叡智の三猿

~情報セキュリティで森羅万象を捉える~

魚釣りとフィッシング詐欺

増加しているフィッシング詐欺

フィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進を行っている「フィッシング対策協議会 」のホームページを見ると、フィッシングの被害は月を追うごとに増えていることが分ります。報告の内訳としては、AmazonなどのECサイトやクレジットカード会社を偽るフィッシングが多いいようです。新型コロナ禍の影響で、ネットショッピングが増加したことが、フィッシング詐欺の増加につながっていると思います。

f:id:slowtrain2013:20210427143814p:plain
フィッシング報告件数(2020年)

フィッシング詐欺は、実在する公的機関や有名企業を騙ったメールやSMS(ショートメッセージサービス)を送信し、正規のウェブサイトを模倣したフィッシングサイト(偽のウェブサイト)へ誘導することで、個人情報や認証情報等を入力させる詐欺です。フィッシングで詐取された情報は悪用され、金銭的な被害に発展することもあります。

fishingじゃなくてphishing

フィッシングというと、普通は魚釣りを連想すると思います。今日のような初夏の日曜日は、釣り人が大勢来るので、釣果はなかなか出にくいでしょう。ただ、日曜の午後は、釣り人が一気に減ることで、魚が安心してしまい、釣れやすくなるとも聞きます。

フィッシング詐欺は、情報を魚にたとえ、釣り人を攻撃者にたとえた個人情報の搾取と理解できます。それで、基本的に正しいのですが、ちょっと認識しておいた方がいいのが、魚釣りは英語で、fishingですが、フィッシング詐欺のフィッシングは英語で、phishingです。間違えないようにしたいです。
f:id:slowtrain2013:20210427145130p:plain:w300

検索エンジンの検索結果に表示される広告を悪用

最近のフィッシングで特徴的なのは、googleに代表される検索エンジンの検索結果に表示される広告の仕組みを悪用した詐欺です。ターゲットが上位に掲載された不正な広告のリンクにアクセスし、フィッシングサイトに誘導させて、個人情報の入力を促す詐欺です。

普通、google検索エンジンで上位に表示されたら、正規サイトと思いがちです。しかし、googleの場合、検索ワードに関連する広告があれば、下図のように広告をトップに出します。このとき、広告審査をうまく潜り抜けた偽サイトが表示される可能性があります。ここの注意が必要です。

f:id:slowtrain2013:20210427151051p:plain
google検索による広告表示

トレンドマイクロでは、Webサイトの安全性を確認するサービスを無償提供しています(下記)。
Trend Micro Site Safety Center
試しにこのブログ(叡智の三猿)のURLで安全性を確かめてみました。結果は下記のような形で分かりやすく表示されます。怪しいサイトだと思ったら、試してみるといいかもしれません。
f:id:slowtrain2013:20210427152107j:plain:w300

フィッシング対策の基本は「クレジットカード番号やID・パスワード」を安易に入力しないことです。日常で使っているクレジット会社、ECサイトのURLやメールアドレスを記録しておき、通常と異なる相手から連絡が来た場合は、そのメール本文への返信や、ホームページに掲載されたリンクを辿るのはNGです。自分で別な方法で調べて、送信者の正当性を確認する習慣をつけるようにしましょう。難しいようであれば、ネットに個人情報を入力するのをやめる方が安全です。

もし不幸にしてフィッシングの被害を受けた場合は、サービスで利用で使っているパスワードを変更して、サービスの利用を停止する連絡を早くした方がいいです。

パスワードは攻撃者からの推測を難しくするため、長め(出来れば8文字以上)の文字とし、英数記号を混在させるのがベターです。