メールを使った詐欺・攻撃

近年、セキュリティ上 最も脅威となっているものがフィッシング詐欺と標的型メールです。

この2つはともにメールを使った詐欺・攻撃で、メールを開かせたり 特定のサイトに誘導することを目的としています。

フィッシング詐欺は主に個人のパソコンユーザーに対する攻撃で、標的型メールは主に企業・組織に対する攻撃です。

フィッシング詐欺

フィッシング詐欺とは、文字通り「釣り」を意味します。メールが釣り餌となっていて、獲物が食い付くのを待っています。

主に、個人のパソコンユーザーに対する攻撃です。何らかのかたちで入手したメールアドレスに対して一斉に送信しているため、個人で使用しているメール以外にも会社用・事業用のメールに届くことがあります。

目的は、ネットバンクのIDやパスワード、会員サイトのIDやパスワードです。それによって、なりすまし・不正アクセスが行われ被害が出ることがあります。

代表的なフィッシング詐欺は 金融機関を装うメールです。

金融機関

メール本文のURLで 偽のサイトに誘導して IDとパスワードを入力させることを目的としています。

また他には、ショッピングサイトやゲームサイトなど会員制のサイトを装うこともあります。

会員制サイト

フィッシング詐欺の対策としては、以下のようなものがあります。

  • メールを通じて IDやパスワードを入力しない
  • フィッシング詐欺対応のセキュリティ対策ソフトの導入
  • 金融機関・会員制サイトなどでは異なるメールアドレスを使う

標的型メール

標的型メールとは、企業や公官庁を標的としたメールです。標的型攻撃メールともいいます。

主な目的は、企業や公官庁の機密情報・顧客情報といわれています。

仕事や業務に関連した件名のメールに、添付ファイルを付けて送信してきます。添付ファイルにウイルスが入っていて、開くとウイルスに感染したり 外部から操作されるようなウイルスがネットワーク内に拡散するということもあります。

バックドア型のウイルスを仕掛けられることが多く、内部から通信経路を確保され操作・侵入されたりします。

標的型メールの対策としては、以下のものがあります。

  • セキュリティ対策ソフトの導入
  • 不審な添付ファイルを開かない
  • 組織内でのマニュアルの整備
  • メールの使用やネットワーク・システム設計の見直し

メールはその仕組上、簡単にネットワーク内に入ってくるという特徴があります。このメールの仕組みそのものが脆弱であるという指摘が行われることもあります。