フィッシング攻撃対策を効果的に実施するための注意ポイント：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

「フィッシングに気を付ける」だけでは限界だ

　フィッシングに対しては、これまでの一般的な対策として「不審なメールは開かない」「不審なURLはクリックしない」「不審なアプリケーションはインストールしない」といったものが挙げられる。

　偽のWebサイトへと誘導し、クリックさせたりログインさせたりするようなフィッシングでは、正規のWebサイトとの違いを判別できればいい。しかし、その判別は日に日に難しくなっている。

　フィッシングの入り口となるメールについては、不幸中の幸いであるが、「日本語」という壁が存在する。海外の攻撃者が日本語メールを書こうとすると、どうしても不自然な内容になり、そこから怪しいという違和感を抱くだろう。

　だが、悪意のある者たちは攻撃の成功確率を上げるため、その部分にもコストをかけるようになってきた。日本語が流ちょうな人材に“業務”を委託するわけだ。その結果、攻撃メールの文面がカイゼンされている。そして、誘導先の偽サイトは、ネタ元のサイトをコピーして作ることが多く、見た目を同一にすることは難しくない。

　このような状況で、次の判断材料となり得るのがURLだ。例えば、Webサイトの開設者が「EV SSL」を利用していれば、アドレスバーには組織名そのものが表示される。当然だが、偽物がフィッシングサイトを作成したとしてもEV SSLまでを偽装することは難しいだろう。

　ただし、ネタ元となったWebサーバ自体に脆弱性が残されている場合は話が別だ。オリジナルのWebサイト自体が改ざんされ、サーバ内に不正なページを作成されたり、正規のページに不正なスクリプトが埋め込まれたりしているリスクは否定できない。

　このように高度化するフィッシングに対しては、もはや「気を付ける」だけでは対処ができているとは言い切れない。もちろん、目視で判断できるようなレベルの低いフィッシングも多数残されているので、「気を付ける」ことも引き続き重要なポイントであることは間違いないが、今後、どのように対応すべきだろうか。