連載
» 2017年12月12日 07時00分 公開

半径300メートルのIT:「こんなの怪しくてすぐ見破れるwww」 最近のフィッシング詐欺はそんな人が引っ掛かる (2/2)

[宮田健,ITmedia]
前のページへ 1|2       

「引っ掛かるわけない」とタカをくくっていると……

 今回の東京ディズニーランドのチケットに関する文面を見ると、日本人なら書かないような表現があからさまに使われており、おそらくほとんどの人は簡単に見破れたのではないかと思います。Twitterを見ても、「一体、誰がこれに引っ掛かるんだ」という反応が多いようです。

 しかし……、フィッシング詐欺を甘く見てはなりません。もし、おかしな言葉遣いだけが判断材料だったとするならば、犯行グループが「日本語ネイティブの人間」を一人連れてきて、文面をレビューさせてしまえば、あっという間に成功率は高くなるでしょう。

 例えば特定の企業を狙ったケースでは、あらかじめ企業内に潜入して飛び交うメールの内容を把握し、実際に送信されたメールの内容を数時間後に再利用するフィッシングメールも存在します。これを悪意ある者の仕業だと判断することは、もはやできないでしょう。

Photo 標的型攻撃の場合、フィッシングメールはもはや見分けることは不可能なレベルになっている (警察庁 標的型メール攻撃事例より)

 このような特定企業を狙った標的型攻撃は投資対効果が大きいため、じっくり下調べができます。今回の東京ディズニーランドチケットのケースは、まだ、どこまでできるかを探っている状態かもしれません。もし、「このネタは使える」と思わせてしまったら、私たちが支払う代償はとてつもなく大きくなってしまいます。

 犯罪者にそう思わせないためには、私たちがフィッシングメールに対して「情報武装している」ことを実感させ、攻撃のコストが高いと知らしめなくてはならないのです。

 そのためにも、Twitterを使っている人はまず、「@MPD_cybersec」と「@nisc_forecast」をフォローしてほしいのです。

つい、引っ掛かりそうになるのは……

 個人的に気になるのは、今回のディズニーチケットのような「万人が何となく欲しいと思っているもの」で釣るよりも、「その人が今、最も欲しいと思っているもの」で釣った方がだましやすいことです。

 犯人がフィッシングに加えて「ソーシャルエンジニアリング」を使った場合、例えばSNSで「○○のコンサートのチケットに外れた! 行きたかったのに!」とつぶやいている人に向け、「追加席があります、でもこれは特別にあなただけに教える情報です。SNSでは書かないでください」といういかにもそれっぽい文面でURLを送ることができるわけです。こんな手口なら、私もだまされてしまいそうです。

 「ネット上には、おいしい話などない」――。そう構えるのが一番の安全策かもしれません。

著者紹介:宮田健(みやた・たけし)

デジタルの作法 『デジタルの作法』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ