人はなぜフィッシングに引っかかるのか

2014年10月8日

フィッシング攻撃は、21世紀のサイバー犯罪で最も広く用いられる手口です。フィッシングによる被害は、連日報じられています。フィッシングは日に日に巧妙さを増しており、発生件数も増えています。スパムメールはただ迷惑なだけですが、フィッシングの場合は実際に金銭的被害が発生することも少なくありません。この脅威はまさしく現実のものであり、回避する方法を学ぶ必要があります。

フィッシング

フィッシングが成功するしくみ

ユーザーの信用を利用する手段は無数にある

フィッシングがこれほど成功しているのには、実に多くの理由があります。その1つが、標的に心理トリックをしかけてトラブルに巻き込む詐欺師の能力です。無料プレゼントのようなうまい話をちらつかせてユーザーを引っかけるのは、よくあるやり方です。多くの人が無料プレゼントを手に入れようとするため、とても有効なのです。

無料プレゼントはユーザーを罠にかける効果的な手段

詐欺師は特定のトピックやイベントに便乗することもあります。たとえば、今年行われたFIFAワールドカップの終了後には、大規模な詐欺がありました。2014年夏、FIFA公式ページを装ったフィッシングサイトが、ウルグアイ代表チームのフォワード、ルイス・アルベルト・スアレス(Luis Albert Suarez)選手を擁護する嘆願書への署名を呼びかけていたのです。嘆願書に署名するには、オンラインフォームに氏名、居住国、携帯電話番号、メールアドレスを入力しなければなりませんでした。

他にも、ワールドカップの電子チケットをダウンロードできるという詐欺サイトもありました。そのリンクをクリックしても、ダウンロードされるのはトロイの木馬で、重要な個人情報や金融関連の情報を盗まれてしまいます。

sms-300x225

思慮深い人に対しては、別の手段が使われます。たとえばSNSを利用して、友達のアカウントから広範囲に詐欺をしかけるのです。

Kaspersky Labの調べでは、2013年にアンチフィッシングモジュールが発した警告の35%以上が、SNSのページに見せかけたフィッシングサイトへのアクセスでした。当社ではフィッシングサイトへのアクセス試行を6億回検知しましたが、そのうち22%は偽のFacebookページでした。

人を騙してフィッシングのリンクをクリックさせるのに有効な手段としては、焦らせてパニックに陥れるやり方もあります。たとえば、ユーザープロフィールや銀行口座へのアクセスを凍結する、と脅すケースです。効果を高めるために、いわゆる「ビッシング」(Vishing:電話を使ったフィッシング。「ボイスフィッシング」とも)も行われています。こんな緊急事態に直面したとき、アカウントの凍結を避けるために必要だとの理由で「銀行員」を名乗る人物からクレジットカード情報を強引に聞かれたら、冷静に拒否できる人はそうそういません。

フィッシングは常に進化している

フィッシングがこれほど成功している主な理由の1つは、フィッシングツールの技術が継続的に進化し、たいへん高度になっていることです。

偽のWebサイトは、本物のページとはほとんど見分けがつきません。さらに、大半の偽サイトは信頼できそうなドメイン名を使用しており、本物の証明書を使ったHTTPS接続が採用されていることすらあります。

モバイルデバイスを狙ったフィッシングも目立ってきました。スマートフォンやタブレットの技術的な特長(画面サイズが小さいなど)のために、フィッシングサイトと正規サイトの区別がつけにくいのです。

フィッシング攻撃は、狙ったシステムに入り込まなくても実行できます。そのため、フィッシングからユーザーを十分に保護できる既存のプラットフォームはなく、フィッシングはあらゆるプラットフォームにとって脅威となっています。

サイバー犯罪者の儲けが極めて大きい

フィッシングの猛威は去ることがないでしょう。フィッシングは、非常に儲かるのです。フィッシングツールは簡単に手に入りますし、利用者が多いSNS(何せ、6億回アクセスですから)のおかげで、広範囲に詐欺をしかけることができます。また、アクションのほとんどは自動で実行されるので、ほとんど手間がかかりません。

BustedDobruna-1

以上を総合して考えると、サイバー犯罪者が手にする利益は相当な額です。大半のケースでは金融関連の情報が狙われるため、手に入れたデータをお金に変える高度な手段は必要ないのです。

さらに、フィッシングは他の犯罪手段と併用される傾向にあり、詐欺師にとっての相乗効果が生まれています。あなたがフィッシングの迷惑メールを受け取ったとしましょう。サイバー犯罪者は、あなたの連絡先リストを手に入れたら、リストに載っている人々へ、同じフィッシングメールをすぐさま送りつけます。こうして、「生きている」連絡先をデータベースに登録していき、このデータベースを元に大量のマルウェアを送信し、その結果できあがったボットネットを、目的に応じて利用するのです。

フィッシングは他の犯罪手段と併用される傾向にあり、詐欺師にとっての相乗効果が生まれている

詐欺師が欲しがっているのがクレジットカードやお金の情報だけだと思わないでください。多くの詐欺師は、メールサービスやSNSの認証情報を手に入れたいのです。

フィッシングに引っかからないために

では、どのように身を守ればいいのでしょうか?まずは常識を働かせることです。

Keep-Calm-And-Check-Twice-300x300

冷静になり、挑発に乗らないようにしましょう。これはオンライン詐欺でも「ビッシング」でも同じことです。それから、リンクとその先のWebサイトをよく確認してください。友人や同僚から怪しいリンクが届いたら、リンクをクリックする前に、送ってきたのが本人なのかどうかを確認する必要があります。「ビッシング」攻撃を受けたときは、銀行員はクレジットカード情報をしつこく聞いたりしないのだ、ということを思い出しましょう。

理想を言えば、Webサイトにアクセスする際は、リンクを辿るのではなく、アドレスを手入力するのが一番です。当然ながら、どんなWebサイトにアクセスする場合でも、強力なセキュリティ製品をインストールしてあるデバイスから、保護のかかったネットワークを使ってアクセスする必要があります。アンチウイルスソフトウェアは、定期的に更新してください。アンチフィッシング機能を備えた製品では、特に更新が重要です。たとえば、カスペルスキーインターネットセキュリティに内蔵のアンチフィッシングモジュールは、アクセス先のWebサイトが詐欺サイトであるとわかっているサイトではないかチェックするほか、200以上の基準に基づいて危険な可能性のあるサイトを検知します。