TOPセキュリティ > フィッシングとフィッシングキットの基本(前)

セキュリティ

フィッシングとフィッシングキットの基本(前)

2021/04/27

Steve Ragan CSO

 フィッシングは、人の心理を突く攻撃の一種で、ソーシャルエンジニアリングと密接な関係にある。ログイン情報などを盗むことを目的として、偽のメールを送る手口が多い。万人向きのメールで不特定多数を狙う場合もあれば、対象に合わせて攻撃をカスタマイズする場合もある。

Credit: Getty Images
Credit: Getty Images

 フィッシングの中でも、特定の標的に対する攻撃を、スピアフィッシングという。例えば、目的の企業の特定の部署や個人に的を絞って、本物にしか見えないような偽メールを送る。メール受信者の名前や肩書きを正確に記したうえで、実際に進行中のプロジェクトに言及したり、本物の同僚の名前を引き合いに出したり、経営幹部から届いたメールに見せかけたりといった手を使う。

 また、電話を使ったフィッシングもあり、ビッシング(vishing)と呼ばれている。攻撃の狙いや、人間の心理を突く点は同じだが、メールを送るのではなく、直接電話をかける。例えば、国税当局やテクニカルサポートをかたって、個人情報や金銭を狙う事例がある。

 このように、フィッシングの種類はいくつかに分かれるが、すべてに共通するのは、相手に何らかの行動を起こさせようとする点だ。例えば、偽サイトでユーザー名とパスワードを入力させたり、機密情報が書かれた文書を送らせたりする。

 攻撃側は、事態が一刻を争うことを強調したり、人の親切心に付け込んだりすることが多い。例えばアカウントの停止、重要なデータの消失、身辺の危険など、今のままでは深刻な結果を招くと警告して、恐怖心をあおったりもする。そして、フィッシングの共通点として特に大きいのは、最初の時点で本人の関心や好奇心を刺激する点だ。だからこそ、メールを開いてしまうのである。

フィッシングキットとは

 フィッシングでは、目的の情報を得るために、有名な企業や団体のサイトを模した偽サイトを利用することが多い。こうしたサイトを簡単に稼働するために攻撃側がバックエンドで使うのが、フィッシングキットだ。偽サイトの機能を実現するために必要なファイルやスクリプトをひとまとめにしたパッケージである。

 フィッシングサイトの狙いは、来訪者をだまして、パスワードなどの重要情報を入力させることにある。入力させるデータの種類はさまざまだ。大半のフィッシングキットは、基本的なHTMLとPHPを組み合わせて開発されており、アクセス権を不正に奪取したWebサーバーやWebサイト上に置かれることが多い。検出されたり削除されたりするまで、一般には36時間ほどしか稼働しない。

 本来は、管理者が検出の仕組みやセキュリティを適切に導入していれば、メールサーバーに届いたフィッシングメールを直ちにブロックしたり、サイトにアップロードされたフィッシングキットを直ちに検知したりできるはずだ。しかし、そううまくはいかないことが多い。攻撃者は新しいドメインを多数登録しており、1つが検出されるようになったら、即座に別のドメインに切り替える。

↑ページ先頭へ