【フィッシング詐欺の実態】あなたを狙うその手口とは…

パソコンにおいて、「マルウェア(＝コンピューターウィルス)」「脆弱性」と並んで有名な驚異が「フィッシング詐欺」です。

「フィッシング詐欺」とは、銀行などの偽ホームページを設置し、ユーザーから個人情報を盗み取る手口を指しています。
手口そのものを「フィッシング詐欺」と言い、このために設置される偽ホームページのことを「フィッシングサイト」と呼びます。

これまで確認されているフィッシングサイトには、代表的なものとして下記の例があります。

・銀行の偽ログインページ
・クレジットカードの偽ログインページ
・オンラインゲームの偽ログインページ
・Webメールなどオンラインサービスの偽ログインページ
・有名オンラインショップの偽決済ページ
・有名SNSの偽ログインページ

これらの他にも数多くの偽サイトが確認されています。
最新のフィッシングサイトの情報は下記ページなどで公開されています。

フィッシング対策協議会：緊急情報一覧
https://www.antiphishing.jp/news/alert/

PhishTank(英語)
http://www.phishtank.com

詐欺師がフィッシング詐欺を行うためには、ユーザーをフィッシングサイトに誘導し、
ユーザー自身に個人情報を入力させる必要があります。
ユーザーをサイトへ誘導する手段として代表的なものには以下のようなものがあります。

メールによる誘導

最も古典的な手口として、銀行やクレジットカード会社などを騙った偽のメール(フィッシングメールなどと呼ばれます)に
フィッシングサイトのURLを掲載する方法があります。

ユーザーがメールに記載されたURLをクリックすると、本物そっくりに作られた偽サイトが表示され、
偽サイト上で入力したユーザーID/パスワード/クレジットカード番号/口座番号などが盗まれてしまいます。

古典的な手口ではありますが、いまなお多くの被害が報告されています。

※東京外大生がフィッシングサイト作成、他学生のID盗んで大学システムに不正アクセス　「成績比較したかった」
http://www.itmedia.co.jp/news/articles/1311/07/news076.html

※東京三菱銀行：犯罪手口の事例>インターネットバンキングの不正利用
http://www.bk.mufg.jp/info/security/internet/netbank.html#jirei01

※フィッシング対策協議会：Club NTT-Westをかたるフィッシング（2014/11/11）
https://www.antiphishing.jp/news/alert/clubnttwest20141111.html

SEOポイズニングによる誘導

検索サービスの検索結果の上位にフィッシングサイトやマルウェア(コンピューターウィルス)の埋め込まれた悪質なサイトを掲載し、ユーザーを誘導する手口です。
SEO(Search Engine Optimization)とは、「検索エンジン最適化」とも呼ばれます。

検索サービスで特定の単語を入力した際にサイトが上位に表示されるよう調整する技術で、ユーザーを獲得するために多くのサイト運営者が使用しています。
この技術を悪用することで、フィッシングサイトを検索結果の上位に表示することができます。

検索サービス側もこれを問題視しており、フィッシングサイトをブラックリストに登録し検索結果に表示されないようにする、
サイトの掲載内容を自動的に解析するなどの対策を行っています。
しかし、フィッシングサイトも次から次へと新たな手口で対抗しているため、イタチごっこが続いているのが現状です。

SNSや掲示板などからの誘導

これまでフィッシングサイトへの誘導は、主に偽のメールによって行われていました。
最近はFacebookやTwitter、mixiなどSNS(=Sosial Networking Service=ソーシャル・ネットワークサービス)の発展により、
これらのサービスを利用した手口も確認されるようになってきています。

※「DMで偽サイトに誘導」、ツイッター悪用したフィッシングに注意
http://www.nikkei.com/article/DGXNASFK2502K_V21C11A0000000/

接続設定の不正な変更

ファーミングとは、マルウェア(=コンピューターウィルス)などにより、
パソコンやDNSサーバー(ネットワーク機器の一つ)の設定を不正に変更しユーザーをフィッシングサイトに誘導する手口です。

ユーザー側では正規のURLへアクセスし操作しているように見えますが、実際は本物そっくりに作られた偽のサイトが表示されます。
偽サイト上で入力したユーザーID/パスワード/クレジットカード番号/口座番号などが盗まれてしまいます。

正規サイトの不正な変更

サイト改竄とは、正規のWebサイトWebサービスを不正に書き換える手口です。
正規のサイトの中に本文のサイトにそっくりな偽のサイトが埋め込まれます。

正規のサイト内に埋め込まれているためユーザーが側でアクセスを回避することは困難です。
偽サイト上で入力したユーザーID/パスワード/クレジットカード番号/口座番号などが盗まれてしまいます。

※「防災コンテスト」Webサイトが改ざん被害、フィッシング詐欺が目的か
http://itpro.nikkeibp.co.jp/atcl/news/14/081200442/

なお、フィッシングサイトへの誘導の他、マルウェア(=コンピューターウィルス)へ感染する事例もあります

※バッファロー製無線LANルーターのソフトが不正改竄、ユーザーのPCに感染の恐れ
http://it.impressbm.co.jp/articles/-/11431

フィッシングメール・フィッシングサイトにアクセスしてしまった時は、
決して個人情報を入力しないよう注意し、慌てずページもしくはメールを閉じて下さい。

また可能であればフィッシングサイトへの対策を行っている下記各機関へご連絡ください。

※フィッシング対策協議会：フィッシングの報告
https://www.antiphishing.jp/registration.html

※フィッシング110番：各都道府県警サイバー犯罪対策課
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm

フィッシングメール・サイトからマルウェア(＝コンピューターウィルス)がダウンロードされる場合があります。
これらにアクセスしたと疑われる場合は、セキュリティソフトによるフルスキャンをおすすめします。