編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

フィッシング詐欺の手口--事例と解説

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2013-06-14 07:30

 フィッシング詐欺でだまされるよりも、フィッシング詐欺に引っかからない方法を執筆する方がずっとよい。本記事では、まんまと成功したフィッシング詐欺を調査、分析した文書に記載されている驚くべき内容を紹介する。

 2009年の春、筆者は何者かにフィッシング詐欺を仕掛けられた。IT分野のセキュリティに関する記事を執筆する人間は、こういったことに詳しいと思っている方がいるかもしれない。しかし、筆者はそうではなかった。当時はさまざまな思いが胸をよぎったものの、最も大きかったのはきまりの悪さであった。というのもその数日前に、筆者は「Phishing: Is that Web site real or not?」(フィッシング詐欺:そのウェブサイトは本物?それとも偽物?)という記事を執筆していたのである。


 「自分のふがいなさ」に落ち込んだ一方で筆者は、ありきたりな対処方法だが、いつまでも落ち込んでいるのではなく、何らかの教訓となるものを残そうと決めたのだった。さらに、筆者が遭遇したようなIT詐欺に引っかからないようにするための方法を専門家に尋ね、記事にまとめてみようと思ったわけだ。


 そのためにはまず、John Brozycki氏を紹介しておきたい。当時の筆者が同氏のことを知っていたら、フィッシング詐欺の餌食にならずとも済んだはずだ。同氏はフィッシングのさまざまな側面について詳しく理解しているとともに、数多くのGlobal Information Assurance Certification(GIAC)認定資格と長年の経験を有しており、自らの知識を分かち合ってくれる人物である。

 皮肉にも、筆者がフィッシング詐欺の被害に遭っていた頃、同氏は「Inside a Phish」(フィッシング詐欺の中身)という、ある詐欺師の行為と、それが警察によって阻止されるまでの経緯を描いた文書を執筆していた。この文書は、筆者が今までに読んだことのあるフィッシング詐欺に関する文献のなかで、最も素晴らしいものの1つである。

 この文書の価値を高めているのは、同氏がフィッシング詐欺の実行方法に関する詳細を、詐欺師と被害者双方の情報を使って描き出している点にある。

 私はフィッシング詐欺が行われるさまを第3者の立場から「客観的に観察」してみたいと常々考えていた。もちろん、1件の銀行強盗の事例を見たからといって、その他すべての銀行強盗の事例について理解できたことにはならないのと同様に、1件のフィッシング詐欺の事例を見るだけではすべてのフィッシング詐欺を理解するのは無理だと分かっていた。とは言うものの、これらの電子メールには多くの情報が含まれているだろうとも思ったため、私はすぐさまそのデータを調査したいと申し入れた。

 しかし実際のところ、この事件の証拠資料の閲覧許可がBrozycki氏に与えられるまでには何年もの歳月がかかった。

 捜査が終了するまでは事件簿の閲覧を許可できないと告げられていた。それから数年経ち、定期的に要求していた私の元にようやく前向きな回答が返ってきた。そして、名前やIPアドレス、組織名といった詳細を明らかにしないという条件で証拠資料の閲覧を許されたのだった。私はそのフィッシング詐欺の手法と仕組みを調査したかったのである。

 またBrozycki氏は、事件に利用された金融機関に目を向けてみるのも重要であると説いている。

 私は証拠資料の分析を始めた段階で、このフィッシング詐欺に利用された金融機関のことについても目を向け始めた。フィッシング詐欺が行われていた時、金融機関は何をしており、どういった対応をとったのだろうか?どういった対応が効果的であったのか、またさらに効果的にするためにできたことはなかっただろうか?

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]