とある企業の情報システム部門。そこで元気いっぱいに働いているのが、ちょっと頼りない若手社員、通称「ネコSE」だ。セキュリティーに関する豊富な知識を持つ「センパイ」に日々、鍛えられている。今回は、フィッシングという攻撃について学ぼう。

ネコSE:センパイ、ネコカワ便で荷物が届いたようですよ。

センパイ:なんの荷物だい?

ネコSE:不在だったので持ち帰りました、とのことです。再配達をお願いしておきますね。

センパイ:ちょっと待ってくれ。誰からどんな連絡があったか、教えてくれないか?

ネコSE:ほら、ぼくのスマホを見てください(図1)。

図1●宅配便を装った偽のメッセージの例
不在のために宅配業者が荷物を持ち帰ったという内容が記されており、メッセージにリンクが埋め込まれている。どんな荷物か確認するためにクリックしたくなるが、決してクリックしてはならない。
[画像のクリックで拡大表示]

センパイ:ああ、典型的なフィッシングだね。詐欺の手口だよ。

ネコSE:詐欺だなんてひどい。ちゃんとネコカワ便のWebページが開くんですよ。ほら。

センパイ:添付ファイルとURLはうっかり開かないようにしようといつも言っているじゃないか。これは偽のWebページだよ。

ネコSE:ここにIDとパスワードを入れてログイン、と。

センパイ:偽のWebページだって言っているだろう。

ネコSE:何となく、自分が間違っている気がしてきました。だまされているんでしょうか?

センパイ:これは猫瀬君の私物のスマホだろう。そこに、会社の荷物の連絡が来るなんて、そもそもおかしいよね?

ネコSE:たしかに荷物の受け取りは普段は総務部の三毛子さんがやってくれますもんね。じゃあ、自宅宛ての荷物かな。

センパイ:こんなメッセージが今まで届いたことはあるかい?

ネコSE:そう言われればないですね。新しいサービスかと思ってあまり疑問に思いませんでした。

センパイ:SMSでいきなりこんなメッセージが来ると、つい信じてしまうよね。大手の宅配サービスの名前を名乗っているし、本当に自分宛てに荷物が来ているように感じてしまう。でもそれが攻撃者の狙いなんだ。

ネコSE:むむー、汚いやつめ。

センパイ:スマホの小さい画面ではWebページのURLを確認しづらかったりするし。

ネコSE:このまま操作を続けたらどうなっていたんでしょうか?

センパイ:個人情報を盗まれたり、スマホがウイルス感染したりするよ(図2)。

図2●スマートフォンを対象にしたフィッシングの流れ
偽のメッセージのリンクをうっかりクリックしてしまうと、攻撃者が本物そっくりに作った偽のWebサイトに飛ばされる。偽のWebサイトでは、個人情報を盗まれたり、ウイルスをダウンロードさせられたりする危険性がある。
[画像のクリックで拡大表示]

ネコSE:ウイルスに感染すると、他の人に被害を広めてしまうこともあるんですね。怖いなあ。

センパイ:うん。自分の端末を乗っ取られたら、サイバー攻撃に利用されてしまう。

ネコSE:詐欺なら詐欺と言ってほしいですよ。

センパイ:それじゃあ詐欺にならないだろう。よく使われているサービスや銀行を名乗ることで、興味を引いて誘導しようとしているんだ。

ネコSE:ひきょうだなあ。

センパイ:Webページを開いただけでもウイルスに感染する危険性があるから、くれぐれも気をつけないとね。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら