編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

フィッシング詐欺の手口--事例と解説 - (page 2)

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2013-06-14 07:30

事例


 Brozycki氏が行った分析の詳細を解説する前に、フィッシング詐欺の基本について説明しておいた方がよいだろう。フィッシング詐欺は2つの基本要素で構成されている。その基本要素とは「要求」と「応答」である。

要求:被害者候補の元に電子メールを送り届ける。この電子メールは、被害者候補が取引している会社(通常は金融機関)から送られたかのような見た目となっており、たった1つの目的のみを意図した要求を含んでいる。その目的とは被害者候補からの応答を得るというものだ。以下はそういった要求の例である(Cadzow TECHが公開している文面を元にしている)。

Citibankのお客様へ

 この電子メールは、お客様の電子メールアドレスを確認させていただくためにCitibankからお送りしているものです。確認作業を完了させるには、以下のリンクをクリックしていただき、オープンした小さなウィンドウにお客様のCitibank ATM/デビットカードの番号、およびATMでご使用の暗証番号(PINコード)を入力していただく必要があります。

 この作業はお客様のセキュリティレベルの向上を目的としたものであり、電子メールにアクセスできないお客様を確認させていただくうえで必要なものとなっております。

 電子メールアドレスの確認、および銀行口座へのアクセスを行うには、以下のリンクをクリックしてください。

 Citibankをご利用いただき、ありがとうございます。

応答:被害者は電子メール中のリンクをクリックするかしないかを決定することになる。被害者がリンクをクリックした場合、以下のようなフィッシング詐欺用のウェブページがオープンし、次なる要求が表示される(画像はCadzow TECHのご厚意によるもの)。


企業ロゴのすぐ下には「電子メールアドレスを確認するため、お客様のログイン情報を入力後、Submitボタンを押してください」と記述されている。

 上の図の通り、詐欺師は重要な金融情報を盗み取ろうとしている。ここで被害者が応答してしまうと、詐欺師の勝ちとなるわけだ。(未確認ではあるものの)筆者の情報筋によると、かなりの数のCitibank顧客がこのフィッシング詐欺に引っかかったようだ。では、Brozycki氏の調査内容を見てみよう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]