サイト構築型
puchi-engineerサイト構築型
フィッシングにおけるサイト構築型とは、架空のウェブサイトを作成し、本物のウェブサイトと偽って利用者から情報を収集する攻撃手法です。以下にその手順を詳しく説明します。
- まず、攻撃者はターゲットとなる企業やサービスの本物のウェブサイトを模倣した偽のウェブサイトを作成します。偽のウェブサイトは、本物のウェブサイトとそっくりのデザインやロゴ、URLなどを用いて作成されます。
- 次に、偽のウェブサイトにはログイン画面やフォームが設置され、利用者に対してメールなどを通じて、ログインや個人情報の入力を求めます。例えば、偽の銀行のサイトでは、ログイン画面や口座番号や暗証番号の入力画面を提示することがあります。
- 利用者は、本物のウェブサイトと変わらない外観やURLに惑わされ、偽のウェブサイトにログイン情報や個人情報を入力してしまいます。
- 攻撃者は、入力された情報を収集し、悪用することができます。例えば、銀行口座を不正に操作する、クレジットカード番号を不正に使用する、などです。
サイト構築型のフィッシング攻撃は、メールの本文に偽のリンクを貼り付け、そこから偽のウェブサイトに誘導する手法と併用されることがあります。また、攻撃者はSSL証明書を偽造し、偽のウェブサイトを安全なものに見せかけることもあります。
利用者は、自分が本物のウェブサイトであると確信しているウェブサイトでも、URLを確認する、リンクを踏む前に必ず発信元の信頼性を確認する、個人情報やログイン情報の入力を求められたら、そのサイトが本物であるか確認することが重要です。また、利用者がフィッシング攻撃を受けた場合は、直ちに本物のウェブサイトへログインし、パスワードを変更することが必要です。
サイト構築型フィッシング攻撃の例としては、偽のログインページを作成し、被害者にログイン情報を入力させるものがあります。例えば、偽の銀行のログインページを作成して、メールやSMSなどで送信し、被害者に「アカウント情報の確認が必要です」と偽ってログインさせる手法があります。この場合、被害者が入力したログイン情報は、攻撃者に送信され、実際の銀行のサイトにログインされる可能性があります。
また、コロナ禍においては、偽のCOVID-19ワクチン接種予約サイトなども出現し、被害者に個人情報やクレジットカード情報を入力させる手法が使用されました。
このような攻撃を防ぐためには、被害者が偽サイトを見破れるように情報を提供し、また、セキュリティ対策を強化する必要があります。具体的には、ウェブブラウザのフィッシング対策機能を有効にする、正規のサイトであることを確認するために、アドレスバーのURLを確認する、不審なリンクや添付ファイルを開かない、などが挙げられます。また、組織としては、セキュリティ意識の向上、情報セキュリティポリシーの策定と実施、セキュリティ対策の定期的な実施と監視などが必要です。
