ハッキングの中でも月に5万件ほど被害が出るのが、フィッシング攻撃になります。
原理は簡単で、いかにもなメールを攻撃対象者に送って、送られた相手がURLをクリックすれば攻撃成功です。
今回はさらにフィッシング攻撃をエンジニア目線で深掘りし、どこまでクリックしてしまったらアウトなのか仕組みベースでご説明します。
また、対策方法についてもご紹介していきます。
では、行ってみましょう。
フィッシング攻撃の仕組み
フィッシング攻撃とは、ユーザー情報を搾取することを目的としたサイバー犯罪のことです。
主にメールでの攻撃を行われ、メール本文内のURLをクリックさせようとしてきます。
目的はURLをクリックさせることで攻撃者が用意したサイトへアクセスさせ、サイト内でアカウント情報を入力させたり、アプリをインストールさせることでアカウント情報を抜き取るのです。
アプリをインストールしてしまうとスマホやパソコンに特に悪影響が出ます。
アプリインストールによるハッキングについてはこちらの記事で詳しく書いていますので、参考にしてください。
アカウント情報を入力するフォームを用意してパスワードやクレジットカード情報を狙うもので、入力した内容がそのまま攻撃者の元に送られるという仕組みになっています。
ではそもそもどうして自分のメールアドレスにフィッシング攻撃用メールが届くのか?
どこかでメールアドレスが流出した可能性もありますが、多くの場合はランダムで送られた中の1通だと考えられます。
フィッシング攻撃を行う攻撃者はテキトーなメールアドレス全部に片っ端からメールを送っているのです。
なので自分が受け取ったフィッシングメールはたまたま自分のメールアドレスに合致したために自分のメールボックスに入っただけで
1文字違いのメールアドレスにもメールが送られている可能性が高いです。
メールアドレスを絶対に流出しないようにしていてもフィッシングメールが届く理由はメールアドレスをランダムで全てに送っているためです。
もちろん、安易なサイトでメールアドレスを登録してしまうと、狙い撃ちでメールアドレス宛にフィッシング攻撃用メールが届くので注意してください。
フィッシング攻撃クリック自体はセーフ?
最悪、URLをクリックしてしまっても問題ありません。
パソコンやスマホなら変なインストールがないのであれば攻撃はまず受けていないと思ってしまって構いません。
アプリをインストールさせない限り攻撃を仕掛けることはできません。
なので、変なメールのURLをクリックしてしまった場合は、焦らずアプリのインストールがないか確認し、スマホならアンインストールを実施すればひとまず安心です。
また、URL先でアカウント情報を入力するように言われたら、入力せず立ち上がったブラウザを消してしまえば問題ありません。
入力さえしなければアカウント情報が抜き取られることもないからです。
ただし、URLをクリックしたという情報は相手側に伝わります。
ランダムで送っていたメールアドレスの中で、使われているメールアドレスがわかってしまうのです。
なので、URLをクリックした後は自分のメールアドレスがクリックした経験があるメールアドレスとして登録され、フィッシング攻撃用メールがURLクリック以前より増えることがあるのです。
迷惑メールはしばらくすると少なくなっていきますが、極力URLはたたかない方が良いですメールアドレスが登録されてしまうのは気持ちの良いものではありませんから。
さらに、URLをクリックするだけでどこからアクセスしているかはバレてしまいます。
なのでやり手のクラッカー(悪いハッカー)だとあなたの位置情報がバレてしまう可能性も十分にあります。
どんな情報を送ればクリックしてしまいがちかもバレて、今度はもっと用意周到な悪いサイトへ誘導してくるかもしれません。
開いたサイトの見た目で判断してはダメ
似たようなサイトは作れる
サイトというのはHTMLとCSSを使って作られています。
HTMLとCSSはプログラミング言語で主にサイトの見た目を作るのに使用されています。
あなたが見ているこのサイトもGoogleやAmazon、さまざまなサイトは全てHTMLとCSSというプログラミング言語で見た目が書かれています。
つまり、誰でもAmazonやGoogleといったサイトの見た目だけなら作れてしまうのです。
もっと言うと、プログラミングを1ヶ月も勉強するだけでAmazonなどのサイトに似せたサイトは作れてしまうのです。
なのでURLをクリックした後、Amazonのアカウント情報入力フォームやクレジットカード情報を入力させるフォームがあっても安易に入力してはいけません。
見た目だけだったら、プログラミングを知っている人なら誰でも作れてしまうのです。
決して見た目で判断してはいけません。銀行固有の名前やAmazonのロゴが入っているからといって、本物のサイトという確証はないのです。
もしも本物のサイトならば、確実にアカウントのログインを求められますし、ログイン、ログアウトボタンが必ずあります。
URLは絶対の真理
サイトの見た目はブログラミングを知っている方なら簡単に作れてしまいますが、URLは不可能です。
URLは固有で決まっているものなのです。
https://www.amazon.co.jp/は絶対にこの世に一つしかないURLなのです。
現実世界でいう住所がURLにあたります。
住所をいくら装っても実際に訪問してみれば誰が住んでいるのか、どんな会社なのかがわかるという仕組みと同じと考えて良いです。
ただしURLをごまかすことはできませんが、1文字違いなどであたかも本物のURLっぽく見せることはありうるので、注意が必要です。
例えば、Amazonに似せたURLでhttp://www.amozon.co.jpなど一見わかりづらいですがこの場合だとAmazonの「a」が「o」になっています。
わかりづらいですがこれだけで全く異なる住所、URLになるのです。
東京と大阪くらい違う話になってくるのです。
またフィッシング攻撃用URLの中には多くの場合、「http://」で始まるURLが使われています。
もし怪しいメールのURLが「http://」だった場合は確実にフィッシング攻撃用のメールだと判断して良いです。
安全なサイトであれば必ず「https://」という「s」がついたURLを使用しているはずですから。
「http://」と「https://」の違いは「http://」は暗号化された通信ではない。
「https://」は暗号化された通信である証明になります。
通信の暗号化についてはここでは詳細を割愛しますが、「https://」は個人情報が守られた安全なURLと覚えておけば問題ありません。
なので「http://」のURLが使われているかを確認するだけで、悪質なサイトであるかどうかは判断できてしまうのです。
フィッシング攻撃の対策方法
メールアドレスをチェックする
誰からのメールか差出人欄を見ればわかりますが、差出人メールの表示名は好きなようにいじれてしまうのです。
なので、メールアドレスを確認するようにしてください。
メールアドレスはURL同様固有のものであり、絶対的なものです。
ただメールアドレスもURL同様1文字違いや大文字小文字があるので注意が必要です。
僕が実際に受け取ったことがあるやつだとSoftbankを装った「Saftbank」のメールアドレスからメールが送られてきた経験があります。
メールアドレスが以前までのメールアドレスと異なっていた場合はフィッシング攻撃用メールだと思って問題ありません。
メールアドレスを確認すれば、フィッシング攻撃用メールを見極めることができます。
URLをチェックする
二つ目のフィッシング攻撃への対策方法はURLをチェックすることです。
前章でお話しした通り「https://」になっていないURLは、フィッシング攻撃用URLである可能性が高いです。
なのでまずURLの先頭部分を確認することが大事です。
また本物のサイトの場合はどんなURLを使っているか確認してみることも大事になってきます。
本物のAmazonだったら「https://www.amazon.co.jp/」を使っているのにメールのURLは微妙に1文字違うぞ?という場合はフィッシング攻撃用URLです。
URLはクリックせず、メールを閉じて削除してしまいましょう。
以上、メールアドレスをチェックする。
URLをチェックする。
二つの方法でフィッシング攻撃用メールを見極めることができます。
各種自分のメールアドレスの迷惑メール設定をオンにしておけば、そもそもフィッシング攻撃用メール自体も減らすことができるので設定しておくことをおすすめします。
今回紹介した対策はメールの見極め方に特化しています。
なのでそもそも迷惑メールフィルタリングをかいくぐってきたメールを見極める方法です。
まとめ
今回はフィッシング攻撃についてお話ししてきました。
迷惑メールはガラケー時代からずっとありますが、
近年では「宅急便の不在票を装ったもの」や「アカウントが攻撃されました直ちに確認してください。」
というような日常的に使っているものを装ったフィッシングメールも増えています。
メールの文面だけでは判断が難しくなっています。
そんな時に今回紹介したメールアドレスを確認する方法やURLで見極める方法を活かしてください。
フィッシングサイトにアクセスしてしまう可能性を抑えることができます。
また最悪URLをクリックしてしまう分には問題はありません。
URL先のデータ入力さえしなければ最小限の被害ですみます。
メールアドレスが流出することによって迷惑メールが増えたり、どこからアクセスしたかがバレてしまう程度です。
アクセス先がバレてもそこからお金を取ったり別の攻撃を仕掛けたりはまずできないので、顔を真っ青にするほど焦る必要はありません。
どうしても心配であれば、フィッシング詐欺を取り扱っている下記の団体に連絡してみると良いです。
各サービス事業者の問合せ窓口やフィッシング対策協議会
備考:フィッシングメールかの判定を行なってくれます
メールアドレス:info@antiphishing.jp
報告フォームURL:https://www.antiphishing.jp/registration.html
警視庁サイバー犯罪対策窓口
備考:実際に犯罪に巻き込まれた際の被害報告ができます
窓口選択用URL:https://www.npa.go.jp/cyber/soudan.html
フィッシング攻撃に引っかかる人がいなくなることを祈っています。
フィッシング攻撃に引っかかる人がいなくなれば、そのうち迷惑メールも無くなっていくことでしょう。