SS1製品サイトフィッシング詐欺のトレンドとは
送信者を偽装してメールを送りつけ、偽サイトなどに誘導するフィッシング詐欺。銀行やクレジットカードの会社を名乗るものが多い印象を持っている人も多いものですが、最近はそのトレンドが変わってきています。
そして、IDやパスワードが漏れるとその被害は個人だけでなく企業にも及ぶ可能性があります。どのような手口が使われるのか、そして高度な攻撃から身を守るために企業として実施すべき対策について紹介します。
送信者の偽装
メールの送信者を偽装するときに単純なのは、送信者の名前(表示名)を書き換える方法です。これはメールを送信するときに、メールソフトの設定画面で差出人の欄に記入する名前を変更するだけなので、誰でも簡単に偽装できます。
このような単純な方法でも、スマートフォンのメールソフトで差出人の欄に表示されるのは表示名だけなので、騙されてしまう人がいるかもしれません。しかし、メールアドレスを表示すれば、偽の送信者であることは容易にわかります。
もう少し工夫すると、差出人の欄に表示されるメールアドレスも偽装できます。メールの差出人の欄に表示されるメールアドレスは、上記の表示名と同様に、メールソフトの設定画面で変更できます。もちろん、受信者がそのメールに返信すると本来のメールアドレスの所有者に届くため、偽のメールが送信されたことに気づくかもしれませんが、フィッシング詐欺ではリンクをクリックするだけのことが多く、返信することは少ないものです。
このような問題があり、正規のメールサーバーから送信されたメールであることを受信者が気付けるようにするために、さまざまな技術が使われるようになりました。
たとえば、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication、Reporting and Conformance)といった「送信ドメイン認証」が挙げられます。このような手法が広がりつつありますが、この認証を回避する方法もあり、差出人の偽装を確実に防げるものではありません。
本文で判断できるか
メールアドレスを見て判断できないとなると、メールの件名や本文の内容を見て判断することになります。
フィッシング詐欺では、偽サイトに誘導するために本文にURLが書かれており、そのURLがリンクになっています。このリンクをクリックすることで、偽サイトに誘導され、そこでIDやパスワードなどを入力させるなどの方法で個人情報を盗み出す手口です。
この被害に遭わないためには、リンクのURLを見てドメイン名などから判断する方法もありますが、HTMLメールをスマートフォンで開いているような場合は、URLを見ることができません。また、URLを短くする「短縮URL」のサービスが使われていることも多く、URLを見ただけでは正規のサイトかどうかを判断するのは難しいものです。
このため、リンクをクリックしてはじめて偽サイトだと気づくこともあります。リンクをクリックしても、正規のドメインを覚えているとは限らず、ITに詳しくない人が判断するのは難しいといえます。
メール以外の手段でのフィッシング(SNS、SMS)
フィッシング詐欺というとメールのイメージがありますが、最近ではSMS(ショートメッセージ)やSNSを使った攻撃も多く使われています。
代表的な攻撃手法としてSMSを使って宅配便の通知を装ったものが挙げられます。「荷物をお届けにあがりましたが、不在のため持ち帰りました。詳しくはこちら。」というメッセージと合わせてURLが書かれていると、そのURLにアクセスしてしまう人がいます。
また、SNSで友人のアカウントを乗っ取ってメッセージを送信してくる場合もあります。YouTubeなどの動画投稿サイトのURLに見せかけたメッセージが届くと、そのリンクをクリックしてしまいがちです。
これらで偽装されるWebサイトは宅配便や動画投稿サイトなどで、銀行やクレジットカード会社とは異なります。これらのフィッシング詐欺の目的は、直接的に金銭を奪うことではなく、IDやパスワードを盗むことです。
パスワードを使い回している場合には、同じIDとパスワードを使用している別のサービスにも勝手にログインされ、さらにその友人にメッセージを送信して広がっていくなどの被害が発生します。
このため、フィッシング詐欺に遭わないように注意するだけでなく、パスワードを使いまわさないことが求められます。
Googleフォームなどの悪用
メールやSMS、SNSでフィッシング詐欺のリンクが届いても、そのページを開いたあとのURLを見て判断できると考える人がいるかもしれません。しかし、URLを見るだけでは判断できないものも増えています。
その代表的な例がGoogleフォームなどを悪用したものです。多くの企業がGoogleフォームやMicrosoft Formsを使ってアンケートを作成し、回答を集めていますが、この設問をコピーして作成する方法です。
GoogleフォームやMicrosoft Formsの場合、どの企業が作成してもそのドメイン名はGoogleやMicrosoftのものです。つまり、ドメイン名を見ても、それが正規のものなのか判断できません。
また、Dropboxなどのオンラインストレージサービスを使った攻撃もあります。Dropboxは誰でも無料でアカウントを作成できるため、攻撃者も任意のアカウントを作成できます。そして、ファイルを格納し、そのファイルへのリンクを共有します。この共有のタイミングで、攻撃対象に対してメールを送信するのです。
このときに、Dropboxの機能を使って共有すると、メールの差出人はDropboxになります。そして、その共有したファイルもDropboxにあり、そのファイルから偽サイトに誘導するリンクなどを埋め込んでおきます。
ここで紹介したような方法では、メールソフトでのURLの確認や、開いたページのURLの確認でも、フィッシング詐欺のリンクであることを判断できません。つまり、そのサイトが偽サイトであるか判断することが難しいものです。
身に覚えのない取引先からのメールなどでない場合や、正規のWebサイトからリンクされていることなどを確認できない場合には、個人情報を入力するようなことは避けたほうがよいでしょう。
QRコードの悪用
事前にURLを確認する方法を使いにくいのが「QRコード」を使った攻撃です。最近は、スマートフォンを使ってWebサイトを閲覧する人が多いため、ポスターやパンフレットなどにはURLを書くだけでなく、その横にQRコードを掲載することが増えています。
このQRコードは、スマートフォンのカメラで読み取るだけでWebサイトにアクセスできて便利な仕組みですが、これを悪用すると偽サイトに誘導できます。QRコードを見るだけではどのサイトに誘導されるのかわからず、実際にカメラで撮影しないとどのURLにアクセスするのか分かりません。
また、URLを確認せずに開く設定になっていたり、URLを確認できても小さな文字で表示されたりするため、それが似たようなドメインでは正規のサイトか判断するのが難しいものです。この場合も、上記で解説したようなGoogleフォームやDropboxと同じような手法を使われていると、正規のものか判断するのは困難です。
このようなQRコードが使われている例として、企業が用意しているLINE公式アカウントがあります。飲食店などでは、LINE公式アカウントに登録するとクーポンを配布するなどのキャンペーンを実施していることがありますが、このときのQRコードを偽装され、同じ名前のアカウントとして作成されると利用者が気づくのは困難です。そして、友だち登録すると、メッセージを送受信できるため、偽サイトに誘導できてしまいます。
LINE公式アカウントには認証マークが表示されるものもありますが、認証マークを取得するには有料プランに加入が必要で、小規模な店舗では認証マークを取得していないこともあります。
まとめ
フィッシング詐欺による被害を防ぐため、差出人を確認したり、アクセス先のURLを確認したりするという対策が使われてきました。しかし、上記で解説したように手口は巧妙化しており、一般の人が防ぎ切るのは難しくなっていると感じます。
企業の情報システム担当として、世の中でどのような手法が使われているのか、その手口の変化を従業員に啓蒙するなど、社内のセキュリティ意識を向上させることが求められています。また、フィッシング詐欺に遭うことを考慮し、「パスワードを使いまわさない」などの基本的な対策を徹底することも有効でしょう。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
