【解説】スピア・フィッシング:狙った騙しの手口
情報セキュリティ業界やコンピュータ業界において標的型攻撃として分類されているスピア・フィッシング('Whaling' and 'Spear Phising' Scams)。電子メールを利用する詐欺の一種で、早急な対応を求める顧客からのクレーム、急務なる上司や同僚からの命令や告知など、巧みに騙すのその手法は多彩なものとなります。また、この騙しに合った場合は、パソコンやスマートフォンなどに不正なプログラムが流しこまれて、当人には気づかれずに実行され、アカウントや銀行口座、パスワードや暗証番号、また通話内容や位置情報など、当人の重要な情報が覗き見られ、更なる被害に繫がることがあります。
-
主とする参照元:オーストラリア公正取引委員会提供 SCAM watch
- どのようなものであるか
-
スピア・フィッシングは、攻撃者がある組織をターゲットとすることから始まります。その方法は、攻撃者が特定の部門の個人、組織の責任の有る者、例えば取締役など(以下、対象者)に宛てたメールを送ります。メールの趣旨は、組織の業務における重要事項を伝えるもの、例えば顧客からのクレームや裁判所からの出頭命令などが典型的です。
それは信じるに足りる形で、所属する組織内部の従業員や、信頼できる組織の職員から送られているかの様に見えます。その送信者や送信元アドレスは、良く知られている組織のもの、またはそれに非常に似ているものです。
スマートフォンのメールでは、送信者の実際のアドレスが隠れているため、見た目には良く知る個人名や組織名などが、実際はフリーメール(誰もが無料で登録し利用できるメール)などであることがあります。スマートフォンで実際の送信元を確認するには、送信者の表示部分をタッチして詳細を確認してください。
そして、攻撃者は巧みに、対象者に早急な行動が必要であるとを思い込ませ、偽装されたウェブサイトへと誘導します。あるいは、添付文書(マルウェアに感染されたものであるが)などを開くように誘導します。そして対象者が思い込んだところで、誘導したウェブサイトにおいて、次のような行動を起こさせるます。
- 機密情報を応える。あるいはパスワードの入力をする。
- 口座情報を提供する。あるいはソフトウェアをダウンロードするため支払情報の入力をする。
攻撃者は、口座情報を詐欺のために利用します。
対象者が、添付文書を開いた場合、対象者のパソコンやスマートフォンにマルウェアがダウンロードされます。マルウェアは対象者が入力するキーやパスワードを記録し、また通話や位置情報など個人の機密情報に、攻撃者が好きなときにアクセスできるようにします。
- 気づくべき警告のサイン
-
- 思いがけなく、組織の重要事項や企業の緊急事態に関わる、知らない内容のメールを受取ったとき。
- その送信者は信頼できるか、送信元のアドレスが見慣れたものかまたは見慣れたものに似ているとき。
- メールには、添付文書があるかウェブサイトのリンクがあり、正規の文章や詳細な内容を見るために、それを開くかリンクをクリックする必要があり、もしそれをしてしまったら個人情報が求められたりソフトウェアのダウンロードが求められるとき。
- 個人情報や口座情報などの個人情報を入力させる場合、信頼できる相手がその様なことをさせるのか、考えてみてください。その様な時にはウェブサイトは暗号化がされ、その証拠にウェブアドレスの前に"http:"の代わりに"https:"で始まり、ウェブアドレスの近くに閉じた錠前や壊れていない鍵のアイコンが表示されるでしょう。もしそうではなく、開いた錠前や壊れた鍵のアイコンが表示されている場合には、そのウェブサイトは安全ではなく、おそらく偽装された詐欺のサイト(スキャムサイト)でしょう。
- 詐欺のサイト(スキャムサイト)は、見た目には、正規で本当らしく、信じてしまうかもしれません。
- スピア・フィッシングからどうやって身を守るか
-
- ソーシャル・ネットワーク・サービスを利用しているなら、そこに何を掲載しているか、またどの様な発言をしているか、常に考えて行動してください。そのような一般に公開された情報を利用して、あたかも自身の真実と思い込ませる手口で狙ってきます。
- 顧客からのクレームや裁判所からの出頭命令を受取ったら、まず、独立した法律の専門家に尋ねるなど、専門家による解決方法を探ってください。
- 注意深くウェブサイトを見て、正真正銘のものであるか確認してください。まず、"https:"で始まっているか、錠前のマークや壊れていない鍵のマークが表示されているかを確認してください。
- そのウェブサイトに電子証明書があるか確認してください。もし電子証明書があるとすれば、ウェブアドレスの近くに閉じた錠前のアイコンが表示されます。そのアイコンをクリックすることで、その証明書が正規のものかどうか、また無効となっていないかが確認できます。
- アンチウィルス、アンチスパイウェア、およびファイアウォールをインストールし、パターンファイル等を常時アップデートするのを怠らないでください。
- メールにより誘導されるリンクは決してクリックしない。見ず知らずの人からの添付文書は決して開かない。唐突に届いたメールに添付文書が付けられていたら、それがスピア・フィッシングではないとしても、その添付文書はマルウェアであるに違い有りません。
- 信頼できるものであると確信できないウェブサイトでは、個人情報、業務内容、カード番号、口座の詳細などを決して提供してはなりません。もし、口座の詳細を攻撃者に提供してしまったと感じたら、銀行や金融機関に直ぐ連絡してください。
- 業務の郵便物は安全で鍵のかかるメールボックスに届く様になっているか確認してください。
- 業務の文書を捨てる前には、必ず全てをシュレッダー等で細断してください。
- 報告すること
-
詐欺の可能性のある手紙やメールを受取ったなら、下記の公認の機関へ報告をしてください。
詐欺の可能性のある手紙やメールを受取って、海外への送金などをしてしまったなら、または銀行口座番号などの詳細情報を教えてしまったら、下記の公認の機関に相談してください。
- 警察庁 インターネット安全・安心相談
- 都道府県警察本部のサイバー犯罪相談窓口等一覧
- 偽装された手紙(出所:wikipedia)
-
- スペインからの封書
- 裁判所からの(偽りの)宣誓記述
- 弁護士の(偽りの)手紙
- 病院の(偽りの)死亡診断書
- 銀行の(偽りの)預金証書
- 裁判所からの(偽りの)遺言検認
- 裁判所からの弁護士の(偽りの)支払受取
- 銀行への(偽りの)処理フォーム
※上記はwikipediaに掲載された偽装文書サンプルへのリンクです。当サイトは上記のリンクの信憑性や信頼性を保証するものではありません。またリンク先が見れなくなる可能性がございます。予めご了承ください。
Copyright JURARIS CORPORATION. since 2010 All Rights Reserved.