2.6 フィッシング詐欺

スパイウェア 目次 rootkit

英語の造語である phishing がその語源です( 賢い/philosophy と釣り上げる/fishing の合成語)。
コンピュータに不慣れな人をだまして、 パスワードやクレジットカード番号などを盗んでやろう、 という詐欺行為です。

この種のきっかけの多くはメールです。

あなたの登録が切れかかっています。 早急にこのホームページで更新手続きをしてください。
のような内容のメールが突然届きます。

はじまりは「パスワードが切れる」「契約が切れる」
「登録が切れる」などのメールです。

その URL(Universal Resource Locater : ホームページアドレス) を開くと、 ユーザ名とパスワード、クレジットカード番号などを入力するようになっています。 不用意に 「何の登録わからないけど更新しておこう」 などと入力してしまうと、 パスワードやクレジットカード番号が盗まれてしまう、というものです。 初期のフィッシング詐欺は非常に単純で、 ユーザに覚えのない登録画面であるため、 あまりだまされる人は多くありませんでした。

しかし、油断しないでください
最近のフィッシング詐欺はきわめて巧妙です。 たとえば、接続しているプロバイダの登録画面とそっくりの画面が表示されたりします。 そうなれば、 信用してしまって、 クレジットカード番号を入力してしまいまう人も出てきてしまいます。
覚えておいてください。

ホームページのデザインを真似ることは非常に簡単に行えます。

さらに高度な詐欺手法では、 Web ブラウザの脆弱性(セキュリティホール)を利用して、 Web ブラウザの アドレスバー(Address Bar : ホームページアドレスが表示されいる欄) には、「まさに接続しているプロバイダのホームページのアドレスが表示されているのに、 実際にクレジットカード番号などを入力している画面は、 詐欺師が作った偽のページである」 といった手口が使われます。
ここまでされてしまうと、 パソコンに詳しくない人は表示しているホームページが本物かどうかの区別ができません。

Web ブラウザの脆弱性を利用されるアドレスボックスも信用できない。
ID とパスワードを入力すると、 詐欺者がそれを利用して買い物などをされてしまう。

もちろん、きっかけのメールも手抜かりはありません。 まるで、契約しているプロバイダから送信されたようなメールに偽装されています。
電子メールの送信者の偽装は非常に簡単です。

なお、フィッシング詐欺については、 Web ブラウザ側でも修正プログラムを提供し、 その修正を適用することで、そのような偽装ができにくくするようになっています。 後で述べる セキュリティパッチ(Security Patch) はフィッシング詐欺に対しても有効です。 以下の事項をよく頭に入れておきましょう。


仕組みとしては稚拙ですが以下のような詐欺のページもあります。
ページの構成がうまくできているため、 コンピュータに詳しくない人はだまされてしまうのかもしれません。

ネットサーフィンをしていて、たまたま、あるリンクをクリックしたら、

と、いきなり登録されたと表示するページがあります。
しかし、これにびっくりして決して 支払ったりしないでください。 このような詐欺を ワンクリック詐欺 と呼びます。 すでに 2005年上旬には、この詐欺で逮捕者が出ております。

そのページを表示した接続元(あなたのパソコン)の情報は、 接続しているプロバイダがわかる程度で、 それ以上の情報を得ることは技術的にできません。 ましてや、このページに行き着いてしまった、 あなたの個人情報(名前や住所などすべてに関して)を特定することは不可能です。 つまり、 このようなページを表示してしまったとしても、 支払う必要は一切ありません。

放っておいても、あなたのところに危ない人が押しかけたりすることはありません。

犯罪捜査などで、警察などがインターネットへのアクセス情報から個人を特定できるのは、 捜査令状などによる許可のもと、 さまざまな通信記録(プロバイダや NTT 等の回線業者などの接続記録) を丹念に調べることで特定できています。 一般の業者がこれらの情報を得ることはできません。

スパイウェア 目次 rootkit