フィッシング詐欺はインターネットよりも古くから行われてきた詐欺行為で、第三者に対してその人が信頼できる人になりすまして、個人情報を盗み出す行為のことを指します。
オンライン上での匿名性によって詐欺師はより正体を隠しやすくなりました。インターネット上では人が自分はこういう人間だと言ったことをそのまま受け入れる文化があり、ネット越しの人が実際の人がどういう人であるかをあまり気にしない風潮があります。
こういったインタネットの特性を利用して他者になりすます行為を「フィッシング」と呼び、 驚くほど単純で簡単な人をだますトリックです。インターネット黎明期からフィッシング詐欺は行われ、詐欺師はなんの罰も受けないままの状態になっています。
初期のインターネット上におけるフィッシング詐欺は1996年1月に発生しましたものが例として挙げられます。内容は、AOLの従業員になりすましてアカウント情報や支払い情報の詳細を聞き出す、というものでした。
過去数カ月間、Gandiのカスタマーケアのメールになりすまし、所有しているドメイン名の更新が必要だと偽りメール内のリンクをクリックさせようとするフィッシング詐欺メール攻撃が続いており、そういったフィッシング詐欺は20年近く前から発生しているものと大差ありません。
インターネット上のフィッシング詐欺攻撃では、攻撃者は自分ではない誰かになりすまし、ドメイン名を盗むことによって得られる価値やドメイン名の登録に使用されているメールアドレスが比較的簡単に推測可能であることから、ドメイン名の所有者がターゲットになりやすい状態です。
Whoisを確認してどのドメイン名がどのレジストラで登録されているのかを知ることができ、レジストラのデータベースをハッキングしなくても、ユーザーのメールアドレスを推測することさえできればレジストラの名を語りフィッシング詐欺を行うことができます。
参考記事:
(英語) Phishing Number One Cause of Data Breaches: Lessons from Verizon DBIR
フィッシング詐欺は何故20年間も行われてきたのでしょうか。インターネットの始まりから今までの間、フィッシング詐欺を止めさせるような手立てはなかったのでしょうか。
フィッシング詐欺が何故現在も有効な詐欺の手段である理由を一緒に考えてみましょう。
1. ローコスト、ハイリターン
「フィッシング」という名前自体が詐欺師にとっては魅力的な響きです。水の中に餌をたらし、獲物が引っかかるまで待つ… フィッシング詐欺は大量のメールを対象者に送りつけて、誰かがクリックするのを静かに待つだけです。
餌をたらし待つには、時間以外に特段コストはかかりません。1人でもフィッシング詐欺に引っかかるだけで、詐欺師にとっては黒字になる可能性があります。少ない投資ですぐに大金を奪うことができるのです。
2. メールアドレスは簡単になりすましをすることが可能
メールの送信元の名前やメールアドレスを実際とは違うものを使用してメール送信をすることを「なりすましメール (Email spoofing)」といいます。
様々なプロトコルがインターネットにはある中、メールは中でも古いプロトコルで、メールシステムを構築した人たちは送信元の名前やアドレスを偽装できることがこんなにも大きな問題になるとは考えていませんでした。
インターネットが生まれた初期段階では”legitimate spoofing”という、メールの送信元を別のアドレスに変更させるメールの機能やアプリケーションも存在しました。
3. PEBCAK
コンピュータセキュリティにおける弱点はいつもユーザー側にあります。詐欺師はメールシステムの弱点を利用することに長けているだけではなく、人の心理的弱点を突くことにも長けています。
こういった人を欺く方法の一つは、職場や同僚、上司など身近で信頼している人や組織になりすます、ということがあります。上司が重要なドキュメントの提出を依頼してくると、疑問なく渡してしまう場合がほとんどなので、こういった方法は効果的な場合が多いです。
他には旅行に関する通知や配達物など緊急を装うメッセージも多いです。
何か大切なものの期限が切れる、期限内に行動を起こさないと大変なことになる、など心配する気持ちが上回ると発信元を疑い詳細を確認する慎重さを失ってしまうかもしれません。
こういった状況に対して何ができるか
ローコストハイリターンであるフィッシング詐欺をへらすことはかなり難しいですが、我々側でも詐欺にあわないため、なりすましメールを防ぐための方法がいくつかあります。
一つの方法はSPFです。SPFは”Sender Policy Framework”の略で、ドメイン名の所有者がメールを送信するときのIPアドレスを予め設定できる、というものです。
SPFがドメイン名で有効化されている場合、メールを受信するメールサーバーがドメイン名にSPFレコードが設定されているかどうか確認し、もしSPFレコードがある場合はメール送信元のIPアドレスがSPFレコードのIPアドレスと一致しない場合はスパムメールとして扱われます。
次の方法はDKIMです。DKIMは”Domain Keys Identified Mail”の略で、メールに電子署名をして認証を行うことができます。さらに、DMARC は”Domain-based Message Authentication, Reporting, and Conformance”の略で、SPFとDKIM、認証についてのレポーティング機能を統合したものです。GandiではSPFを現在使用でき、DKIMの実装を進めています
最後に重要なことは、教育であり、状況をきちんと把握し対策を考え、他者に知らせることです。フィッシングメールについて啓蒙するメッセージが世に出れば出るほど、それを見た人たちはフィッシングメールがはびこる現状について意識するようになります。
また、アカウントにログインする旨のメールやアカウント情報を提供する必要があると書かれたメールを受信した場合、メール内にあるURLがHTTPSを使用しているかどうか、URLをクリックする前に、クリック後にどのようなページにリダイレクトされるのかを考えるようにしてください。また、該当URLが使用しているTLS/SSL証明書が発行を受けているべき組織に発行をされているかどうかも確認するようにしましょう。
フィッシング詐欺がすぐになくなることはありません。Gandiのユーザーを標的にしたフィッシングメールが送られている場合はすぐに最新情報を発信するようにし、注意を促すようにします。また、DKIMの実装も進め、皆さんが使用できるようにします。
この記事を見てくださった皆さんは、フィッシング詐欺さについて周囲に伝え、常に慎重に行動するように心がけましょう。
Tagged in Nom de domainephishingspoofingセキュリティ
