is702

2013/07/18

今さら聞けないセキュリティの基礎用語 5つの重要キーワードをおさらい!

印刷用を表示する

フィッシング詐欺、ソーシャルエンジニアリング、脆弱性…。なんとなく聞いたことはあるけれど、どのようなことを指す言葉なのかわからないという読者もいるでしょう。今さら人に聞くのも恥ずかしいセキュリティ用語を、具体的な例をあげて説明し、1人ひとりができる対策についても紹介します。

1.フィッシング詐欺

フィッシング詐欺は、実在するオンラインバンキングやクレジットカード会社を装った電子メールを経由して本物そっくりに作られた不正Webサイトにユーザを誘導し、ID/パスワードなどのアカウント情報、暗証番号など、個人情報を盗む詐欺です。情報を釣り上げることから、フィッシング(※実際のつづりはPhishing)と呼ばれています。

フィッシング詐欺の最大の目的は、盗み出した個人情報を悪用して金銭をだまし取ることです。具体的な手口には、電子メールを使用し、「パスワードの有効期限が迫っています」「アカウントが失効する前に更新手続きを行ってください」などのメッセージでユーザの不安や焦りを誘い、リンクのクリックを促すものがあります。それに従ってしまうと、あたかも本物の金融機関のように精巧に作られたWebサイトが表示され、そこで入力・送信した個人情報が盗まれ、盗んだ情報を使って金銭がだまし取られてしまいます。

最近では電子メールに限らず、TwitterやFacebookなどのSNSの投稿からフィッシング詐欺サイトへ誘導する手口も確認されています。

図:フィッシングサイトへ誘導する手口

対策のポイント

個人情報を入力・送信するWebサイトがSSLに対応していることを確認する

SSLとは、インターネット上を行き来する情報を暗号化して通信をする仕組みで、サイト運営者が誰かを明らかにし、情報の中味を第三者から守る目的で使われます。SSLで通信をするためには、Webサイト運営側で仕組みを構築する必要があり、ユーザはブラウザでそのサイトにアクセスすることで自動的に暗号化された通信を行うことができます。SSLを導入しているWebサイトにアクセスした場合、ブラウザのアドレス欄に表示されるURLがhttps://~で始まり、鍵マークが表示されます。

図:Internet ExplorerでSSLを導入しているWebサイトにアクセスした状態

迷惑メールやSNS上のリンクをむやみにクリックしない

サイバー犯罪者はさまざまな巧妙な手口でフィッシングサイトへ誘導します。情報漏洩の起点となる怪しげなWebサイトには足を踏み入れないようにしてください。見知らぬ相手からのメールに記載されたリンクや、SNS上に投稿された怪しげな広告リンクや見知らぬ人が共有するリンクのクリックなどは安易に行うべきではありません。

電子メールで送られてきたメッセージの真偽を確認する

URLを直接打ち込んで正規のWebサイトにアクセスし、電話などで事実確認を行ってください。ただ、一般に金融機関が電子メールでセキュリティコードや暗証番号などの個人情報を照会することはないため、そのような怪しげな電子メールは無視するのが無難です。

セキュリティソフトを最新の状態にして利用する

フィッシングサイトへの誘導口となる電子メールを隔離したり、フィッシングサイトへのアクセスを未然にブロックしたりしてくれるセキュリティソフトを常に最新にして利用しましょう。

2.ワンクリック詐欺

ワンクリック詐欺は、Webサイトの画像や動画、電子メールのリンクのクリックをきっかけに、サービス使用料などの名目で請求画面をデスクトップに表示し、ユーザから金銭をだまし取る手法で、インターネット上の詐欺の一種です。一度のクリックで請求画面を表示することからワンクリック詐欺と呼ばれています。

たとえば、画像や動画を閲覧しようとした際に、突然「入会登録が完了しました。料金をお支払いください」などのメッセージを画面に表示し、金銭の支払いを促します。また、ブラウザを閉じられても執拗に請求画面を表示したり、ユーザが利用するパソコンのIPアドレスやOS/ブラウザのバージョンなどを請求画面に故意に表示したりします。これにより、あたかも個人を特定されてしまったかのような錯覚をユーザに与えます。

同様の手法で、年齢認証や利用規約の同意、動画再生などと複数回Webページをクリックさせた後に請求画面を表示するツークリック詐欺やフォークリック詐欺と呼ばれる手法もあります。だましのテクニックとしては、背景色に近い文字色を使用し、フォントサイズを極端に小さくした利用規約をWebページごとに掲載しているケースもあり、それでもクリックしてしまったユーザの後ろめたさにつけ込みます。

図:詐欺サイトへ誘導する入口は様々

対策のポイント

Webサイト上の画像やアイコン、リンクを安易にクリックしない

成人向けのWebサイトでは「はい」「入場する」「ENTER」などの認証ボタンを安易にクリックしてはいけません。それでも先へ進む場合は、事前に利用規約や警告文などを十分に確認しましょう。

請求画面が表示されても無視する

請求画面には「入会をキャンセルする場合、すぐにサポートセンターにお問い合わせください」などと記載されている場合もありますが無視してください。指定のサポートセンターに連絡し、名前や住所、電話番号などの個人情報を聞き出されると執拗な督促に遭う可能性もあるため注意が必要です。

セキュリティソフトを常に最新の状態に保って使用する

セキュリティソフトの中には、ワンクリック詐欺サイトをはじめとする有害なWebサイトへのアクセスを未然にブロックしてくるものもあります。セキュリティソフトを常に最新にしておくことも重要です。

前へ 1 2 3 次へ
関連情報(外部サイトへリンク)
  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ