概要
フィッシング(Phishing)とは、金融機関を詐称したメールなどから悪意ある偽サイトへ誘導し、住所、氏名、ユーザーID、パスワード、銀行口座などの機微情報を窃取する詐欺行為です。
攻撃者はあらかじめ設置した特定の金融機関などの偽サイト内にて、標的ユーザーが個人情報を入力するよう誘います。
その偽サイトは「フィッシングサイト」と呼ばれます。
この偽サイトへ誘導するためメールを「フィッシングメール」と呼びます。
偽サイトは、偽装サイト生成ツールによって、容易に本物のサイトとそっくりに作成できてしまいます。
ツールを利用することによって、海外向けのサイトでも簡単に作れてしまいます。
これは、攻撃者にとって言語の障壁が実質なくなりつつあるという事と言えるでしょう。
背景と事例
サイバー攻撃の多くが、金銭窃取を目的としたものと言われています。
なかでもフィッシングは古典的な部類に分けられます。
その起源は1996年に遡ります。
アメリカオンライン(AOL)ユーザーのアカウント情報を狙った攻撃から生まれた造語なのだそうです。
以降、インターネット上で窃取したAOLユーザーのアカウントを「フィッシュ」と呼ぶようになったようです。
この「フィッシュ」から情報を窃取するためのソフトウェア「AOHell」が1995年初期に登場します。
これが、元祖フィッシングメールの生成ツールだと言われています。
AOHellによって、サイバー犯罪者はフィッシングメールなどを生成するのです。
フィッシングメールには多くの場合、本文内に偽サイトのURLリンクを記載し、そこから被害者を誘導しようとします。
誘導先のURLが、ウイルス対策やスパム対策製品に登録されていれば、これらのメールは遮断されますが、不正なメールを完全に見抜くことは困難です。
偽サイトで個人情報などを入力してしまうと、その入力情報が攻撃者によって盗用されることになるのです。
近年のフィッシングサイトでは、インターネットバンキングのユーザーを狙ったものが知られています。
インターネットバンキングの偽サイトへの誘導手口は、ユーザーが利用するデバイスと同様に変化しつつあります。
スマートデバイスの普及によって、VishingやSMSの悪用による攻撃も増えているのです。
フィッシングの被害を最小限にする方法の1つは、フィッシングサイトの早期の発見です。
Anti-Phishing Working Groupによる情報共有のためのワーキンググループは、そのグローバルの取り組みが知られています。
国内においてはフィッシング対策協議会が活動への参加を呼びかけています。