商品の発注や決済行為を不正に操作する脅威です。個人のパーソナルデータを利用してユーザIDやパスワードを不正に作成したり、掲示板などのフォーラムで本人になりすまして、いやがらせやいたずらなどの行為を行う場合があります。
インターネットにおけるなりすましの脅威
インターネットのようなネットワーク環境に創り出された特殊な世界は、通信する相手が本当に意図した人間なのか、あるいは正規のサイトなのか、身元確認が困難なシステムです。それにもかかわらず、商品の発注書や見積書、クレジットカード番号など、インターネットの通信回線でさまざまなメッセージの交換が行われています。
それで問題ないといえるのでしょうか? 本人の特定が困難な通信環境で、金銭にかかわる情報の交換は非常に危険です。実社会でも、昔からなりすましによる搾取的な犯罪事件が発生しているだけに、インターネットの通信環境でも、なりすましによる搾取行為が可能だとしたら、実社会以上になりすましによる犯罪が発生する危険性が高くなります。
送信者と受信者のなりすまし
ネットワークの世界では、他人のユーザーID やパスワードを盗みだし、本人になりすまして悪用する脅威があります。また、電子メールのヘッダ情報を改ざんし、発信者になりすましたメッセージの送信による詐欺行為や、電子メールの受信先になりすましたメッセージの横取りといった脅威などがあります。このような、なりすましの不正行為が可能なネットワークでは、情報の行き違いによる深刻なトラブルが発生します。
管理者のなりすまし
管理者のなりすましは、ネットワークシステムの管理者になりすまして、不正にパスワードを奪取する脅威です。管理者を装ったなりすましの手口は、昔からよく使われている手口です。管理者と名乗る相手が本当に管理者なのか見極める必要があります。
いくら管理者だからといっても、安易に信頼するのは危険です。おかしいと思ったら、別の管理者宛に連絡し、管理者の要求する指示が妥当なのかどうか、真偽を確認する必要があります。管理者なりすましは、利用者がシステム管理者に対して、忠実に従おうとする利用者の弱みを利用した、ソーシャルエンジニアリングです。管理者になりすました犯行の手口は、ハッカーの常套手段です。
ホームページなりすまし
ホームページのなりすましは、企業のホームページをまるごとコピーし、あたかも本物のサイトであるかのように振る舞う搾取行為です。偽装されたホームページでは、利用者に安心感を与え、利用者のパスワードやクレジット番号などが不正に搾取されます。
このようななりすましのサイトは、発見が難しく、不正が発覚した時には、消滅している可能性があります。このようなサイトに対する防御策としては、URLアドレスの確認やSSLによる公開鍵の証明書を確認すれば未然に防ぐことができます。できるだけSSLの暗号処理が施されているサイトを選び、認証機関が証明したサイトの確認が必要です。
コメント