フィッシング

影響

オンラインバンキングのアカウント情報やクレジットカード情報が盗まれると、不正利用により甚大な金銭被害につながりかねない。また、盗まれた情報がブラックマーケットで売買される可能性もある。
オンラインゲームでは盗んだアカウント情報を使ってユーザーになりすまし換金目的でゲーム内の仮想通貨やアイテムを盗む、メールやオークションなどでは利用者になりすましてサービスを悪用されたり他サービスに不正ログインするための「パスワードリスト攻撃」が実行されるケースもある。

企業では、従業員が利用しているメールサービスやストレージサービスのIDとパスワードを盗まれると、業務情報が漏洩する可能性があるほか、スパムメールの送信など踏み台に悪用される恐れがある。

主な感染／被害の流れ

• 企業に偽装したフィッシングメール→本文のリンクをクリック→フィッシングサイトに誘導→IDとパスワードを送信→攻撃者が取得
• 企業に偽装したフィッシングメール→添付ファイルを開封→暗証番号の入力画面が表示→入力して送信→攻撃者に詐取される
• SNSに友人や知人を装ってフィッシングサイトのURLを投稿→クリックしてフィッシングサイトにアクセス→個人情報を騙し取られる

主な対策と注意点

被害者にならないための対策

• Webサービスにはメールに記載されたリンクからアクセスせず、事前に登録したブックマークなどからアクセスする。
• Webサービスを利用する際は、ドメインが正しいものか確認する。ただし、酷似したドメインが使われている場合もあるので慎重に。
• 個人情報などを送信する際、SSL証明書を用いた暗号化通信が行われているか確認し、認証局から正規に発行されたものか確認する。
• 不正サイトへの接続を防止するセキュリティ対策ソフトやフィルタリングソフトを導入する。

攻撃に利用されないための対策

• 送信ドメイン認証を利用して、メールが正規の送信者であることを証明する
• 定期的に顧客への注意喚起を行ったり、偽サイトを見分ける方法の周知徹底を行う
• 自社サービスのフィッシングサイトが発生していないか注意する。発見した場合は、利用者への注意喚起やフィッシング対策協議会への報告を速やかに行う
• 利用者向けにフィッシングを防止するソフトを提供したり、多要素認証を導入する

企業の場合、情報を盗まれる被害だけでなく、攻撃に悪用される可能性もある。特に有名企業の場合、知名度に便乗して狙われる可能性も高く、企業イメージに傷が付く恐れもある。フィッシングサイトの発生自体を防ぐことは難しいため、発生後の顧客への対応などを事前に策定して、被害の拡大を食い止める。