巧妙化だけでなく、新たな手法も出現する「フィッシング」

　フィッシングとは、銀行やクレジットカード会社などの金融機関を装った電子メールを送り、住所や氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為だ。

　読者の多くは、迷惑メールを受け取った経験があるだろう。そのなかで、世界中に送りつけるためか英語のままだったり、日本語になっていても翻訳がおかしかったりと、見るからに怪しいものであれば不用意にメールを開封しないのではないだろうか。

　しかし、近年はこれが巧妙化し、攻撃者が金融機関のメール文面やシグネチャなどを研究することで本物のと偽物の区別がつきにくくなっている。

　またフィッシングメールだけでなく、フィッシングサイトも同様だ。サイトの作りも完成度が高くなっており、URLなどをしっかり確認しないとフィッシングサイトとは気が付かないケースもみられる。

SNS時代は拡散の危険あり、メール以外の誘導に注意せよ

　さらにソーシャルメディア全盛ならではの、新たなフィッシングの手法も生まれている。

　ひとつは、攻撃サイトへのメール誘導が、SNSなどのリンクやシェアに変わってきていることだ。端末側の脆弱性を利用してマルウェアに感染させたり、スパイウェアや偽アプリをダウンロードさせたり、あるいは単なる広告やクリックを稼ぐだけのサイトへ誘導するために、SNSが利用されているのだ。

　筆者が調べた範囲では誘導先がフィッシングサイトという事例は確認できなかったが、攻撃行為の中でアカウント情報を窃取するような手口が、今後もでてこないとは限らない。なにより、興味を惹くタイトルを見て不用意にシェアしてしまうのは非常に危険である。

　たとえば「○○銀行ではパスワード変更を促しているようです」とか「○○の手続きはこのリンクからログインすればできます」といった偽情報がシェアやリツイートの形で流れてくるかもしれない。金融機関での不祥事や、キャンペーンなどのニュースがタイムリーに発信されていた場合、騙される人がいても不思議はないだろう。

【次ページ】フィッシングを取り締まることが難しい理由