「こんなの怪しくてすぐ見破れるwww」 最近のフィッシング詐欺はそんな人が引っ掛かる:半径300メートルのIT(2/2 ページ)
ここまで手の込んだフィッシングメールが出てくると、「自分もだまされるかもしれない」と思っているくらいがちょうどいいのかもしれません。
「引っ掛かるわけない」とタカをくくっていると……
今回の東京ディズニーランドのチケットに関する文面を見ると、日本人なら書かないような表現があからさまに使われており、おそらくほとんどの人は簡単に見破れたのではないかと思います。Twitterを見ても、「一体、誰がこれに引っ掛かるんだ」という反応が多いようです。
しかし……、フィッシング詐欺を甘く見てはなりません。もし、おかしな言葉遣いだけが判断材料だったとするならば、犯行グループが「日本語ネイティブの人間」を一人連れてきて、文面をレビューさせてしまえば、あっという間に成功率は高くなるでしょう。
例えば特定の企業を狙ったケースでは、あらかじめ企業内に潜入して飛び交うメールの内容を把握し、実際に送信されたメールの内容を数時間後に再利用するフィッシングメールも存在します。これを悪意ある者の仕業だと判断することは、もはやできないでしょう。
このような特定企業を狙った標的型攻撃は投資対効果が大きいため、じっくり下調べができます。今回の東京ディズニーランドチケットのケースは、まだ、どこまでできるかを探っている状態かもしれません。もし、「このネタは使える」と思わせてしまったら、私たちが支払う代償はとてつもなく大きくなってしまいます。
犯罪者にそう思わせないためには、私たちがフィッシングメールに対して「情報武装している」ことを実感させ、攻撃のコストが高いと知らしめなくてはならないのです。
そのためにも、Twitterを使っている人はまず、「@MPD_cybersec」と「@nisc_forecast」をフォローしてほしいのです。
つい、引っ掛かりそうになるのは……
個人的に気になるのは、今回のディズニーチケットのような「万人が何となく欲しいと思っているもの」で釣るよりも、「その人が今、最も欲しいと思っているもの」で釣った方がだましやすいことです。
犯人がフィッシングに加えて「ソーシャルエンジニアリング」を使った場合、例えばSNSで「○○のコンサートのチケットに外れた! 行きたかったのに!」とつぶやいている人に向け、「追加席があります、でもこれは特別にあなただけに教える情報です。SNSでは書かないでください」といういかにもそれっぽい文面でURLを送ることができるわけです。こんな手口なら、私もだまされてしまいそうです。
「ネット上には、おいしい話などない」――。そう構えるのが一番の安全策かもしれません。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
関連記事
- 「半径300メートルのIT」記事一覧
- あなたのスマホが使えなくなる日
- 標的型攻撃への対応、正解は「ファイルを開かない」……だけではない
- iPhoneが安全とは限らない? マルウェア「iXintpwn」の思わぬ手口
- 私のアカウント、乗っ取られた? 不安な時に“すぐできる”チェック法
- Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.