トップページ サービスの詳細 セキュリティ情報 購読の申し込み
HotFix Report
/セキュリティ用語/

■フィッシング(phishing)
 企業などからのメールを偽装してユーザーを偽の企業サイトに誘導し、クレジット・カード番号などの個人情報を不正に入力させて入手・利用する詐欺行為のこと。なおphishingの発音は、fishing(つり)と同じです。これは、企業からのお知らせという「エサ」で、ユーザーを「釣る」ことに由来しています。ユーザーを誘導する偽の企業サイトでは、JavaScriptやInternet Explorerの脆弱性を悪用して、アドレス・バーなどには本物の企業サイトのURLを表示させます。これにより、ユーザーに本物の企業サイトであると思い込ませ、個人情報の入力の促します。

 すでに米国では、大手銀行の「Citibank」を騙ったphishingによる被害が発生しています。この事件では、Citibankのサポート担当を騙り、「登録メールアドレスの確認のお願い」という内容のHTMLメールを送り、ユーザーがWebサイトにアクセスした際に、カード番号と暗証番号を入力させるというものでした。またMicrosoftを騙り、「セキュリティ・パッチのダウンロードのお知らせ」といった内容のメールにより、トロイの木馬型ウイルスをダウンロードさせるような行為も報告されています。

 このようなソーシャル・エンジニアリングによるphishingメールが増えつつあります。前述のようにInternet Explorerの脆弱性を悪用し、アドレス・バーなどに、実際にアクセスしているサイトとは異なるURLを表示させるものも少なくありません。Internet Explorerのアドレス・バーが偽装される脆弱性に対しては、すでに修正プログラムが提供されています。この修正プログラムだけでアドレス・バーの偽装を完全に防ぐことはできませんが、一部のphishingメールに対しては有効です。いずれにせよ、不用意にWebページでクレジット・カード番号や暗証番号などを入力しないなどの自衛が必要です。また、個人情報の入力が必要となるWebページでは、アドレス・バーのURLを、別のInternet Explorerで入力して再アクセスするなどするとよいでしょう。

・TechNetセキュリティ情報 MS04-004(Internet Explorer 用の累積的なセキュリティ修正プログラム):
http://www.microsoft.com/japan/technet/security/bulletin/MS04-004.asp

・HotFix Report MS04-004(クロスドメイン・セキュリティ・モデルに関連する脆弱性により、攻撃者の任意のコード実行を許容する危険性などを含む、Internet Explorer用の累積的な修正):
http://www.hotfix.jp/archives/alert/2004/ms04-004.html

・セキュリティ用語 ソーシャル・エンジニアリング(social engineering):
http://www.hotfix.jp/archives/word/2004/word04-05.html

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。

HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。