社会人がざっくり知っているとよいかもしれないサイバー攻撃の手段と対策　～WEB攻撃編～

企業の正規HPに似せたサイトを使って個人情報を不正に取得したり、企業の名を装ったメールを送り、個人情報を取ろうとするフィッシング詐欺など、Webサイトやメールを使用した詐欺や不正アクセス、ウイルスなどが多くなってきています。

本記事ではフィッシング詐欺などWebサイトやメールを使用したサイバー攻撃について簡単に解説してきます。

Webサイトやメール・SMSを使用したサイバー攻撃

それではWebサイトやメール・SMSを使用したサイバー攻撃の代表的な手口・手段を見ていきましょう。

■フィッシング
フィッシングは有名企業や金融機関などを装った偽メールを送り付け、偽のWebサイトに誘導し、個人情報をだまし取る行為。

例として下記のようなものがあげられる。

メールにて有名サブスクを装い会員情報が停止したなどの文言のメールを送り、本文に記載されている本物に巧妙に似せた偽物のサイトのURLをクリックさせて、アカウント情報や個人情報を不正に取得しようとする。

語源は、もともとfishing(釣り)から。ただしつづりはPishingに変化している。

■ファーミング
ファーミングとはフィッシングの発展版で、システム設定ファイルを改ざんして、Web閲覧者が正しいドメイン名を入力しても、偽のサイトへ誘導する攻撃。
閲覧者のWebブラウザー上のURLは正規と同じものが表示されているため、偽サイトだと判別するのが非常に難しい。

例として下記のようなものがあげられる。

利用しているユーザーのhostsファイルがウィルスやワームにより、書き換えられて偽サイトへアクセスするように設定変更がされた。

語源は、収穫や農業を意味するfarmingから。ただしつづりはpharmingに変化している。

■ワンクリック詐欺
Webサイト・メール・SMSなどに記載されているURLや画像をクリックするだけで、不当な料金を請求される攻撃。

例として下記のようなものがあげられる。

出会い系サイト等で画像をクリックすると、「ご入会ありがとうございます。」と表示され、個人情報を取得したとみせかけて、料金を支払いを迫る。

■クリックジャッキング
Webサイトの閲覧者を視覚的にだまして、一見正規に見えるWebページをクリックさせることで、実際には閲覧者の意図しない操作をさせる攻撃。

例として下記のようなものがあげられる。

Web上で非公開になっているブログや個人情報を公開させてします。

語源は、click(クリック)+jacking(ジャッキング)。

■その他のWebサイトやメール・SMSを使用したサイバー攻撃

・Webビーコン
Webビーコンとは、WebページやHTML形式の電子メールに埋め込まれた、非常に小さなサイズの画像のことである。
ユーザーがWebページやメールにアクセスしたという情報を、サーバーに伝えるために用いられる。
このシステムを利用して閲覧者のメールアドレスなどを不正に入手する。

・ドライブバイダウンロード
Webサイトを閲覧した際、ユーザーの気づかぬ間に、勝手にマルウェアをダウンロードさせる攻撃。
主にユーザーのパソコンのOSやアプリケーションの脆弱性を突いて行われ、ダウンロード後、勝手にマルウェアがインストールされることが多い。

・スミッシング
スミッシングとは、携帯電話やスマートフォンのSMSを利用したフィッシング詐欺のSMS版。
SMSに金融機関や有名企業の名を騙り、SMSの記載されているURLにアクセスさせて個人情報を不正に取得する。

・SEOキャッシュポイズニング
Googleなどの検索サイトにおいて検索結果の上位に、マルウェアに感染させるWebサイトを表示させる行為。
「検索結果の上位をクリックする」、｢検索上位のサイトは安全だろう｣という心理をついた手口。