フィッシング

フィッシングとは †

名称 †

• Phishing

概要 †

• 電子メール等で不正なサイトのURLを使い、偽のサイト（なりすまし）に誘導してログイン情報を盗んだり、詐欺行為を行う攻撃。

フィッシングサイトの手法・特徴 †

リンク型 †

• メールの本文中に偽のサイトのURLが記載されている。
• ドメイン名が正規のサイトのドメイン名と類似している。

ファイル添付型 †

• メールの添付ファイル（マルウェア）に仕込まれている。
• 種類
  • マクロ有効化させる
  • iqyファイルを利用
• 添付ファイルのファイル形式：パスワード付きZIP形式
  • マルウェア対策製品のスキャンをすり抜けてしまう。

メッセージの送信方法 †

• 電子メール
  • 送信元の偽装
  • 送信元のメールアドレスが正規のものと誤認しやすい
  • メールアドレス(アカウント)の乗っ取り

• SMS
  • スミッシング

DNSの不正な書き換え †

• ファーミング
  • DNSキャッシュポイズニング
• hostsファイルの書き換え
• ドメイン名ハイジャック（DNSハイジャック）

被害の内容 †

• クレジットカード情報窃取によるクレジットカードの不正利用
• 金融機関のオンラインバンキング用の認証情報窃取によるインターネットバンキングの不正送金
• Webサービスの認証情報（クレデンシャル情報）

対応 †

• フィッシングサイトのテイクダウン

対策 †

• WebAuthn
• FIDO 2.0

流行したマルウェア †

• DreamBot
• Gozi
• Ramnit
• Panda-Banker

関連サイト †

• フィッシング対策協議会
  https://www.antiphishing.jp/

• フィッシング対策ガイドライン - フィッシング対策協議会
  https://www.antiphishing.jp/report/guideline/

• DreamBot・Gozi・Ramnit感染チェックサイト（JC3）
  https://www.jc3.or.jp/info/dgcheck.html

• Phishing Quiz（Google）
  https://phishingquiz.withgoogle.com/

• aguse.jp
  https://www.aguse.jp/

• ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える (TechCrunch)
  https://jp.techcrunch.com/2018/05/11/2018-05-10-hacker-kevin-mitnick-shows-how-to-bypass-2fa/

• LINEを騙るPhishing詐欺対策と戦いの歴史 (2021.09.08) - LINE Engineering
  https://engineering.linecorp.com/ja/blog/anti-phishing-scams-2021/

• JPCERTCC / phishurl-list - GitHub
  https://github.com/JPCERTCC/phishurl-list

関連用語 †

• BEC
• URL
• セキュリティ
• ホモグラフ攻撃
• なりすましメール
• サイバー攻撃
• 標的型攻撃
• SEOポイズニング
• Modlishka
• 反射型XSS
• スピアフィッシング
• セッションフィクセーション
• ソーシャルエンジニアリング
• ホエーリング
• オープンリダイレクト