Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

フィッシング・メールを見破る4つの確実な手がかり

ネットワーク・セキュリティの最前線にいるセキュリティ担当者は、最新のさまざまな脅威からネットワークを保護するために日夜努力をしています。境界ゲートウェイやエンドポイントに対してはできるだけ早くに最新のウイルスおよびスパイウェアの定義ファイルを適用し、アプリケーションやオペレーティング・システムにはベンダーから提供されるパッチを素早く適用するよう尽力しています。しかしながら、あくまでも人間であるエンドユーザの行動については、このようなセキュリティ担当者の努力でカバーすることは非常に困難です。

つまり、最も新しく、そして最も巧妙なソーシャル・エンジニアリングの手法であるフィッシングに対して無警戒なユーザを、Web フィルタリングなどの技術的な手段を用いて確実に保護することはできないということです。こうした狡猾な攻撃手法への対策として最も効果的なのは教育です。ここでは、フィッシング・メールであることを見破る4つの確実な手がかりを示します。セキュリティ担当者はこれを基に、電子メールに露見しているフィッシングの証をエンドユーザが確実に認識できるようユーザ教育を行う必要があります。

フィッシング・メールであることを示す4つの手がかり
口座番号やログイン名、パスワード、「パスワードを忘れたときの質問」に対する答え(母親の旧姓や出生地など)などの個人情報を尋ねている──きちんとした組織は、このような機密情報を電子メールで送るように求めることはしません。

「必要な情報を直ちにお送りいただけない場合は、アカウントが一時停止されるか、または抹消されます」などと脅している──このような電子メールは、ほとんどの場合フィッシングです。社会的地位のある組織は、自社の顧客を脅すようなことはしません。

パーソナライゼーション(個人を特定していない)されていない、または顧客に対する意識の低さが感じられる──「お客様各位」、「会員の皆さまへ」などとあるだけで宛名が特定されていない電子メールは、詐欺を行おうとしている可能性が高いと言えます。自社の顧客を把握していないような企業は、長期的に事業を続けることはしません。また、タイプミスや文法ミス、不適切な言葉遣いなども、フィッシングの証拠とみなすことができます。

金儲けを持ちかけている──宝くじの共同購入や、海外送金のために個人の当座預金口座を貸して手数料を得ることを持ちかける電子メールは、ほぼ間違いなく詐欺メールです。この種の詐欺としては、ナイジェリアの実在または架空の金融機関を名乗る「ナイジェリア詐欺」と呼ばれるものが有名です。このタイプの電子メールは、もともとは「当座預金口座の番号さえ教えてもらえれば大金を提供する」と申し出る、よくあるプレーン・テキストによるスパム・メールの1つでしたが、HTML と洗練された画像を用いたメールを使用することで、より本物らしいオンライン詐欺へと進化しています。

フィッシングに気付いたら然るべき組織へ報告を
自社がフィッシング攻撃の対象になっていることが判明し、ユーザに対して警戒を呼びかけた後は、適切な団体へ報告を行います。銀行やeコマース・サイトなど、フィッシング・サイトが作られやすい企業では、フィッシングや詐欺を報告するための専用のメール・アドレスを開設している場合があります(Wells Fargo 銀行の reportphish@wellsfargo.com や PayPal の spoof@paypal.com など)。フィッシングに利用されている企業の Web サイトで、このようなアドレスが用意されていないかどうかを確認してください。また多くの企業の場合、一般的な abuse@ アドレスもフィッシングの報告先として利用できます。
特定の金融機関ではなく、クレジット・カードのブランドそのものを装っているフィッシングの場合は、次のアドレスに報告できます。
American Express
MasterCard
Visa
   
独立系のフィッシング対策組織でも報告を受け付けています。これらの組織では、報告された事例をデータベースに追加して警戒を呼びかけたり、詐欺サイトを追跡して閉鎖に追い込むなどの活動も行っています。フィッシング・メール全体(ヘッダーも含む)を、件名を変えずに下記の団体に送ってください。
Anti-Phishing Working Group
Better Business Bureau
Call for Action, Inc.
Phishing Incident Reporting and Termination Squad
United States Computer Emergency Readiness Team
   
フィッシングのアーカイブ
自社の受けたフィッシング攻撃がすでに報告されているかどうかは、フィッシング対策組織が提供する各種リソースのほか、次の Web サイトでも確認できます。これらの Web サイトでは、フィッシング・サイトの現在および過去の記録が多数提供されています。
Millersmiles.co.uk (Anti-Phishing Working Group のパートナー)
The Phish Tank

フィッシング・サイトのホスティングを防ぐために
別の観点から見て同じように重要なのは、自社のネットワーク・リソースが知らぬ間にフィッシング攻撃に利用されてしまうのを防ぐことです。実際、今年前半にはロシアの銀行がこのような被害に遭っています。このロシアの銀行のケースでは、サイバー犯罪者によって銀行自身のサーバ上にフィッシング・サイトが構築されました。ただし、こうした被害に遭う確率は、適切な対策を講じることによって低減することが可能です。チェック・ポイントの VPN-1 Power および VPN-1 UTM のオプション・コンポーネントである Web Intelligence は、フィッシングで用いられる一般的な手法(クロスサイト・スクリプティングなど)をブロックすることで企業の Web サーバを保護します。これにより、意図せずフィッシング攻撃に荷担してしまうリスクを軽減することが可能になります。