東京2020で、フィッシング攻撃が流行る

2020年の開催に向けて、日増しにムードの高まりを見せている東京オリンピック(東京2020)。先ごろ行われたチケット販売の当選倍率は約5.3倍にものぼり、チケットを購入するのは至難の業となっています。

こうした状況で心配されるのが、「フィッシング攻撃」の増加。フィッシング攻撃とは公式サイトに模倣したサイトにユーザーを誘導し、個人情報を不正に盗み出す犯罪行為を呼びます。実際に東京オリンピックのチケット販売や転売を狙って「Tokyo2020」に関連したドメインが多数取得されるなど、被害リスクの高まりが懸念されています。

そこで今回は、フィッシング攻撃について詳しく解説。攻撃者の狙いや手口、被害に合わないための対策についてチェックしていきましょう。

フィッシング攻撃とは?

フィッシング攻撃とは、知名度の高い送信者になりすましたメールから、偽のサイトに誘導し、個人情報を盗む犯罪行為のことを言います。

信頼度の高い団体や大手通販サイト、携帯電話会社を語ってメールを送信する手口が多く、メール内に記載されたリンクからサイトに誘導し、IDやパスワードを入力させる手口が一般的です。

エサをちらつかせて情報を手に入れるその手法が、フィッシング(釣り)の語源となっています。

フィッシングの手口は年々精巧化している

フィッシング攻撃は古くから用いられる犯罪の手法ですが、その手口は年々精巧化。以前はメールの文面やアドレスが、明らかに疑わしいものが多かったのですが、最近では一目では分からないほど巧妙に偽装されています。

東京オリンピックの開催にあわせて、チケットの販売や転売をうたったフィッシング攻撃が増加しており、今後もチケットを購入したいユーザーを狙った詐欺行為が横行することが予想されます。

攻撃者の狙いとは?

では、フィッシング攻撃を仕掛ける攻撃者には、どんな狙いがあるのでしょうか?

IDやパスワードを使って利益を得る

攻撃者の狙いは、ユーザーのIDやパスワードを取得すること。

この情報を使って、あたかもユーザー本人がログインしたかのように偽装し、商品を購入。その商品を転売することで、マネーロンダリング(資金洗浄)を行います。

また、クレジットカード情報の転売や、他サイトでIDやパスワードを利用する手口も横行。こうした不正に取得したアカウント情報で、利益を得るのがフィッシング攻撃の狙いです。

具体的な攻撃方法は?

年々手口が精巧化しているフィッシング攻撃ですが、具体的にどんな攻撃方法があるのでしょうか?

メールだけでなく広告を偽装する手口も

フィッシング攻撃では、送信されたメールのリンクから詐欺サイトへ誘導する手口が一般的ですが、それ以外にも広告を偽装する方法が見受けられます。

例えば、メール内やWeb上に表示されるバナー広告を、大手通販サイトのセール広告に酷似させてクリックさせる方法や、偽のポップアップ広告を表示させる方法などが挙げられます。

また、実際に自宅に郵便物を郵送し、そこから偽サイトへ誘導する手口も出てくるなど、フィッシング攻撃の手口も多様化しているようです。

フィッシング攻撃の被害を防ぐには?

巧妙にユーザーを欺き情報を手に入れようとするフィッシング攻撃。この被害から身を守るにはどうすれば良いのでしょうか?

1.送信者のドメインを確認する

まずは、送信されてきたメールのドメインをきちんと確認するようにしましょう。

例えば、東京オリンピックのチケット販売では、公式サイトでのみ購入や転売を行えます。攻撃者は偽サイトに誘導できるよう、公式ドメインにそっくりなものを掲載していますが、少しでも違いがあるようなら、クリックしないのが鉄則です。

また、送信者情報そのものを偽装する手法もあるため、見知らぬメールはまず疑ってかかる意識を持っておく必要もあるでしょう。

2.セキュリティソフトを利用する

セキュリティソフトには、フィッシングサイトのURLが辞書化されており、ユーザーが該当サイトにアクセスしようとすると、警告や制限を行ってくれます。

こうしたセキュリティソフトをパソコンに入れておくことは、フィッシング攻撃の被害を防ぐには効果的です。

3.SSL化されているか確認する

仮に、フィッシング攻撃と気付かずサイトにアクセスした場合は、まずSSL化されているかを確認しましょう。

SSLとは、インターネット上のデータを暗号化する仕組みで、SSL化されたサイトのURLは「https」と表示されます。また、GoogleクロームのブラウザからSSL化されていないサイトにアクセスすると、アドレスバーに「保護されていません」という文字が表示されるようになっています。

フィッシング攻撃を防ぐために、ブラウザをGoogleクロームに乗り換えるのもアイデアの1つです。

4.IDやパスワードを工夫する

仮にIDやパスワードを盗まれてしまった場合を想定して、他サイトで同じIDやパスワードを流用しないようにしておくのも、被害の拡大を防ぐためには有効でしょう。

また、IDやパスワードを設定する場合はできるだけ複雑なものを設定します。例えば、あえて日本語を使ったパスワードを設定するのは効果的です。こうした情報セキュリティを狙った犯罪では、英語の辞書をベースにシステムが作られることが多く、日本語の単語をローマ字で入力する方法は効果を発揮します。

IDやパスワードは、最新のブラウザに覚えさせてしまい、入力作業自体を省略するのも最近では一般的な手法と言えます。

まとめ

今回は、東京オリンピックの開催に向けて被害の増加が予想される、フィッシング攻撃について解説しました。

フィッシング攻撃とは、知名度の高い送信者になりすましたメールから、偽サイトに誘導し、ユーザーのIDやパスワードを盗み出す犯罪行為です。攻撃者は手に入れたユーザー情報で商品を購入しマネーロンダリングに利用するほか、クレジットカード情報を販売するなどして不正に利益を得ます。

被害を防ぐには、1)送信者のドメインを確認する、2)セキュリティソフトを利用する、3)SSL化しているか確認する、4)ID・パスワードを工夫する、といった方法が挙げられるしょう。

フィッシング攻撃をはじめ、情報セキュリティを狙った犯罪は年々巧妙化し、被害も拡大しています。KRAF(クラフ)では、こうした脅威から大切な情報を守り、安心を提供する仕事を担う仲間を募集しています。

セキュリティの脆弱性診断を通じて、私たちと一緒に社会に安心を提供していきましょう!

関連記事