インターネット犯罪(Internet Crime) 327.2 フィッシング 【phishing】 金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを 搾取する詐欺。「釣り」を意味する「fishing」が語源だが、偽装の手法が洗練されている (sophisticated)ことから「phishing」と綴るようになったとする説がある。 代表的な手口は以下のとおり。メールの送信者名を金融機関の窓口などのアドレスにしたメー ルを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンク が載っている。リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポ ップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップ ページは「偽者」である。本物を見て安心したユーザがポップアップに表示された入力フォームに 暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送 信される。対応策としては、 ①送信者欄を信用しない。 ②フォームの送受信にSSLが利用されているか確認する。 ③メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号や URL などから案内が本物かどうかを確認する。 ファーミング【pharming】 オンライン詐欺は「釣り」から「農業」へ? 2005 年 1 月,米国 IT メディアのいくつかが「pharming(ファーミング)」という言葉を使い始めた。 オンライン詐欺「phishing(フィッシング)」の“進化形”と説明している。phishing が fishing(釣り)に 基づいた造語であるのに対して,pharming は farming(農業,農場で栽培する)をもじったものだ。 (注 1) 注 1:「医薬品成分を含んだ遺伝子組み換え植物を栽培すること」「遺伝子組み換えによって医薬品成分を含んだ動 植物を作ること」なども pharming と呼ばれる。こちらは,「栽培する」の farm と「薬学」の pharm(pharmacy)を組み合わ せた造語。 ただし言葉は新しいものの,ファーミングの内容自体は目新しいものではない。フィッシング“対 抗”で無理やり作られた単語に思える。一部のセキュリティ・ベンダーがユーザーをあおるために 作った感が強い。とはいえ,今後は国内メディアでも目にする機会があるかもしれないし,ベンダ ーのセールス・トークにも出てくる可能性も高い。 言葉自体はともかく,その手口と防御策は知っ ておいて損はないだろう。 偽サイトへ自動的に誘導 フィッシングはオンライン詐欺の一種。ユーザーを正規のサイト(ショッピング・サイトや銀行/ク レジット・カード会社のサイトなど)に見せかけた偽サイトへ誘導し,クレジット・カード番号やサー ビスのパスワードといった個人情報を入力させて盗む。 このとき,ユーザーを偽サイトへ誘導するために使われるのが,そのサイトの運営企業から送ら れたように見せかけた偽メールである。偽メールには,もっともらしい文章と URL が記されている。 その URL をユーザーがクリックすると,偽サイトへ誘導されることになる。偽メールを餌にして,ユ ーザーを偽サイトに“釣り上げる”ことからフィッシングと呼ばれる。 それに対してファーミングでは,フィッシングとは異なり,餌(偽メール)をまく必要はない。“種” さえまいておけば(仕掛けを施しておけば),えさをまかなくても“収穫”できるという。このため, ファーミングと呼ぶ。 具体的には「ユーザーが“正規の URL”をブラウザに入力しても,偽サイトへ“自動的”に誘導さ れる」――。これがファーミングである。「悪意のある Web サイトへのリダイレクト」と説明される場 合もある。例えば,ブラウザに「http://itpro.nikkeibp.co.jp/」と入力すると,IT Pro サイトではなく, 偽のサイトへ誘導されるという。そして偽サイトでは,フィッシング同様,クレジット・カード番号とい った個人情報を入力させて盗む。 もちろん,通常はこんなことはあってはならない。ファーミングを試みる人物(ファーマー: Pharmer)は,不正な手段を用いて偽サイトへの誘導を可能にする。その不正な手段(仕掛け)が, ファーミングにおける“種”となる。 具体的には, ①ウイルス(ワーム)などを使って,クライアントの hosts ファイルを書き換える。 ②DNS サーバーに虚偽の情報をキャッシュさせる(これは「DNS ポイズニング」と呼ばれる)―― など。つまり,アドレス解決時に hosts ファイルや DNS サーバーから偽の IP アドレスを返させて, 偽サイトへ誘導するのである。 首尾よく種さえまけば(細工さえ施せば),後は“実る”のを待つだけである。偽のメールをまか なくても,偽の URL をクリックさせなくても,ユーザーはそのサイトを本物サイトだと思ってやってく る。そして,そのサイトで入力されたパスワードなどは,すべてファーマーへと送られる。 ユーザーとしては,「メール中の URL をクリックせずに,自分でアドレス・バーに URL を入力す る」といった,フィッシング対策の一つを実施しているにもかかわらず,偽サイトへ誘導されてしま うのだ。ブラウザのアドレス・バーには,正規の URL が表示されているので,偽サイトだと見抜く のが難しい。
© Copyright 2024 Paperzz
