フィッシング詐欺とは？（２）

今回は、フィッシングでどんなテクニックが使われてるかを解説します。

代表的なものは以下のテクニックですね。

(1)スパム（迷惑）メール

メールアドレスを大量に収集して、フィッシングメールを無差別に配信します。

宣伝などのスパムメールと同じ方法でなので、つまりはスパムメール対策がフィッシング対策に繋がるといえます。

(2)スプーフィング

スプーフィングとは「なりすまし」という意味です。

前回の例にもありましたが、フィッシングメールは差出人があたかもカード会社や金融機関であるように、なりすましてメールを送信します。

また、ブラウザのアドレスバーに表示されるWebサイトのアドレスもブラウザのセキュリティホールを使って、本物ようになりすますことができます。

(3)ソーシャルエンジニアリング

通常ソーシャルエンジニアリングとは、管理者からパスワードを盗み聞きしたりメモなどを覗き見したりしたりする行為を言うことが多いですが、フィッシングで使われる場合の意味は、

「人の心理をついて、うっかりと情報を漏らすように仕向けるためのテクニック」

を指しています。

巧みに金融機関からのメールのように見せかけたり、本物のWebサイトのように偽装したりしてパスワードを入力させたりするテクニック全般のことですね。

(4)ウイルス、ハッキング

トロイの木馬のように感染したPCから個人情報を送信したりする手法や、ハッカーがコンピュータを乗っ取ったりする方法で、ソーシャルエンジニアリングとは対象的に、ユーザが気づかないところで情報を取得する方法です。

トロイの木馬などによるフィッシングは「ステルス型フィッシング」と呼ばれたりします。

ちなみに「ステルス」というのはもともと軍事用語で、敵のレーダーにひっかからないようにする技術です。

では、次回はこれらに対しての対策にはどのようなものがあるかをお話します。