|
|
| |
■フィッシングとは
メールやWebサイトなどを通じて、あたかも正規サイトからユーザに通知が行われているように見せかける。これによってユーザーを偽サイトに誘導し、ユーザID/パスワード/クレジットカード番号などの情報を盗み取る、窃盗・詐欺などの犯罪のための予備行為
具体的に合った事件では、正規のYahooメールアドレスに偽装したものを送りつけ、そのメールに記載されているURLをクリックするとYahooJapanそっくりの画面が出力され、YahooJapanIDまで入力画面に表示されていたそうです。更に、表示されるURLは http://〜.yahoo.co.jp/〜 と表示されるように偽装されていたと言います。
米国では以前から被害のあった手口ですが、ここ数年で日本でも急増しています。
■フィッシングの手口と対策は?
メールやWebサイトなどを偽装することでユーザーをだまして情報を取得するハッキング手法を紹介しましょう。
下記のURLはYahooを示しています。
URLの上にマウスを当てるとブラウザーの下バーに、ジャンプ先のURLが表示されます。
しかし、実際にクリックすると違うURLに飛ばされてしまいます。
HTMLの盲点を突いた手法と言えます。HTMLの解釈のされ方はブラウザーによって多少違います。ほとんどの人がIEを使用していることから、IEでの解釈のされ方を元にしていると思われます。ブラウザを変えることもフィッシングを見破るひとつの手段といえるでしょう。
その他、JavaScriptを使用してブラウザーにそれを実行させることにより、ユーザー情報を盗む方法やスパイウェアソフトをユーザーのPCに送り込んで情報を盗み取る方法などがあります。
中にはDNS情報を書き換えるタイプもあり、年々進化しています。
DNS情報を書き換えられては我々でも騙されるでしょう。
以前は、フィッシングの対策として偽のIDとパスワードを入力して、それを通すかどうかで見分けると言う方法が紹介されていました。しかし、最近では偽のパスワードは受け付けない(実際に本物のサーバーを中継する仕掛け)ものまで出てきています。
このようにフィッシング詐欺の被害が増大することで「フィッシング詐欺110番」や「フィッシング対策協議会」が設立されています。しかし、本腰をあげるのはこれからだと思われます。
やはり、現状では自分の身は自分で守るしかないようです。
|
|
|
Copyright c 2003-2008 Nekomame Dou ALL RIGHT RESERVED.
