- Bluesky ページを見る (新しいタブで開きます)
- Instagramページを見る(新しいタブで開きます)
- Facebookページで見る(新しいタブで開きます)
- YouTubeページを見る(新しいタブで開きます)
- Twitterページを見る(新しいタブで開きます)
- コピーしました
目次
友人、企業、政府関係者、あるいは家族から送られたように見える新しいメールが届きます。メールにはリンクが1つだけ書かれています。当然のことですが、クリックしてしまいます。するとログインページに移動し、認証情報を入力します。ところが、そのサイトは偽物で、パスワードを盗み取られるのです。おめでとうございます。フィッシング詐欺に遭ったのです。
フィッシングは、ログイン認証情報やアカウントへのアクセスを盗むための、古くからある手口です。フィッシングの根底にある考え方は極めてシンプルです。ハッキングなどの手段を講じることなく、ユーザーを騙して情報を引き出すというものです。従来、フィッシングとは、メールを送信し、クリックしてもらうことを意味していました。クリックされたリンクは、フィッシング詐欺師が用意した、本物のサイトのログインページを模倣したサイトへと誘導します。ログインすると、サイトはユーザー名とパスワードを保存します。これは、ウェアーズコミュニティがフィッシングメールを使ってAOLのパスワードを盗み出した1990年代から行われています。
当時は、インターネットがそういう仕組みだったので、ハッカーは簡単に人々を騙して何でもクリックさせることができましたが、今では私たちは皆、より用心深くなっていますよね?
昨日のGoogleドキュメントフィッシング詐欺を見れば、そうではないと言えるでしょう。昨日のフィッシング詐欺の手口は、これまでと全く同じでした。友人からのメールを装い、クリックさせるというものです。今回の場合は、誰かがGoogleドキュメントを共有したいと言っているように見せかけていました。リンクをクリックすると、本物のGoogleサインインページに誘導されます。それが正規のGoogleページなので、サインインします。すると、今度はフィッシングアプリに権限を付与するところからフィッシングが始まります。全く新しい手法というわけではありませんが、よくある手口を巧妙に利用していると言えるでしょう。以下は、その手口です。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
この試みは巧妙で派手な印象を与えましたが、偽物であることを示す兆候がいくつかありました。まず、googledocs.g-docs.winURLが怪しいという点が挙げられますが、それ以上に、Googleにアカウントへのアクセスを既に許可している可能性が高いです。Googleですから、再度許可しても意味がありません。幸いなことに、今回のケースでは、少なくともフィッシングプログラムへのアクセスを取り消すことは可能です。
長年にわたり、同様の手口のフィッシング攻撃が見られてきましたが、フィッシング攻撃は人気サイトのログインページを模倣する手法をますます巧妙化しています。最近の攻撃では、偽の添付ファイルを使ってGoogleのログインページにリダイレクトさせ、2014年には、今週のハッキングとほぼ同じ手法でGoogleドキュメントのログインページを模倣する攻撃が行われました。昨年の民主党全国委員会(DNC)へのハッキングは、まさにフィッシングでした。長年にわたり、PayPalアカウント、eBay、そしてほぼすべての主要銀行がフィッシング攻撃の標的となってきました。
こうした最近の攻撃がなぜより巧妙になっているのでしょうか?それは、攻撃者が自らの行動を巧妙に隠蔽し、従来のスキャン手法が通用しなくなっているからです。フィッシング詐欺は、Googleや銀行などのウェブサイトのログインページを模倣する技術を巧妙化しており、リンクの実際のURLを隠すためのトリックも多用されています。また、メッセージが実在の人物から送信されたように見せかける技術も巧妙化しています。Googleドキュメントのケースでは、フィッシング詐欺の手口に対する期待を巧みに利用し、GoogleのOAuthログインシステムと併用することで、ユーザーの油断を誘うのが狙いでした。
これまでのところどう思いますか?
では、普段はテクノロジーに精通している人はどうすればよいのでしょうか?誰が送ってきたかに関わらず、メール内の怪しいリンクをクリックしないようにしましょう。友達が勝手にリンクを貼ったメールを送ってくる可能性は低いでしょう。もし送ってきた場合は、その奇妙な行動を変えるように頼むのが良いでしょう。
メール内のリンクが怪しいと感じても、どうしてもクリックしてしまう場合は、リンクをクリックするのではなく、URLを手動で入力して問題のサイトにアクセスし、ログインしてください。どうしてもアクセスする必要がある場合は、URLを右クリックするかマウスオーバーして実際のリンク先を確認することもできますが、最近ではそのようなスキャン方法でも問題が解決しない場合があります。
さらに重要なのは、フィッシングに対する警戒を有効に活用し、人々が前進できるよう支援したい場合、信頼できる SwiftOnSecurity がフィッシング報告ツールのコレクションをまとめており、怪しいリンクを報告して、他の人がフィッシングの餌食にならないようにできることです。
覚えておいてください。企業からのメールにある怪しいリンクはクリックしないでください。友人や家族からのメールにある怪しいリンクもクリックしないでください。銀行やGoogleなど、メールに記載されている情報を取得するためにサイトにログインしてしまうようなリンクもクリックしないでください。
毎日のニュースレター すべてをより良くする準備はできていますか?
ジョーダン・カルフーン 編集長
Jordan とチームから毎日のヒント、コツ、技術ガイドを入手してください。
毎日のニュースレター すべてをより良くする準備はできていますか? Jordan とチームからのヒント、コツ、技術ガイドを毎日お届けします。
次の記事へスクロールしてください
