何度見ても楽しい映画ってありますよね。私にとってそれは、実在の詐欺師であるフランク・アバグネイルの人生を描いた、犯罪映画『キャッチ・ミー・イフ・ユー・キャン』(スティーブン・スピルバーグ監督:2002年公開)です。レオナルド・ディカプリオ演じるフランク・アバグネイルが、パイロット、医者、弁護士などのさまざまな職業になりすまし、世界中で小切手を偽造して、何百万ドルもの大金を盗み出します。細部に至るこだわりと人を魅了する力が、彼の大きな武器でした。セキュリティ エキスパートとして、フィッシング詐欺にも数多くの共通点を感じます。
フランクは、偽の小切手を使って銀行からお金を騙し取りましたが、ハッカーは偽のeメールやURLを使ってユーザーから情報を騙し取ります。こうしたeメールやURLは、ユーザーが実際に利用している銀行や保険会社から送られてきそうなeメールを装い、ユーザーに個人情報の「確認」を求めることも多いのです。
また、ディカプリオが扮するキャラクターが映画を通して完璧に駆使していたソーシャル エンジニアリングのテクニックも、フィッシング詐欺に利用されています。先ほども触れましたが、アバグネイルは人を惹き付ける力で信用を獲得し、銀行口座やパイロットの制服から果ては婚約者に至るまで、欲しいものを手に入れていきます。サイバー犯罪者もまったく同じです。私たちが信用している対象を装い、欲しいもの、つまり個人情報を手に入れます。
フランクの手口と現代の詐欺行為に共通点は多いのですが、現代の犯罪者が使えるリソースや攻撃ベクトルが増えていることを忘れてはいけません。フランクは成功していたものの、現代の高度な技術に比べれば、その技法は限られていました。特に、モバイル デバイスなど、デジタル化はハッカーに新たな扉を開きました。実際、具体的にiOSデバイスを使用しているモバイル ユーザーは、モバイル フィッシング攻撃の最大の標的であることが報告されています。
では、どうすればユーザーの情報を盗もうとする詐欺師を捕まえられるのでしょうか。気になりますよね。
- 過剰に情報を求められていないか: 過剰に情報を求められる場合は、警戒してください。
- 不明アドレス: アカウントにログインする前に、ウェブ アドレスが正規のものであることを確認してください。
- 名前を確認: 送信者の名前とeメール アドレスに問題はありませんか。その会社から過去に受信したeメールと一致していますか。返信する前に、まず確認しましょう。
- ホバリングなら大丈夫: クリックする前にURLアドレス上をホバリングし、正規のアドレスであるか確認してください。
- うまい話にはご用心: 「無料」オファーやうますぎる話は、恐らく嘘です。こうしたものは、ウイルスだと思って回避してください。
- セキュリティが重要: 必ず、包括的なセキュリティ ソフトウェアを使用し、お使いのデバイスや個人情報をマルウェアやフィッシング詐欺といった脅威から保護してください。
エンターテイメントとして映画では楽しめますが、現実では非常に深刻な問題です。
個人情報は細心の注意を払って保護してください。最新のベストプラクティスやセキュリティ情報を必ず確認しましょう。
モバイル セキュリティのヒントや傾向の詳細については、Twitterでをフォローするか、Facebookで「いいね」してください。
原文:Catch Phish If You Can
著者: Radhika Sarang