図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

フィッシングメールとは 図解サイバーセキュリティ用語

投稿日:2017年4月8日 更新日:

最近良く聞く言葉の1つにフィッシングという言葉があります。会社でもセキュリティ部からアナウンスがあって「最近フィッシングメールが流行していますので、怪しいメールは絶対に開かないようにしてください。」と注意喚起していますね。フィッシングとはソーシャルエンジニアの1つで、メール等を利用してユーザのIDや銀行口座などの情報を不正に収集する手段です

フィッシング(Phishing)の語源

フィッシングとは魚釣りのFishingではありません。英語にするとPhishingですが、語源は魚釣りのFishingから来ているそうです。

The word phishing was coined around 1996 by hackers stealing America Online accounts and passwords. By analogy with the sport of angling, these Internet scammers were using e-mail lures, setting out hooks to “fish” for passwords and financial data from the “sea” of Internet users. They knew that although most users wouldn’t take the bait, a few likely would. The term was mentioned on the alt.2600 hacker newsgroup in January 1996, but it may have been used earlier in the print journal 2600, The Hacker Quarterly.

Hackers commonly replace the letter f with ph, a nod to the original form of hacking known as phone phreaking. Phreaking was coined by John Draper, aka Captain Crunch, who created the infamous Blue Box that emitted audible tones for hacking telephone systems in the early 1970s.

By 1996, hacked accounts were called phish, and by 1997, phish were being traded among hackers as a form of currency — people would routinely trade 10 working AOL phish for a piece of hacking software.

Computerworldより:http://www.computerworld.com/article/2575094/security0/sidebar–the-origins-of-phishing.html

これは2004年1月19日にComputerworldに掲載された記事で、そこにはインターネットを「海」になぞらえて、そこで悪い人が金融データなどを「釣る」ためにメールを「ルアー」として利用する、といったような比喩が記載されています。ではなぜFishingからPhishingになったと言いますと、ハッカーたちの間では「f」を「ph」に変換する文化があるそうです。そうやってPhishing(フィッシング)という言葉が生まれたそうです。

フィッシング(Phishing)の事前準備

攻撃者は巧妙に作成された偽のメールを作成する事から始まります。例えば、ユーザから銀行のIDとパスワードを盗みたいのであれば、その銀行がユーザに対して定期的に送信しているメールマガジンやお知らせメールを参考にしてフィッシングメールを作成します。そして、その銀行のWebサイトとそっくりな偽のWebサイトを作成します。

フィッシングメールの仕組み

フィッシング(Phishing)詐欺の実行

フィッシング詐欺の準備が完了すると、実行に移ります。

フィッシング詐欺の仕組み

攻撃者はユーザにフィッシングメールを送信します(①)。ユーザはそのフィッシングメールを開いて本物であると思い込むと、そのフィッシングメールに記載されているURLをクリックして偽のWebサイトにアクセスします(②)。ユーザがその偽のWebでログインを試しますが、偽のWebサイトですのでエラーやメンテナンス画面が表示されます。しかしながら裏側ではユーザが入力したIDとパスワードは保存されて、攻撃者の手に渡ります(③)。攻撃者はそのIDとパスワードを利用して銀行のWebサイトにアクセスし、ログインして不正な送金等を行います。(④)。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ゼロデイ攻撃 図解サイバーセキュリティ用語

ゼロデイ攻撃とは、システムやアプリケーションに脆弱性が発見され、ベンダーが修正パッチをリリースする前にその脆弱性を悪用した攻撃の事を言います。ベンダーが提供する修正パッチのリリース日をワンデイ(1 d …

職務分掌・職務分離とは?

職務分掌とは部署や役職ごとに必要な責任や権限を明確にして定義する事を言います。職務分掌と似たような言葉に職務分離があります。ほぼ同じ意味ですが、職務分掌は人事要素が強い一方で職務分離にはコンプライアン …

CISO(最高情報セキュリティ責任者)とは?

CISOとはChief Information Security Officerの略で、最高情報セキュリティ責任者の事を言います。CISOは一般的に執行役員レベルのポジションで企業の情報セキュリティに …

クロスサイトリクエストフォージェリ (CSRF) 図解サイバーセキュリティ用語

クロスサイトリクエストフォージェリ (CSRF)は、一般ユーザが知らない間にサイバー攻撃に加担してしまう事で、攻撃者がターゲットに対して間接的に攻撃を行う事ができます。クロスサイトリクエストフォージェ …

SOC(セキュリティオペレーションセンター)とは 図解サイバーセキュリティ用語

SOCとはセキュリティオペレーションセンターの略で、「ソック」と呼びます。SOCのメインの業務はセキュリティの監視です。ITの世界では監視とはOSやデバイスのログを収集して異常なログを見つけ出しすこと …