*フィッシング(Phishing)詐欺に関するリンク集 [#n407d1ba] 皆様からの情報をお待ちしています。情報はお気軽に書きこんでいってください。 #contents **Phishing とは [#pd128a08] [[Wikipedia:http://en.wikipedia.org/wiki/Phishing]] などによると >In computing, phishing, short for password harvesting fishing, is the luring of sensitive information, such as passwords and other personal information, from a victim by masquerading as someone trustworthy with a real need for such information. It is a form of social engineering attack. と書かれており「Password harvesting fishing」を縮めた略語が「Phishing」ということのようです。 (従って「Phish」という動詞があるわけではないそうです。 ちなみに [[e-Words:http://e-words.jp/w/E38395E382A3E38383E382B7E383B3E382B0.html]] では「sophisticated」が語源であるとする説が紹介されています) Phishing は金融機関など企業からの「重要なメール」を装って偽の Web サイトへ誘導しネットバンクのアカウント情報やクレジットカード番号などの個人情報を不正に引き出す詐欺行為で「ソーシャル・エンジニアリング」の一種です。 日本では「フィッシング」または「フィッシング詐欺」などとカタカナ表記されることが多いので紛らわしいですが, ネットユーザを狙った悪質な「釣り」だと考えれば分かり易いでしょうか。 アメリカでは2003年頃からネットバンクのユーザをターゲットにした Phishing が大流行し社会問題になっています。 日本でも2004年頃から流行の兆しを見せていて, 関連省庁などがネットユーザに対し警戒を呼びかけています。 Phishing の手口は徐々に巧妙化していて, Web ブラウザの脆弱性をついたものやウイルス・トロイの木馬といった不正プログラムと組み合わせたものもあります。 また偽の企業 Web サイトを構築できるキットなども出まわっていて衰える気配はありません。 ***Phishing 関連ニュース [#g031bee0] -[[Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起:http://www.jpcert.or.jp/at/2005/at050002.txt]] -[[「ステルス型フィッシングが忍び寄る」、米対策団体が警告:http://www.atmarkit.co.jp/news/200501/28/secure.html]] -[[総務省、通信事業者を中心とした「フィッシング対策推進連絡会」開催:http://internet.watch.impress.co.jp/cda/news/2005/01/20/6139.html]] -[[フィッシング詐欺対策として企業が負うべき責任:http://www.atmarkit.co.jp/fsecurity/rensai/trend03/trend01.html]] -[[フィッシング詐欺で初の被害を確認、警察庁が対策を強化:http://pcweb.mycom.co.jp/news/2004/12/24/004.html]] -[[経産省がフィッシング対策で連絡会議設置、ヤフーやVISAも参加:http://internet.watch.impress.co.jp/cda/news/2004/12/10/5743.html]] -[[Microsoftや政府機関など、フィッシング対策組織「Digital PhishNet」発足:http://internet.watch.impress.co.jp/cda/news/2004/12/09/5720.html]] -[[今年はフィッシング詐欺激増の年、来年も要警戒:http://www.itmedia.co.jp/news/articles/0412/07/news008.html]] -[[海外で深刻化するフィッシング詐欺、日本でも予防が急務~警察庁・伊貝氏:http://internet.watch.impress.co.jp/cda/event/2004/12/02/5633.html]] -[[フィッシングの新手口が出現--グーグルなどの検索ユーザーを狙う:http://japan.cnet.com/news/sec/story/0,2000050480,20077723,00.htm]] -[[実はそれほど多くない? フィッシング詐欺の被害額:http://www.itmedia.co.jp/news/articles/0412/02/news027.html]] -[[怪しいサイトを嗅ぎ分けるブラウザが登場:http://japan.cnet.com/news/sec/story/0,2000050480,20077603,00.htm]] -[[武富士、フィッシング対策で全社員のメールに電子署名を付加:http://japan.cnet.com/news/sec/story/0,2000050480,20076884,00.htm]] -[[「電子メールの信頼性が大きく揺らぎつつある」――AVAR 2004 in Tokyoリポート(2) スパム・メールやフィッシング詐欺が悪影響もたらす:http://itpro.nikkeibp.co.jp/free/NNW/NEWS/20041126/153133/]] -[[ターゲット絞ったフィッシングが増加 - 日本もホスティング国にランクイン:http://pcweb.mycom.co.jp/news/2004/11/26/009.html]] -[[専門家グループ、フィッシングの自動化に警鐘:http://japan.cnet.com/news/media/story/0,2000047715,20076383,00.htm]] -[[フィッシングサイトをクライアント側から識別するソリューション:http://japan.cnet.com/news/sec/story/0,2000050480,20076286,00.htm]] -[[フィッシング詐欺対策、3割は「どうすればよいか分からない」――シマンテック調査:http://www.itmedia.co.jp/enterprise/articles/0411/19/news093.html]] --[[忍び寄るオンライン詐欺、もはや他人事でない、シマンテックが実態調査:http://pcweb.mycom.co.jp/news/2004/11/22/007.html]] --[[フィッシング詐欺に騙されないための心構えも重要~シマンテック調査:http://internet.watch.impress.co.jp/cda/news/2004/11/19/5489.html]] --[[シマンテック、「セキュリティ対策ソフトだけでオンライン詐欺は防げない」:http://japan.cnet.com/news/sec/story/0,2000050480,20075966,00.htm]] -[[英ネット銀行、フィッシング詐欺の影響でサービス一部停止に:http://internet.watch.impress.co.jp/cda/news/2004/11/19/5480.html]] -[[国内ユーザーを狙ったフィッシングが続出,アドレス・バーを偽装する場合も:http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041118/152787/]] -[[「10月に確認された“フィッシング・サイト”は1000件超,ツールが出回っている可能性あり」――米業界団体:http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041117/152723/]] -[[マイクロソフト、フィッシング対策で二要素認証を提案:http://japan.cnet.com/news/sec/story/0,2000050480,20075908,00.htm]] -[[Yahoo! JAPAN IDとパスワードを不正に盗み取る悪質なメールに関するご注意:http://docs.yahoo.co.jp/info/notice21.html]] --[[一見すると本物のサイト、Yahoo! JAPANを騙るフィッシングが悪質化:http://internet.watch.impress.co.jp/cda/news/2004/11/17/5452.html]] --[[ヤフーからの通知を装った日本語フィッシングで何が起きていたか:http://takagi-hiromitsu.jp/diary/20041205.html#p01]] -[[メールを開くだけで偽サイトに誘導〜新たなフィッシング詐欺メール発見:http://internet.watch.impress.co.jp/cda/news/2004/11/16/5420.html]] -[[ [memo:7838] VISAを装った日本語のフィッシング詐欺メール:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2004.11/msg00006.html]] --[[VISAカードの暗証番号を入力させようとする日本語フィッシングメール出現:http://internet.watch.impress.co.jp/cda/news/2004/11/09/5328.html]] --[[目で見る「アドレスバー偽造型」フィッシング詐欺の手法 :http://www.itmedia.co.jp/enterprise/articles/0411/11/news005.html]] --[[VISA フィッシングねた(セキュリティホールmemo):http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/11.html#20041111__HTML]] -[[“巧妙な”フィッシングが出現,ポップアップでアドレス・バーを偽装:http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041110/152412/]] -[[上級者でも見破れない悪質なフィッシングの手口を英SurfControlが警告:http://internet.watch.impress.co.jp/cda/news/2004/11/09/5318.html]] -- XSS 脆弱性を利用したもの? --[[「金融機関サイトのコンテンツを偽物にすりかえる」,新たなフィッシング手口を英企業が警告:http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20041109/152316/]] -[[ウイルスの手法を利用するフィッシャーたち:http://www.itmedia.co.jp/enterprise/articles/0411/08/news060.html]] -[[ウェブセンス、フィッシング詐欺対応ソリューションを発売:http://japan.cnet.com/news/sec/story/0,2000050480,20075530,00.htm]] -[[イーバンクを装うフィッシング詐欺メールに注意:http://www.itmedia.co.jp/news/articles/0411/01/news069.html]] -[[フィッシング詐欺に関するご注意~不審な通知メールにご注意ください~:http://www.ebank.co.jp/information/information_037.html]] -[[セキュリティ専門家3氏、フィッシング詐欺の国内上陸本格化を警告:http://enterprise.watch.impress.co.jp/cda/topic/2004/10/25/3692.html]] -[[「フィッシングは“人”への攻撃,システムでは守り切れない」――Bruce Schneier氏:http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041022/151610/]] -[[成功率が50%、フィッシング詐欺はもっと高度で悪質に~米研究者が予測:http://internet.watch.impress.co.jp/cda/news/2004/10/22/5102.html]] -[[激増するフィッシング Web サイト:https://www.netsecurity.ne.jp/article/2/14363.html]] -[[フィッシングではない新手法の詐欺サイトが増加中:http://nikkeibp.jp/wcs/leaf/CID/onair/jp/flash_rss/336793]] -[[“フィッシング検出機能”,効果のほどは?:http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041007/150954/]] -[[全米で横行するフィッシング詐欺……FDICが改めて注意を喚起:http://pcweb.mycom.co.jp/news/2004/09/27/005.html]] -[[個人情報流出事件から教訓は得られるか - (5)フィッシング詐欺防止のためニュースレターに電子署名を:http://it.nikkei.co.jp/it/manage/column.cfm?i=20040916cn000cn]] -[[Gmail招待状を偽装するフィッシング詐欺が登場:http://japan.cnet.com/news/sec/story/0,2000050480,20074164,00.htm]] -[[フィッシングメールに3割はだまされる?:http://www.itmedia.co.jp/news/articles/0409/09/news032.html]] -[[イーバンク、フィッシング詐欺対策でログイン画面に新機能:http://internet.watch.impress.co.jp/cda/news/2004/09/06/4505.html]] -[[フィッシング詐欺防止にイーバンク銀行が対応強化:http://pcweb.mycom.co.jp/news/2004/09/06/006.html]] -[[警察庁、個人情報を不正に引き出す“フィッシング”詐欺に注意呼びかけ:http://internet.watch.impress.co.jp/cda/news/2004/06/07/3384.html]] -[[経産省、フィッシング詐欺への注意を呼びかけ:http://www.itmedia.co.jp/enterprise/articles/0407/08/news027.html]] -[[素人も使える「フィッシング詐欺」構築キット、発見される:http://hotwired.goo.ne.jp/news/news/business/story/20040823103.html]] -[[手を組み始めた「フィッシャー」たち――巧妙化するフィッシング詐欺:http://www.itmedia.co.jp/enterprise/articles/0408/23/news038.html]] -[[フィッシング詐欺に釣られないためには:http://www.itmedia.co.jp/enterprise/articles/0408/27/news028.html]] -[[急増する「フィッシング」メール詐欺、被害額は12億ドル:http://hotwired.goo.ne.jp/news/news/business/story/20040513106.html]] -[[そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺:http://slashdot.jp/article.pl?sid=04/04/06/0927226]] -[[トロイの木馬・ウイルス・フィッシングを組み合わせた詐欺メール:http://www.hotwired.co.jp/news/news/culture/story/20040119205.html]] -[[巧妙化するオンライン詐欺--トロイの木馬・ウイルス・フィッシングの「合わせ技」で:http://japan.cnet.com/news/media/story/0,2000047715,20063748,00.htm]] -[[Opinion:フィッシング詐欺に釣られてはいけない:http://www.itmedia.co.jp/enterprise/0310/03/epc08.html]] ITmedia による特集ページ(関連記事のリンク集)があります。 -[[特集:フィッシング詐欺にご用心:http://www.itmedia.co.jp/enterprise/special/0411/phishing/index.html]] **Sender ID について [#k77daa61] [[e-Words:http://e-words.jp/w/Sender20ID.html]] によると >メールの送信元アドレスの偽装を防止する技術の標準仕様。普及すれば、無差別に大量に送られる広告メール(SPAMメール)の抑止につながるとして期待されている。現在、IETFが標準化に向けた作業を進めている。 と書かれています。 Pobox.com 社の創設者である Meng Wong 氏の提唱する「Sender Policy Framework (SPF)」と Microsoft が提唱する「Caller ID for E-Mail」技術を合わせたもののようです。 もともとは spam 対策として考えられたものですが, 最近は議論の矛先が変わってきています。 それだけアメリカでは Phishing が深刻だということかもしれません。 -[[Sender ID Framework:http://www.microsoft.com/senderid/]] -[[Sender Policy Framework:http://spf.pobox.com/]] -[[Caller ID for E-Mail 技術仕様:http://www.microsoft.com/japan/mscorp/twc/privacy/spam_callerid.mspx]] ***Sender ID 関連ニュース [#z077f19e] -[[「送信者認証なしでは米国にメールが届かなくなる」とセンドメールの社長が指摘:http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050201/155548/]] -[[墓場から蘇ったSender ID:http://itpro.nikkeibp.co.jp/members/NT/WinSecurity/20041118/2/]] -[[どうなる? メールの送信者認証:http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041115/152576/]] -[[メール認証サミットでもSender ID問題が話題に:http://www.itmedia.co.jp/enterprise/articles/0411/10/news055.html]] -[[Sender IDはスパム対策の切り札となるか!?:http://www.atmarkit.co.jp/fsecurity/rensai/trend01/trend01.html]] -[[Sender IDの提案が棚上げに--マイクロソフトに打撃:http://japan.cnet.com/news/media/story/0,2000047715,20074776,00.htm]] -[[明らかになったMSの「Sender ID」関連特許:http://www.itmedia.co.jp/news/articles/0409/21/news045.html]] -[[MSのスパム対策技術『センダーID』、業界標準への道は遠く:http://hotwired.goo.ne.jp/news/news/20040921105.html]] -[[マイクロソフトのSender IDに関する提案が否決に:http://japan.cnet.com/news/media/story/0,2000047715,20073525,00.htm]] -[[アドレス詐称を防ぐメール送信者認証技術:http://enterprise.watch.impress.co.jp/cda/topic/2004/09/13/3345.html]] -[[「送信者認証は“スパム対策”ではなくて“フィッシング対策”」――マイクロソフト:http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040906/149514/]] -[[ApacheなどのオープンソースグループがSender IDに懸念を表明:http://japan.cnet.com/news/sec/story/0,2000050480,20071784,00.htm]] -[[Sender Policy Frameworkはスパムには効かないものの,フィッシングには有効:http://itpro.nikkeibp.co.jp/free/ITPro/USNEWS/20040901/149284/]] -[[SPFはスパム業者も積極利用。送信者詐称防止には一定の効果:http://www.itmedia.co.jp/news/articles/0409/01/news015.html]] -[[どうする? フィッシング詐欺対策--送信者認証技術の重要性を語るマイクロソフト:http://japan.cnet.com/news/sec/story/0,2000050480,20072464,00.htm]] **Weblog などによる情報 [#w3b5d263] -[[833786 - 成りすました Web サイトおよび悪質なハイパーリンクを見分けるための手順(Microsoft):http://support.microsoft.com/default.aspx?scid=kb;ja;833786]] -[[Gmail招待状で釣る「フィッシング」詐欺にご注意を:http://www.gmail-maniacs.net/news/000177.html]] 「[[高木浩光@茨城県つくば市 の日記:http://d.hatena.ne.jp/HiromitsuTakagi/]]」では [[Phishing 関連の記事:http://d.hatena.ne.jp/HiromitsuTakagi/000000#phishing]]が公開されています。 以下にいくつか挙げてみます。 (11/19 現在,「[[高木浩光@自宅の日記:http://takagi-hiromitsu.jp/diary/]]」にコンテンツ移行中のようです) -[[Phishingに騙されぬようMozilla Firefoxを使う:http://d.hatena.ne.jp/HiromitsuTakagi/20040925#p2]] -[[「Sender ID」はphishing詐欺防止に効果をもたらすか:http://d.hatena.ne.jp/HiromitsuTakagi/20040919#p2]] -[[エンドユーザにできるフィッシング対策:http://d.hatena.ne.jp/HiromitsuTakagi/20040911#p1]] -[[フィッシング詐欺防止のためMUAのS/MIMEユーザインタフェイスの改良を:http://d.hatena.ne.jp/HiromitsuTakagi/20040829#p1]] -[[事業者が今すぐできるフィッシング詐欺対策:http://d.hatena.ne.jp/HiromitsuTakagi/20040807#p1]]