サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

フィッシング詐欺に注意!

フィッシング詐欺という言葉、最近はニュースサイトで目にすることが多くなっています。アメリカでは2003年ごろから流行しているオンライン詐欺の一種で、日本でも2004年に事件が確認され、今後の増加が懸念されています。

1. あなたの財産や個人情報を狙う「フィッシング」とは
2. あなたの行動が大切

1.あなたの財産や個人情報を狙う「フィッシング」とは

フィッシングは造語で、fishing(釣り)ではなく、Phishingと書きます。騙して釣り上げることと、手口が洗練されているという意味が含まれているようです。
実在する企業(銀行やクレジットカード会社などの金融機関、電子商取引をする事業者)のWebサイトを模して作り上げた偽サイト(フィッシングサイト)へユーザーを誘導し、クレジットカードに関する詳細な情報や、登録してあるID・パスワードなどを入力させて騙し取る。それがフィッシング詐欺です。

典型的な手口

●メールが送られてきて、偽サイトへ誘導される

・信用ある企業を名乗る偽装メール(フィッシングメール)が送られてくる
・そこに記述されたURLをクリックするように仕向け、ユーザーをフィッシングサイトに誘導する
・メールがhtmlメールの場合は、「ここをクリック」という入り口ボタンを示してクリックさせることが多い

●カード番号やID・パスワードなどを入力させる

フィッシングメールには、「アカウントの有効期限が切れて使えなくなります」「サイトのセキュリティを強化するため」「クレジットカードの認証が通らなかったので」などといった、もっともらしい理由が書かれており、そこから誘導されるフィッシングサイトも本物のサイトそっくりに作られている。このため、うっかりクレジットカード番号やID・パスワードなどを入力してしまうことになる。

騙される理由

フィッシングの手口を整理してみると次のようになります。
(1) 実在の企業を装ったメールが届く
(2) 記述されたURLをクリックさせ、あらかじめ用意されたサイトに誘導する
(3) クレジットカード番号やID・パスワードなどを入力させる
情報を騙し取る手口は非常に単純で、ターゲットであるユーザーに、できるだけ考える余地を与えずに情報を入力させる流れになっています。しかも、メール・サイト共に本物そっくりなわけですから、この手口に対して予備知識がないユーザーがあっさり騙されてしまうのも無理はありません。

米国で頻発、日本でも被害拡大の恐れ

このフィッシング、アメリカでは急激に被害件数が増加しており、2003年7月にはFTC(アメリカ連邦取引委員会)が一般ユーザーに向けて警告文書を発しています。また、名前を騙られた企業を中心に、反フィッシングの業界団体が組織されているといいます。
一方、日本においては、英文のフィッシングメールがスパムメール的に国内ユーザーに届くようになっていましたが、2004年には日本語で書かれたフィッシングメールが出回り始め、大手のクレジット会社や銀行、ポータルサイトを騙る本格的なフィッシングメールも登場しています。これらの中には、一見すると本物と見間違えるほど手の込んだフィッシングサイトを用意しているところもあり、今後、被害の拡大が懸念されているところです。

2.あなたの行動が大切

フィッシング詐欺の被害にあわないために注意すべきポイントは4つあります。

(1)メールの「差出人」を疑う

フィッシングメールの大半が、メールの差出人(From:)を詐称しています。現在のインターネットの仕組みでは、送信元の詐称は簡単にできてしまうため、実在する企業のメールアドレスが表示されているからといって、そのメール内容を頭から信用するのは危険です。たとえば、過去一度もクレジットカード情報や個人情報の入力を求めるようなメールは来たことがなかったのに、それらを求める内容が書かれているなど、メールの内容に少しでも疑問に思う部分があれば、そのメール自体を疑ってみる必要があります。
最近では、「電子署名」という方法を用いて、差出人が正しい送信者であるかどうか利用者が検証できる仕組みを採用する企業も現れています。

(2)リンクは安易にクリックしない

疑わしいメールに書かれているリンクは安易にクリックしてはいけません。とくに、通常のURLの後ろに文字コードのようなものが続く長いリンクは要注意です。htmlメールの場合は、テキスト形式で表示させたり、リンク先を表示させることで、URLを確認することができます。
どうしても確認したい場合は、その企業の正規のURLを手入力してアクセスし、確かめてください。ユーザー情報を入力させるような事態が発生しているなら、その企業のサイトで何らかの告知が行われていることが多いからです。

(3)サイトの真偽を確認する

もしも、メールにあるリンクをクリックしてサイトに移動してしまったら、ウィンドウ上部の「アドレスバー」を確認します。数字だけのURLが表示されているようなら、フィッシングサイトを疑ってもいいでしょう。
ただし、JavaScriptを使ってアドレスバーやステータスバーを偽装するフィッシングサイトも見つかっており、アドレスバーやステータスバーの表示だけで単純に判断することが難しくなってきています。今見ているページのプロパティを見ることで、現在表示されている実際のURLを確認することができます。
重要な情報の入力を促す場合は「SSL」という仕組みを使うケースがほとんどです。SSLは、通信内容の暗号化だけでなく、通信相手がどこのサーバであるかを利用者が検証できる手段を提供してくれています。ブラウザに表示される「鍵」マークをクリックするとSSLで用いる証明書が表示されるので、その内容を確認してください。URLに不信な点があれば、即座にそのサイトから離れるとともに、事業者の問合せ窓口に連絡して確認してみましょう。

SSLで暗号化通信されているページ( httpsから始まる)は、アクセス先が本当にSo-netのものかどうか確認することができます。
確認方法はコチラから

(4)セキュリティパッチの適用を確実に行う

インターネットを使う上で最も基本的なセキュリティ対策は、自分が使う道具を常に安全なものにすることです。Internet Explorerの脆弱性を利用すると、アドレスバーやステータスバーの表示を偽装することも可能です。これを防ぐには、Windows Updateを使った最新のセキュリティパッチの適用を日常的に行うことです。
IEに限らず、OperaやMozillaといった他のブラウザでも同じような脆弱性が発見されています。ブラウザだけではなく、皆さんが使っているメールソフトについてもこまめにバージョンアップやセキュリティパッチを当てる作業を行うことが大事です。

以上、4つのポイントについて述べましたが、何よりも重要なのは、送られてきたメールの真偽を見極めることです。一般の社会常識をもって見れば、そのような詐欺メールには必ず不自然な部分があります。少しでも訝しく思ったならそのメールは無視するという態度が大切です。

知っておきたいセキュリティ情報 Indexへ戻る



お知らせ