思わずクリック「フィッシング詐欺」メールの巧妙 専門家も見極め困難、2要素認証と「意識」が大切
東洋経済オンライン / 2024年5月7日 8時0分
また、さまざまなサイトにフィッシングサイトを見分けるポイント、正規ドメイン名かどうかの判定ポイントなどが公開されている(ドメイン名が正規のものか、意図的な誤植が含まれていないかなど)ものの、これだけで見分けるのは難しい。
リンク先の確認は心がけとして常に意識しておくべきことだが、現在のドメイン名の仕組み、URLの使い方は複雑で、「ここを見れば偽物かどうかわかる」というポイントは存在しないと考えたほうがいい。
正規サイトでも、キャンペーンごとにドメイン名を個別にするなど、企業名と連動しないものが増えている。
短縮URLやQRコードも注意が必要だが、これらは目視確認が困難だ(リンク先アドレスをコピーしてテキストファイルなどに張り付けて確認する必要がある)。特定の文字列が含まれていればOK、NGという判定方法に頼るのは、かえって危険である。
厄介なのは、正規のドメイン名が攻撃者によって再利用されるパターンだ。サービスや製品ごとに取得したドメイン名が、サービス終了や廃番によって放置されていることがある。
攻撃者は、これらをフィッシングメールの誘導先に利用する。このようなURLは、セキュリティシステムのブラックリストや悪性サイトのデータベースで排除できないことがある。
ドメイン名は(ほぼ)任意の文字列で登録することができる。持ち主が更新を忘れたり手放していれば、同じドメイン名は誰でも取得可能だ。
企業名や商品名が含まれたドメイン名は、一度は正規ドメインとして運用されていたものであり、検索エンジンに登録されている可能性が高い。誘導、フィッシングに最適だ。
2023年、NTTドコモは自社サービスのドメイン名を失効させてしまい、その名前が競売にかけられたことがある。同社は自動入札で最高値落札を余儀なくされたという事件も起きている。
入力したアカウント情報はどのように利用されるのか
フィッシング詐欺によって直接被害を受けるのは、自分のアカウント(ID・パスワード等)やクレジットカードの情報だ。
これらが犯罪者の手に渡ることで、なりすましやカードの不正利用につながる。企業システムのアカウント情報であれば、そこから本人になりすまして会社のデータを盗んだり、マルウェアを仕掛けたりが可能になる。
フィッシングメールを送ってくる攻撃者は、入手した情報を自分たちで使うとは限らない。アカウント情報やカード番号・暗証番号は、アンダーグラウンドマーケットで商品として取引される(関連記事)。
この記事に関連するニュース
-
「iPhone がハッキングされています」と表示が……本当にハッキングされてしまったのでしょうか?
オールアバウト / 2024年7月5日 21時25分
-
<なりすましメール被害の約40%が取引先・顧客より連絡を受けて被害発覚>デジタルデータソリューションがなりすましメール被害に関する実態調査 を発表
PR TIMES / 2024年6月27日 17時15分
-
Amazonをかたるフィッシング詐欺が急増、アドレス大量漏洩の可能性
マイナビニュース / 2024年6月26日 8時51分
-
高まるサプライチェーン攻撃のリスク、なりすましメール対策で対処を
マイナビニュース / 2024年6月21日 10時15分
-
2023年版 インターネット詐欺リポート ~詐欺サイト検知数が三年連続で上昇、ブランド別ではイオン銀行のフィッシングサイトが1位に~
PR TIMES / 2024年6月7日 17時40分
ランキング
-
1ソニーが録画用ブルーレイディスク生産終了へ、光ディスクの記録メディアから完全撤退「市場が縮小」
読売新聞 / 2024年7月5日 18時12分
-
2日本に豊田章男氏がいたのは幸運だった…「EV化の真実」を主張し続けた豊田氏が筆者に明かした「真意」
プレジデントオンライン / 2024年7月5日 8時15分
-
3妻に先立たれた65歳、年金約17万円・おひとり様シニアを襲う<老後破産へのカウントダウン>
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月3日 9時0分
-
4今度はなんのコラボ? マクドナルドのX、次回の「ハッピーセット」のヒント画像公開...期待高まる
J-CASTニュース / 2024年7月4日 16時49分
-
5勢いづく出社回帰 テレワークは消えゆく運命なのか?
ITmedia ビジネスオンライン / 2024年7月5日 6時35分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)