Web教材一覧情報倫理・セキュリティ

Webでの騙しの手口

キーワード

スパムメール、スプーフィング、フィッシング、クロスサイト・スクリプティング

インターネットによる騙しの手口を総称してスプーフィングといいます。スプーフィングには,多様な騙しの手口があり,しかも巧妙化しています。そのうちのいくつかを列挙します。

悪意のあるWebサイトへの誘導

信頼のある発信者の電子メールを偽装して,悪意のあるWebサイトへ誘導し,クレジット番号などの個人情報を盗む手口です。

フィッシング(Phishing)
フィッシング(Phishing)は,Fishing(魚釣り。騙すの意味もある)とSophisticated(洗練された)からの造語です。例えば図のように,送信者(差出人,From)を詐称して,実在の○○銀行から来たような電子メールを送付し,そこに悪意のあるサイトへ誘導するリンクを貼り付けます。
 閲覧者は,取引があり信用できる○○銀行からの電子メールだと誤認し,同銀行のサイトへのリンクだと思って,クリックしてしまうと,偽のサイトに誘導されます。そのWebページを○○銀行に極似したものにしておくと,閲覧者は信用してパスワードや口座番号などを入力してしまうため,それを詐取するという手口です。
 単純な手口では,ステータスバーにリンク先が表示されるので,注意すれば回避できます。ところが,JavaScriptやフレームを使って,ステータスバーの表示を偽装したり,表示しなくしたりする手口もあります。
ファーミング(Farming)
ファーミングは,Farming(栽培)からの造語です。フィッシングのように偽の電子メールを送るのではなく,種を蒔いておけば自然と収穫できるという手口です。
 最近アクセスしたページのURL(ドメイン名)とIPアドレス(インターネットでの電話番号に相当するもので,相手先のサーバ等を示す番号)の対応表がパソコンに保管されていますが,そのIPアドレスを偽のWebサイトのIPアドレスに改ざんすることにより,閲覧者が正規のURLを手で入力しても,偽のWebサイトへつながってしまいます。
 さらに手が込んだ手口では,DNSサーバの対応表の書き換えがあります。DNSとは,ドメイン名からIPアドレスを知るための機能で,インターネットでのWebページ閲覧や電子メール送信で必須な仕組みですが,それを書き換えることにより,多くのアクセスを偽のWebサイトへ誘導できます。このような手口には,閲覧者は対処することができません。

Webページのデータ入力への不正利用

Webページには,閲覧者がデータを入力させるFORMという機能があります。それを利用して,不正な入力を行ってサーバから情報を取り出したり,FORMの内容を改ざんしたりして,閲覧者が入力した個人情報を入手する手口です。Webページの作成者がFORMの不正対策を十分に講じていないことが原因になります。

SQLインジェクション
SQLとは,データベースをアクセスする言語です。FORMから入力したデータにより,データベースを検索加工して,その結果をWebページに表示するとき,不正なSQLのプログラムを与えることで,データベースのデータを不正に閲覧したり改ざんしたりすることができます。また,ユーザIDやパスワードを要求しているWebページで,それらを入力するのではなく,それらをデータベースから取り出すSQLプログラムを入力することにより,不正にログオンすることもできます。
 これを防ぐためには,FORMから不正なデータ(SQLプログラム)を入力できないように,チェック機能を組み入れておく必要があります。
クロスサイト・スクリプティング(Cross-site Scripting)
利用者が悪意のあるサイトを閲覧すると、そこから正規のサイトに不正なスクリプトを含むメッセージを送りつけて改ざんし、それを利用者に閲覧させます。利用者はそれを信用して個人情報を入力すると、それが悪意のサイトに送られてしまいます。 これを防ぐには、正規のサイトがWebページの入力テキストボックスなどで、JavaスクリプトやHTMLコードなどを入力できないようにしておく必要があります。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは,情報技術を用いずに電話などによりパスワードなどを聞き出す手口です。例えば,次の手順で不正を行います。

  1. 何らかの手段により,IT部門のセキュリティ担当者の名前や業務の内容を聞き出しておく。
  2. その担当者になりすまして,利用部門の人からパスワードを聞き出す。
  3. 利用部門の人になりすまして,社内のネットワークに侵入し,ウイルスを植えつけたり,重要なファイルにアクセスしたりする。

清掃員を装ってゴミ箱から不注意に捨てた情報を取り出したり,コピー機やFAX近辺に置かれた文書を盗んだりすることも含めて,ソーシャルエンジニアリングということがあります。
 このような手口にかからないようにするためには,「セキュリティ担当者といえども,他人のパスワードを聞くことはない」、「パスワードなどの情報がある書類はシュレッダにかける」というようなことを,ふだんから全社員に徹底しておくことが必要です。

本シリーズの目次へ