JAPHICマーク取得企業は、顧客や取引先などの関係者から高い信用を得ています。
なぜなら、個人情報保護体制の面で他社を一歩リードしているからです。
しかし、信用を得ているということは、その分インシデント発生時に失うものも多いということです。
今回は、JAPHICマーク取得企業が注意すべきスプーフィングについて解説します。
スプーフィングとは?
スプーフィングは、信頼できる存在になりすますことで、ユーザーやシステム、アプリケーションなどが誤った行動を取るように誘導する行為全般です。
スプーフィングを用いた攻撃は非常に種類が多く、攻撃者は自身の身分やメールアドレス、IPアドレスなどさまざまな要素になりすまします。
それにより、情報や金銭の窃取、あるいはシステムのダウンといった目的を遂行します。
主なスプーフィング攻撃の種類
JAPHICマーク取得企業が注意すべき主なスプーフィング攻撃としては、以下のようなものが挙げられます。
・フィッシング
・スピアフィッシング
・ホエーリング
・ビジネスメール詐欺
・中間者攻撃
各項目について詳しく説明します。
フィッシング
フィッシングは、送信者を偽って偽物の電子メールを送信したり、偽物のWebサイトに誘導したりすることで、個人情報を盗む詐欺行為です。
電子メールやSNSメッセージに記されたリンクから偽サイトに誘導し、個人情報を入力させる手口が多く使われています。
スピアフィッシング
スピアフィッシングはフィッシング詐欺の一種で、ターゲットを絞ったより高度な手法です。
スピアフィッシングに用いられるメールは、ターゲットとなる人物や組織向けに精巧に加工されています。
攻撃者はネット上に公開されたターゲットの個人情報等を収集し、あるいはターゲットと関わりのある取引先のシステムを事前に乗っ取ります。
そのため、メールを受け取ったターゲットは、それが偽物であると見分けるのが困難になります。
ホエーリング
ホエーリングは、クジラ漁を意味するフィッシング攻撃の一種です。
高い社会的地位を持った裕福な人物、組織などをクジラに例え、このような層がフィッシング攻撃のターゲットにされるのが特徴です。
また攻撃者自らが、そうした高い地位にいる人物や組織を装い、攻撃を仕掛けることもあります。
ビジネスメール詐欺
ビジネスメール詐欺は、ビジネスメールで用いられるメールを悪用した詐欺行為です。
攻撃者は、取引先や経営陣など、従業員になじみのある連絡先になりすましてメールを発信し、あらかじめ準備した口座に送金させます。
またなりすましメールの真正性を高めるために、マルウェア等を使い実在のメールや請求書文面などを取得するという手法も使われています。
中間者攻撃
中間者攻撃は、二者間の通信を第三者が盗聴あるいは改ざんする手法を用いた攻撃です。
攻撃者は、ターゲットの通信に介入し、ログイン・パスワード情報やクレジットカード情報を取得します。
形態はさまざまであり、セキュアではないWi-Fiからターゲットの通信を盗聴する、ユーザーとWebサイト間の通信プロトコルを盗聴するといった手法があります。
その他、DNSキャッシュポイズニングを使い、ターゲットを偽のWebサイトに誘導し、その通信を盗聴するというパターンもあります。
なお中間者攻撃は英語でMan in the Middle Attackといいますが、Man(男性)という語が示唆する性差別や偏見に対する配慮から、On Path攻撃と呼ばれることもあります。
まとめ
今回解説したスプーフィングはほんの一部です。
JAPHICマーク取得企業が注意しなければいけないスプーフィングには、他にもDoS攻撃などさまざまな種類があります。
もちろん、いずれかのスプーフィング攻撃にのみ対策を取っていても意味がありません。
総合的かつ多角的な対策を取ることにより、初めてJAPHICマーク取得企業として十分な体制を整えたと言えます。