクト」と説明される場
合もある。例えば,ブラウザに「http://itpro.nikkeibp.co.jp/」と入力すると,IT Pro サイトではなく,
偽のサイトへ誘導されるという。そして偽サイトでは,フィッシング同様,クレジット・カード番号とい
った個人情報を入力させて盗む。
もちろん,通常はこんなことはあってはならない。ファーミングを試みる人物(ファーマー:
Pharmer)は,不正な手段を用いて偽サイトへの誘導を可能にする。その不正な手段(仕掛け)が,
ファーミングにおける“種”となる。
具体的には,
①ウイルス(ワーム)などを使って,クライアントの hosts ファイルを書き換える。
②DNS サーバーに虚偽の情報をキャッシュさせる(これは「DNS ポイズニング」と呼ばれる)――
など。つまり,アドレス解決時に hosts ファイルや DNS サーバーから偽の IP アドレスを返させて,
偽サイトへ誘導するのである。
首尾よく種さえまけば(細工さえ施せば),後は“実る”のを待つだけである。偽のメールをまか
なくても,偽の URL をクリックさせなくても,ユーザーはそのサイトを本物サイトだと思ってやってく
る。そして,そのサイトで入力されたパスワードなどは,すべてファーマーへと送られる。
ユーザーとしては,「メール中の URL をクリックせずに,自分でアドレス・バーに URL を入力す
る」といった,フィッシング対策の一つを実施しているにもかかわらず,偽サイトへ誘導されてしま
うのだ。ブラウザのアドレス・バーには,正規の URL が表示されているので,偽サイトだと見抜く
のが難しい。