敵を知る――最新のフィッシング詐欺の手口とは：企業責任としてのフィッシング対策（1/4 ページ）

この記事では、企業がフィッシング対策に取り組む前提として、実際にフィッシング詐欺に使われたメールやWebサイトの画像を用いて手口を説明していく。

[星澤裕二，ITmedia]

　フィッシング詐欺の存在が知られるようになって2年近くなるが、その手口はますます巧妙さを増している。ユーザーがうっかり個人情報を漏らすよう仕向けるため、偽物をいっそう「本物らしく」見せかけるだけでなく、フィッシング対策をすり抜けるためのテクニックも使われるようになってきた。

　まず、改めてフィッシング詐欺について説明しておこう。たいていの場合は本物そっくりの偽メールを送りつけたり、あるいは偽サイトにおびき寄せてユーザーをだまし、アカウント情報やパスワード、クレジットカード番号といった個人情報を盗み取る。

　当初、ユーザーをだますには、ただ画像を貼り付けただけのHTMLメールが利用されることが多かった。しかし「メール中のリンクをクリックしない」「アドレスバーのURLを目視確認する」といった基本的な対策が知られ、フィルタリングなどの対策ツールが広まるにつれ、それらを逆手に取り、対策をかいくぐる手法も新たに登場してきた。

　この記事では、企業がフィッシング対策に取り組む前提として、実際にフィッシング詐欺に使われたメールやWebサイトを紹介しながら、フィッシャーのテクニックについて説明する。

メール中のリンクに注意

　まず、フィッシングメールに使われるテクニックを見てみよう。

　たいていのフィッシングメールはHTMLメールを用いている。HTMLメールはフィッシングに好都合だからだ。

　多くの場合、フィッシングメールの文中には偽サイトへのリンクが用意されており、ユーザーがうっかりそのリンクをクリックしてしまうと、フィッシングサイトへと誘導される。フィッシングメールにHTMLメールを使う理由はここにある。偽サイトへのリンクを隠し、ユーザーの目をごまかすためだ。

画面1●eBayを装ったフィッシングメール

　HTMLメールでは、画面上に見えているリンクと実際の接続先を異なるものに設定することが可能である。この仕組みを使い、画面上に本物らしく見せたリンク先文字列を表示させたり、画像データにリンクを設定したりする（画面1）。

　ただしHTMLメールだからといって、必ずしも画像データなどが貼り付けられた凝ったデザインのものばかりではない。HTML形式のメールでありながらテキストのみを使用し、テキストメールに見せかけたシンプルなフィッシングメールも存在する（画面2）。

画面2●Amazon.comを装ったフィッシングメール

　HTML形式のメールに対する警告が呼びかけられ、企業側もテキストメールを採用するようになったのに伴い、ユーザーも、画像データなどが貼り付けられたメールに注意を払うようになった。しかし、一見するとテキストメールのように見えるメールの場合、あまり注意することなくリンクをクリックしてしまう可能性も否定できないだろう。

　メール本文中に偽サイトへのリンクを用意しておき、それをクリックするとクレジットカード番号などの個人情報を入力させる偽サイトに接続するというのが一般的なフィッシングの手口だ。しかし中には、偽サイトにジャンプしないで情報を盗み取る手口もある。

画面3●入力フォームがあるフィッシングメール

　この場合は、メール本文中に偽サイトへのリンクを埋め込むのではなく、入力フォームと送信ボタンやログインボタンを用意しておく。メール中の入力フォームにカード情報などを直接入力し、「送信」ボタンを押すと、入力した情報が偽サイトに送信されてしまう。

対策：「メール中のリンクは安易にクリックしない」「メールで重要な個人情報は送信しない」という基本を徹底する

フィルタをかいくぐるあの手、この手

　＠ITの記事「フィッシング詐欺の手口」［前編］の中の「スパムフィルタ回避型」で紹介したとおり、ランダムな文字列やHTMLタグを挿入し、スパムフィルタによる対策をすり抜けるように工夫されたフィッシングも目立ってきている。

　ランダムな文字列や意味のない単語を大量に追加するといったテクニック以外に、画像を用いる手法もある。あらかじめ、文字やロゴデータを含んだメール本文のスクリーンショットを撮っておき、それをメールに貼り付けるというものだ。

画面4●Barclays Bankを装ったフィッシングメール。メール本文全体が1枚の画像になっている