図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

フィッシングメールとは 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

最近良く聞く言葉の1つにフィッシングという言葉があります。会社でもセキュリティ部からアナウンスがあって「最近フィッシングメールが流行していますので、怪しいメールは絶対に開かないようにしてください。」と注意喚起していますね。フィッシングとはソーシャルエンジニアの1つで、メール等を利用してユーザのIDや銀行口座などの情報を不正に収集する手段です

フィッシング(Phishing)の語源

フィッシングとは魚釣りのFishingではありません。英語にするとPhishingですが、語源は魚釣りのFishingから来ているそうです。

The word phishing was coined around 1996 by hackers stealing America Online accounts and passwords. By analogy with the sport of angling, these Internet scammers were using e-mail lures, setting out hooks to “fish” for passwords and financial data from the “sea” of Internet users. They knew that although most users wouldn’t take the bait, a few likely would. The term was mentioned on the alt.2600 hacker newsgroup in January 1996, but it may have been used earlier in the print journal 2600, The Hacker Quarterly.

Hackers commonly replace the letter f with ph, a nod to the original form of hacking known as phone phreaking. Phreaking was coined by John Draper, aka Captain Crunch, who created the infamous Blue Box that emitted audible tones for hacking telephone systems in the early 1970s.

By 1996, hacked accounts were called phish, and by 1997, phish were being traded among hackers as a form of currency — people would routinely trade 10 working AOL phish for a piece of hacking software.

Computerworldより:http://www.computerworld.com/article/2575094/security0/sidebar–the-origins-of-phishing.html

これは2004年1月19日にComputerworldに掲載された記事で、そこにはインターネットを「海」になぞらえて、そこで悪い人が金融データなどを「釣る」ためにメールを「ルアー」として利用する、といったような比喩が記載されています。ではなぜFishingからPhishingになったと言いますと、ハッカーたちの間では「f」を「ph」に変換する文化があるそうです。そうやってPhishing(フィッシング)という言葉が生まれたそうです。

フィッシング(Phishing)の事前準備

攻撃者は巧妙に作成された偽のメールを作成する事から始まります。例えば、ユーザから銀行のIDとパスワードを盗みたいのであれば、その銀行がユーザに対して定期的に送信しているメールマガジンやお知らせメールを参考にしてフィッシングメールを作成します。そして、その銀行のWebサイトとそっくりな偽のWebサイトを作成します。

フィッシングメールの仕組み

フィッシング(Phishing)詐欺の実行

フィッシング詐欺の準備が完了すると、実行に移ります。

フィッシング詐欺の仕組み

攻撃者はユーザにフィッシングメールを送信します(①)。ユーザはそのフィッシングメールを開いて本物であると思い込むと、そのフィッシングメールに記載されているURLをクリックして偽のWebサイトにアクセスします(②)。ユーザがその偽のWebでログインを試しますが、偽のWebサイトですのでエラーやメンテナンス画面が表示されます。しかしながら裏側ではユーザが入力したIDとパスワードは保存されて、攻撃者の手に渡ります(③)。攻撃者はそのIDとパスワードを利用して銀行のWebサイトにアクセスし、ログインして不正な送金等を行います。(④)。

広告

広告

-図解サイバーセキュリティ用語

関連記事

諜報活動はOSINT、SIGINT、HUMINTの3種類が基本 図解サイバーセキュリティ用語

サイバー空間上の諜報活動にはOSINT、SIGINT、HUMINTの3つの種類があります。これらは元々軍事用語として利用されていましたが、現在のサイバー空間上の諜報活動は戦争での諜報活動と同じように行 …

CISO(最高情報セキュリティ責任者)とは?

CISOとはChief Information Security Officerの略で、最高情報セキュリティ責任者の事を言います。CISOは一般的に執行役員レベルのポジションで企業の情報セキュリティに …

柳条湖事件 9月18日に中国からサイバー攻撃を受ける理由

毎年9月18日の1週間前になると、様々な機関から「9月18日前後に中国からサイバー攻撃がある可能性がありますので注意してください」という通達がありますよね。実際に9月18日に中国からのサイバー攻撃によ …

ハッシュ関数、MD5とSHAとは?

ハッシュ関数とは、あるデータをインプットとしてそのデータを要約する16進数の数列を生成する関数の事を言います。ハッシュ関数はデータ固有の値(ハッシュ値)を生成しますので、データが違うとそのハッシュ値も …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …