この記事を読むために必要な時間は約5分(1579文字)です。
フィッシング攻撃とは?
- 投稿日:2019-06-11
- 最終更新日:2020-12-23
- 表示:473PV
- カテゴリ:攻撃方法
今回は、ニュース番組などでも紹介されることがある、「フィッシング攻撃」についてお話します。
目次
フィッシングとは?
英単語では・・・
誤解されることもあるので、ご紹介します。フィッシングは、「fishing」と誤解している人が多いです。
「fishing」は「(魚)釣り」です。
このため、違和感がある方もいらっしゃいます。
正確には「phishing」をカタカナ読みしたものです。
「phishing」は「詐欺」を意味します。
言い換えると、「詐欺サイト」です。
フィッシング攻撃とは?
攻撃方法
基本的には次のような順序で行われます。- メールを用いる場合
- 検索結果を用いる場合
メールを用いる場合
- 正規サイトに真似た(場合によっては、正規サイトをコピーした)フィッシングサイトを作成する
- サービス提供会社から(と偽装した)メールを送信する
- (被害者が)(偽装)メールに記載されたリンクをクリックするとフィッシングサイトに誘導される
- フィッシングサイトでは、IDとパスワードを入力する画面が表示される
- IDとパスワードを入力するとその情報が盗まれる
検索結果を用いる場合
- 正規サイトに真似た(場合によっては、正規サイトをコピーした)フィッシングサイトを作成する
- 検索結果が正規サイトより上位に表示されるように、フィッシングサイトにSEO対策(=SEOポイズニング)を行う
- 検索を行う
- (被害者が)(偽装)メールに記載されたリンクをクリックするとフィッシングサイトに誘導される
- フィッシングサイトでは、IDとパスワードを入力する画面が表示される
- IDとパスワードを入力するとその情報が盗まれる
対策
経緯
以前は、(偽装)メールの日本語がおかしい、(偽装)サイトの構成がおかしいなど、注意していれば気が付くことができました(過去形)。最近、そのような(偽装)メールや(偽装)サイトは、ほとんどありません。
理由は単純で、本物のメールやサイトをそのままコピーして、IDとパスワードなどの情報を入手する部分だけを変更しているからです。
本物のコピーですから、見分けようとしても無理です。
最近のウィルス対策ソフトで、フィッシングサイトを警告してくれる機能を持っている場合もあります。
ただ、最近のフィッシングサイトは、ばれたら新規サイトの作成を繰り返しており、完全に防ぐことはできません。
方法
このような状況にあることから、届いたメールが偽物であろうが本物であろうが、判断できないと考えて対処します。対処方法の基本は、メールに記載されているボタンやURLを使用するのはダメと考えることです。
多くの場合、「パスワード変更」や「状態の確認」など、ログインを促す内容のメールですから、それを逆手に取ります。
方法1
このような内容のメールは「無視する」というのが一番手間がかからない方法です。特に、通販サイトなど、使用したことがないサービスや今後使わないサービスなどのメールの場合は、この無視で十分です。
しかし、使用したことがあるサービスの場合、「今後使用できなくなる」、「元に戻す手間がかかる」など、心配です。
このような場合は次の方法です。
方法2
「パスワード変更」や「状態の確認」は、通常、正規サイトの設定画面で、対応できるようになっています。このため、メールに記載された方法以外で、正規のサイトに訪問し、ログインするようにします。
メールが(偽装)サイトへの誘導になっているのですから、それ以外の方法を使えば良いのです。
ただ、この「それ以外の方法」も次回ご紹介する別の攻撃をされていると、ユーザーとしてはお手上げになります。
次回はこの「別の攻撃方法」についてお話をします。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
 |  |
