トピックス 2020.11.23 本物そっくりの偽サイトからログイン情報を盗み取る方法 〜導入編〜

メールやSMSなどから偽のホームページへと誘導し、ユーザIDやパスワードなどのアカウント情報やクレジットカード番号といった重要な個人情報を盗み出すフィッシング詐欺の被害は一向に後を絶ちません。

その特徴として攻撃者は本物と見分けがつかないほどそっくりな偽サイトを使い、そのサイトもインターネットバンキングやSNS、オンラインショップなど多岐にわたっています。

そこで今回の記事では、このような偽サイトがどのように準備され、その裏でどのような処理が行われるのかを実際に検証しながら解説していきます。

偽サイトの準備については、Webサイトのコンテンツをクローニングするためのツールがいくつも存在していて、これらのツールを利用することで本物とまったく同じサイトを作ること自体は非常に簡単にできてしまいます。

クローニングとは「複製する」「模造品を作る」などの意味を持つ言葉で、一般的には「DNAのクローンを作る」といった使われ方を耳にしたことがある方も多いのではないでしょうか。

IT用語としてのクローニングはこれと同じように、ウェブサイトやコンピュータ内の設定・システム構成、記憶装置内のデータを別の機器で再現するための技術のことを指しています。

ウェブサイトの引越しをする場合やデモ用に現在あるページを一部改変したいときに利用される技術でもあり、必ずしも悪事や犯罪行為に利用されるとは限りません。

今回の記事では、偽サイトの作成に利用されるクローニングの技術についてご紹介しました。

次回の記事では、実際にクローニングを行って偽サイトを作成し、ターゲットの情報を盗み取る手法について実際に検証を行いながら解説を行っていきたいと思います。

※次回「実践編」の記事公開は11月25日（水）を予定しております。

TEXT：セキュリティ通信 編集部
PHOTO：iStock