日経サイエンス  2009年3月号

フィッシング詐欺から身を守る

L. F. クレーナー(カーネギーメロン大学)

 有名企業からのメールを装い,重大な問題を避けるためだとか,特典を受け取るためだとか称して,私たちに速やかに操作するよう仕向けてくるメールがあるのをご存知だろうか。これはフィッシングメールという詐欺目的のものだ。正規のメールに見せかけて,あるウェブサイトにログインさせるか,指定された電話番号に電話をかけさせ,個人情報を引き出すのが典型的だ。なかには被害者がリンクをクリックするかメールの添付ファイルを開くだけで,「マルウエア」と呼ばれる悪意あるソフトウエアがパソコンに侵入するものもあり,フィッシング攻撃者は望むデータを得ることができるだけでなく,そうした被害者のパソコンを操って新たなフィッシングに悪用できるようになる。

 

 フィッシング詐欺を細かく見ていくとさまざまな種類があるものの,そのやり口はほとんど同じだ。疑うことを知らない多数の被害者が個人情報を犯罪者に伝え,犯罪者はその情報を利用して,被害者の口座へ入り込んで金銭や個人識別情報を盗み出している。米国では2007年のフィッシング被害者は360万人,被害額は32億ドル以上と推定されている。

 

 この緊急事態をうけ,コンピューターセキュリティー業界はフィッシングに対抗する技術を開発してきた。フィッシングメールを選別するフィルターや,フィッシングサイトに接続すると警告を発するウェブブラウザーなどだ。このようなソフトによって多くの被害が未然に防がれているが,フィッシング攻撃者はこうした技術に一歩先んじようと常にフィッシングの方法を進化させている。また,そもそもフィッシングは人々の無防備さにつけ込んだ詐欺なので,厳密には技術的な問題とはいえない。フィッシング攻撃が成功するには被害者が彼らの誘いに負け,何らかの操作をする必要があるからだ。しかし,この人的要因こそがフィッシング攻撃者を挫く不可欠な武器ともなりうることがわかってきた。

 

 

再録:別冊日経サイエンス212「サイバーセキュリティー」

著者

Lorrie Faith Cranor

カーネギーメロン大学のコンピューター科学,工学・公共政策の准教授。ユーザブル・プライバシー・セキュリティー研究所(CUPS)の所長を務め,フィッシング対策の研究プロジェクトを率いている。最近,ウォンバットセキュリティーテクノロジーズ社を共同設立し,自身の研究グループで開発した製品を商品化した。オンライン・プライバシー,フィッシング,スパムメール,電子投票などコンピューターセキュリティーとユーザビリティーに関して,4冊の著書と多数の論文を発表している。将来,人々が「ユーザブルセキュリティー(便利で有効なセキュリティーツール)」という言葉を言語矛盾だと思わない日が来ると期待している。

原題名

Can Phishing be Foiled?(SCIENTIFIC AMERICAN December 2008)

サイト内の関連記事を読む

キーワードをGoogleで検索する

ボットネットアンチ・フィッシング・フィルスピアフィッシング攻撃ファストフラックスミュール運び屋