実在する企業（銀行やクレジットカード会社などの金融機関、電子商取引をする事業者）のWebサイトを模して作り上げた偽サイト（フィッシングサイト）へユーザーを誘導し、クレジットカードに関する詳細な情報や、登録してあるID・パスワードなどを入力させて騙し取る。それがフィッシング詐欺です。

フィッシングの手口を整理してみると次のようになります。

(1) 実在の企業を装ったメールが届く
(2) 記述されたURLをクリックさせ、あらかじめ用意されたサイトに誘導する
(3) クレジットカード番号やID・パスワードなどを入力させる

情報を騙し取る手口は非常に単純で、ターゲットであるユーザーに、できるだけ考える余地を与えずに情報を入力させる流れになっています。しかも、メール・サイト共に本物そっくりなわけですから、この手口に対して予備知識がないユーザーがあっさり騙されてしまうのも無理はありません。

このフィッシング、アメリカでは急激に被害件数が増加しており、2003年7月にはFTC（アメリカ連邦取引委員会）が一般ユーザーに向けて警告文書を発しています。また、名前を騙られた企業を中心に、反フィッシングの業界団体が組織されているといいます。

一方、日本においては、英文のフィッシングメールがスパムメール的に国内ユーザーに届くようになっていましたが、2004年には日本語で書かれたフィッシングメールが出回り始め、大手のクレジット会社や銀行、ポータルサイトを騙る本格的なフィッシングメールも登場しています。これらの中には、一見すると本物と見間違えるほど手の込んだフィッシングサイトを用意しているところもあり、今後、被害の拡大が懸念されているところです。

疑わしいメールに書かれているリンクは安易にクリックしてはいけません。とくに、通常のURLの後ろに文字コードのようなものが続く長いリンクは要注意です。htmlメールの場合は、テキスト形式で表示させたり、リンク先を表示させることで、URLを確認することができます。

どうしても確認したい場合は、その企業の正規のURLを手入力してアクセスし、確かめてください。ユーザー情報を入力させるような事態が発生しているなら、その企業のサイトで何らかの告知が行われていることが多いからです。

もしも、メールにあるリンクをクリックしてサイトに移動してしまったら、ウィンドウ上部の「アドレスバー」を確認します。数字だけのURLが表示されているようなら、フィッシングサイトを疑ってもいいでしょう。

ただし、JavaScriptを使ってアドレスバーやステータスバーを偽装するフィッシングサイトも見つかっており、アドレスバーやステータスバーの表示だけで単純に判断することが難しくなってきています。今見ているページのプロパティを見ることで、現在表示されている実際のURLを確認することができます。

重要な情報の入力を促す場合は「SSL」という仕組みを使うケースがほとんどです。SSLは、通信内容の暗号化だけでなく、通信相手がどこのサーバであるかを利用者が検証できる手段を提供してくれています。ブラウザに表示される「鍵」マークをクリックするとSSLで用いる証明書が表示されるので、その内容を確認してください。URLに不信な点があれば、即座にそのサイトから離れるとともに、事業者の問合せ窓口に連絡して確認してみましょう。

インターネットを使う上で最も基本的なセキュリティ対策は、自分が使う道具を常に安全なものにすることです。Internet Explorerの脆弱性を利用すると、アドレスバーやステータスバーの表示を偽装することも可能です。これを防ぐには、Windows Updateを使った最新のセキュリティパッチの適用を日常的に行うことです。

IEに限らず、OperaやMozillaといった他のブラウザでも同じような脆弱性が発見されています。ブラウザだけではなく、皆さんが使っているメールソフトについてもこまめにバージョンアップやセキュリティパッチを当てる作業を行うことが大事です。



以上、４つのポイントについて述べましたが、何よりも重要なのは、送られてきたメールの真偽を見極めることです。一般の社会常識をもって見れば、そのような詐欺メールには必ず不自然な部分があります。少しでも訝しく思ったならそのメールは無視するという態度が大切です。