第29回フィッシングとスピアフィッシング

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

漁師であれば当然、大物を捕まえるにはそれなりの餌が必要であることを知っているだろう。インターネットの世界も同様で、「餌」を使って被害者をおびき寄せ、ユーザーに自分でパスワード等の重要情報を入力するよう仕向ける手口がある。このような詐欺行為をフィッシングと呼ぶ。「Fishing（釣り）」になぞらえ、パスワードの頭文字「P」を用いて「Phishing（フィッシング）」と表現するのだ。

電子メールの中に潜む「餌」

ここでいう「餌」とはほとんどの場合、添付ファイルを開いたり、文中のリンクをクリックするよう求める電子メールのこと。よくある例は、注文していない宅急便の配達通知だ。フィッシングメールの中には、送信者が知らない人であったり、文法が間違いだらけだったり、外国語で書かれていることから、簡単に見分けられるものもある。

フィッシィングのなかでもより危険なケースは、いわゆる「スピアフィッシング」。この場合、ターゲットは事前に選ばれ、入念な準備を経た上で、通常のメールとはほとんど区別がつかないような個人的なメールが送られてくる。

スピアフィッシングの典型的な手法は「CEO詐欺」で、企業のCEOを送信者とする緊急メールが社員に送られてくる。そのメールで、重要な添付ファイルをすぐに開いたり、巧妙に細工されたウェブサイトにログインすることが求められ、場合によっては送金が指示されることも。メールをいかにも本物らしく見せるために、CEOの文体が真似られていたり、文面が実際のプロジェクトに関連付けられていることもあるので注意が必要だ。

フィッシングに対処するには？

対処法としては、フィッシングメールを基本的に無視または削除すること。なりすましかどうか分からない場合には、システム管理者やIT専門家に相談しよう。メールの送信者アドレスは簡単に偽造できるため、仕事で使用する場合は特に、すべてのメールにS/MIMEやPGPで電子署名を付け、可能な限り暗号化することをおすすめする。

また、電話によるフィッシングも存在する。この場合、相手は大手IT企業の社員になりすましてパスワードを要求したり、マルウェアをコンピューターにインストールさせることがある。このような電話が突然かかってきた場合には、十分に注意しよう。

AmazonやAppleなどの大企業をかたるフィッシング詐欺も後を絶たない