偽サイトから個人情報を抜き取るフィッシング攻撃が多発している。「自分だけは被害を受けない」と考えているユーザーは、詐欺犯にとって格好の餌食となる。
今週の1位は、「神の手雲」の画像を掲載しているサイトのリンク先をたどると、マルウェアが仕掛けられている可能性があるという内容の記事だった。この画像を添付したチェーンメールは数年前から出回っているが、マルウェア感染の手口として用いられているという。
日本でフィッシング攻撃の対象となる企業が後を絶たない。3月14日にゆうちょ銀行のフィッシングサイトが、2月25日にはイーバンク銀行の偽サイトが発見された。
電子メールを送ってフィッシングサイトに誘導し、IDやパスワードといった個人情報を抜き取る手口も急増している。RSAセキュリティの調査によると、2月のフィッシング攻撃は1万2158件に上り、過去1年間で2番目に多くなっているという。
その理由の1つにフィッシングを含むオンライン犯罪で分業化が進んでいることが挙がる。フィッシングメールを送るアドレスを収集したり、ボットネットやフィッシングツールを作成したりする用途で組織が作られており、フィッシングの詐欺犯は各組織からノウハウやツールを入手し、フィッシングサイトの設置やフィッシングメールの送信をしているのだという。
「これまでのフィッシングは愉快犯的な攻撃だったが、2007年ごろから手法を分業するなどビジネスモデル化している」(RSAセキュリティマーケティング統括本部の岩尾健一マーケティングマネジャー)
フィッシング攻撃は今後どのようになるのか。巧妙な手口が出てくる一方で、「メールを送って偽サイトに誘導するシンプルな攻撃が今後も継続する」と岩尾氏は指摘する。
このような攻撃は、セキュリティ対策をきちんと講じていれば防ぐことができる。だが「実際に狙われるまで対策をしない企業も少なくない」(岩尾氏)。ユーザー側の危機管理意識の薄さは、詐欺犯にとって格好の餌食となる。
フィッシングは金融機関のように金銭搾取につながるサイトだけにとどまらない。SNS(ソーシャルネットワーキングサービス)やブログ、掲示板を狙ったフィッシング攻撃も増加しているという。大手SNSのmixiをかたるフィッシングも起こっている。詐欺犯はフィッシングで得た個人情報の人物になりすまし、SNS内のコミュニティーなどに偽サイトに誘導するURLを書き込む。
岩尾氏によると「フィッシングという言葉を知っているユーザーは約8割」という。裏を返せば約2割のユーザーはフィッシング自体を知らないことを示している。フィッシング攻撃とその対策は総じていたちごっことなってしまう。だが対策以前に、「自分だけは攻撃を受けないと慢心するユーザーが少なからずいる」(同氏)ことが問題だ。そんな心の隙を狙うのが詐欺犯である。ユーザーはこれまで以上に危機管理意識を持つ必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.