サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

「偽サイト」の見分け方――横行するネット詐欺に騙されないために

実在する企業やサービスを装うサイトで、アカウント情報やクレジットカード情報などを騙し取ろうとするフィッシング。ネット通販ショップを装うサイトで、商品を販売するように見せかけて代金を騙し取ったり、偽物を送りつけたりするネット通販詐欺。時間や場所に関係なく利用できる便利なインターネットサービスだが、油断していると、このような偽サイトにおびき寄せられてしまう恐れがある。

■「なりすまし偽サイト」と「架空の偽サイト」

偽サイトには大きく分けて2種ある。本物の業者や運営者を装った偽サイトと、業者や運営者自体が実在しない架空の偽サイトである。

本物の業者や運営者を装った「なりすまし偽サイト」:アカウント情報やクレジットカード情報を騙し取るフィッシングは、本物を装うものが主体で、偽サイトには本物そっくりに作られた模倣サイトが使われることが多い。

業者や運営者自体が実在しない「架空の偽サイト」:純粋なフィッシングに比べると国内での事例は少ないが、架空の業者が開いた架空の通販サイトで、クレジットカード情報を騙し取られる事件も起きている。クレジットカードで決済させてカード情報を盗み取り、勝手にカードを使ってしまうパターンだ。カード情報を騙し取る代わりに代金を振り込ませ、直接現金を手に入れようとする通販詐欺サイトも、昨年あたりから急増している。商品の写真や説明文を実在するサイトから盗んで来るので、一見すると本物の通販サイトに見えてしまう。運営者が実在するかのように見せかける者や、中には実在する業者をかたる者もいる。この種の偽サイトを、本稿では「架空の偽サイト」と呼ぶことにする。

■「なりすまし偽サイト」の見分け方

実社会では、どうやって相手を確認しているだろうか。身近な人同士なら初対面でも誰かが「○○さんのご主人」と紹介してくれれば済むかもしれない。よく知っている信頼できる人がそう言うのなら間違いないだろうというやり方だ。これは、ネット上で評判を聞く行為に相当するが、手間がかかり確証が得られないこともある。
よりスマートでどこでも通用するのが、身分証明書を提示するやり方だ。実社会では、運転免許証やパスポートなどの公的機関が発行した証明書が、本人確認の手段としてよく用いられる。公的機関が確認しているのだから間違いないだろうというやり方で、仕組み自体は身近な人同士とそう変わりない。社内や学内なら、これが会社や学校が発行する証明書に変わる。こちらもやはり、会社や学校が保証するのだから間違いないだろうというやり方だ。
ネット上では、同様の確認手段として、「電子証明書」と呼ばれるものが使われている。これを用いて、Webサイトの運営者やプログラムの配布元、メールの送付者などが本物の企業や個人であることを確認するのだ。Webサイトの場合には、SSL暗号化通信で使われる「サーバー証明書」というのがそれである 。

・SSL通信で使われる「サーバー証明書」
難しい仕組みについては省略するが、SSLには、通信が安全に行えるようにする暗号化と、サイトの認証情報を提供するという2つの役割がある。サーバー証明を持っているWebサイトは、信頼できるだろう機関が事前に確認しているはずなので、証明書に書かれていることに間違いはないだろうという、実社会と同様の方法で相手を信用する。注意しなければいけないのは、事前に確認がとれているのは、証明書に記載された項目だけという点だ。サーバー証明には、運営者の実在確認を行っていないものが多数あり、この場合は運営者を確かめることはできない。また、運営者に悪意がないかどうかは証明できないので、証明書があっても信頼できる相手かどうかは全く分からない。

・WebサイトにSSLで接続する
SSL対応サイトでは、URLの先頭の「http:」が「https:」になるとSSLで接続でき、そのサイトが持っているサーバー証明書を確認できるようになる。サイトによっては、未対応のところや、ログインページなどの特定の場所でしかSSL接続できないところもあるので注意したい。SSL化が徹底されている国内のオンラインバンキングでも、銀行の公式サイト本体にSSL接続できるのは全体の7割弱だ。SSLで接続できなければ、電子証明書を使った確認は行えない。

対応サイトにSSLで接続すると、ブラウザのアドレスバーの横に「錠前」マークが表示される。4月でサポートが終了するWindows XP用のInternet Explorer 6の場合には、錠前マークはアドレスバーの右横ではなく、ブラウザの下部にあるステータスバーの右の方に表示される。

・正常にSSL接続できない場合はあきらめる
SSLで接続できない、ブラウザが警告を出す、接続はできたが錠前マークが表示されないといった何らかの問題が生じた場合には、十分な知識のない方は接続を断念することをお勧めする。SSLで正常に接続できなければ、この方法で真偽を確かめることはできないのだ。中には、問題のない非SSL接続が混在しているために、錠前マークが表示されないというケースもあるが、その辺を見極めるにはそれなりの知識が必要だ。
偽サイトの中には、エラー表示を無視して進むよう案内するものや、SSLで送信するので安全ですと主張するものもある。真偽が確認できない相手の言うことを鵜呑みしては、相手の真偽を確認することなどできないので、くれぐれも騙されないよう注意していただきたい。

図1 エラー時の表示例(Internet Explorer)

・URLと運営者の確認
錠前マークが表示されれば本物のサイトである可能性が高くなるが、偽サイトではないと断言することはできない。錠前マークが表示される偽サイトは、偽サイト全体の1割にも満たないが、今年3月上旬に行われたLINEを装うフィッシングのように、錠前マークが表示される偽サイトも実在する。錠前マークが表示されることと同時に、正しいURLであることと、証明書に正しい運営者が記載されていることも確認するようにしたい。
この3条件が揃えば、偽サイトではない。はじめて利用するサイトなどで、正しいURLかどうかの確信が持てない場合には、証明書に正しい運営者が記載されているかどうかが、真偽を見極める唯一の手段となる。
正しいURLで錠前マークが表示されるが運営者は不明という偽サイトよりも、URLは不明だが錠前マークが正常に表示され、証明書に正しい運営者が記載されている偽サイトの方が、開設するのが難しい。3条件をそろえることができない場合には、せめて錠前マークと証明書の運営者名の2つだけはクリアしたい。

<URLの確認>
URLの確認時には、特にドメイン名に注目する。URLの最初の「/」までの間に並んでいる「.」で区切られた文字列は、右から順にトップレベルドメイン、第2レベルドメイン、第3レベルドメイン…といい(図2)、ドメイン名の多くは、この第2レベルや第3レベルに自由な名前を付け「example.jp」「example.co.jp」という形で登録される。重複して登録することはできないので、登録者以外が自由に使うことはできない。

図2 ドメイン名

例えば当サイトの場合は、「www.so-net.ne.jp」の「so-net.ne.jp」の部分がドメイン名で、登録者であるソネットが管理・運営しているであることが期待できる。Internet ExplorerやFirefoxでは、このドメイン名を強調表示するようになっているので、識別しやすいだろう(図5)。

図3 Internet ExplorerとFirefoxでの表示

本物を装う偽サイトの中には、似たような名前や正規サイトの名前を織り込んだ紛らわしい名前を使ったものもあるが、正規サイトのドメイン名を正しく覚えておくと、偽サイトに騙されにくくなる。

<運営者の確認>
SSLで接続すると、接続先のサーバー証明書に記載された情報を閲覧できるようになる。個々のブラウザの操作方法については後述するが、Internet Explorerの場合には、図4のように錠前マークをクリックし、[証明書の表示]をクリックする。

○証明書の表示方法(Internet Explorer)

図4a [錠前マーク]→「証明書の表示]の順にクリック


図4b  [証明書]が表示されるので[詳細]タブを選択


図4c [フィールド]欄の[サブジェクト]を選択する

このほかにも、[ファイル]メニューの[プロパティ]を選択し[証明書]をクリックする方法や、マウスの右クリックで[プロパティ]を表示し[証明書]をクリックする方法もあるが、マウスの右クリックについては、注意が必要だ。Internet Explorerのこの操作は、マウスポインタの位置によって表示結果が異なる。フレームを使って本物のサイトを表示するように細工した偽サイトでフレーム内をクリックしてしまうと、アクセス先ではなく本物のサイトの情報を表示してしまう。どこがフレーム内の表示なのかは、区別できないことも多く、この操作では本物と誤認してしまうおそれがある。接続先の証明書確認には、錠前マークのクリックなどの確実な方法を使うようにしていただきたい。

証明書の[詳細]タブのリストから[サブジェクト]フィールドを選択すると、アクセス先について証明されている諸情報が確認できる。通常のSSL証明書は、証明書によって審査項目がまちまちだが、ここに記載されている事項が確認済みであることを示している。主な項目には、表1のようなものがあり、「O」という項目があれば、そこに記載されている運営者が実在する組織であることの確認がとれている証となる。

表1 サブジェクトの記載項目

CN(Common Name)    一般名(ドメイン名を含むサーバ名)
OU(Organizational Unit) 部門名(部署名など)
O(Organizational Name)  組織名(会社名や団体名など)
L(Locality)        所在地の市区町村名
S(State)          所在地の都道府県名
C(Country)        所在地の国名(JP=Japan)

<簡単に運営者の分かるEV SSL>
EV SSL証明書の場合には、運営者の実在確認が必須項目になっており、この証明書を使用しているサイトを対応ブラウザ(現行の主要ブラウザは全て対応)で閲覧すると、運営者を示す「O」の内容が、ブラウザのアドレスバーの横に表示される。いちいち証明書を表示しなくても、一目で運営者が分かるようになっているのだ。
EV SSL証明書は、通常のSSL証明書に比べると対応サイトは少ないが、大手企業を中心に普及してきており、国内のオンラインバンキングに限れば、9割以上がこのEV SSLL証明書を使用している。ただし、銀行の名前が表示されるところは、全体の1割にも満たない。地銀や信金をはじめとするオンラインバンキングの多くは、外部のシステムを使用しており、EV SLLに対応しているネットバンキングの9割以上では、表2のようなシステムの運営会社の名前が表示される。

表2 オンラインバンキングで表示される銀行名以外の会社名

Hitachi, Ltd.
NTT DATA CORPORATION
NEC Corporation
The Shinkin Banks Information System Center Co.Ltd.

本物のサイトのことを知らないでいると、本物になりすました偽サイトに簡単に騙されてしまう。騙される前に本物のサイトのURLとSSL接続時に確認できる運営会社の名前をしっかり覚えておこう。URLは、ブラウザのブックマークに登録しておき、利用時にはブックマークからアクセスするように心掛けるとより確実だ。

■「架空の偽サイト」の見分け方

本物が存在する偽サイト以上に真偽の見分けが難しいのが、はじめて利用するようなサイトの真偽だ。あらゆる手段を使って騙しにかかる相手は、実社会でもなかなか見分けることができず、被害が出て初めて気づくことも多い。実店舗を持たず、対面する必要もないネット上ではなおさらだが、通販詐欺サイトなどの架空の偽サイトにありがちな特徴を押さえておくと、騙される可能性を大幅に低減できる。特に押さえておきたい主なチェック項目は以下のとおり。

・運営者は実在するか
・長期に渡って運営されているか
・評判はどうか
・代引きなどのより安全な受け渡しが利用できるか

・相手の実在確認
実在するから安心というわけではないが、実在しなければ100%怪しい。この手の偽サイトの運営者は、捕まらないように身を隠そうとする者が多いため、実在が確認できないところが多数を占める。相手の実在確認は、騙されないための最も重要な項目である。相手の実在を確認するためには、次のような情報を利用する。
①運営者の実在確認付きサーバー証明書
②サイトに記載されている運営者情報
③ドメインの登録者情報
④振込先の名義人や支店の所在地

①は、本物になりすました偽サイトの見分け方で解説した通り。偽サイトの大半は、SSLにすら対応しておらず、対応している場合も、実在確認のない証明書だったり、記載されているのがSSL対応の共有サーバーの運営者のものだったりする。運営者自身の実在確認付はめったにないが、これがあれば、確認の手間を大幅に省くことができる。

②は、運営者の自己申告なので信ぴょう性は低いが、確認の足がかりになる。ネット通販サイトでは、特定商取引に基づく表記が義務付けられており、販売業者名や住所、電話番号などの業者の実在確認を行うために必要な情報を表示することが規定されている。この表示がない場合、不備がある場合には、怪しいと考えられる。正しい表記に見えても、偽サイトは嘘情報であることが多いので、住所は地図サイトで確認し、電話は実際にかけて確かめよう。固定電話であれば、住所と照らし合わせて信ぴょう性を深めることも可能だ。ちなみに、電話をかける際に「184」をつけてからダイヤルすると、相手にこちらの電話番号が分からない非通知通話になる。非通知でも相手が電話に出て、相手から店舗名などを名乗るようであれば、本物である可能性が高い。利用しようとしているサイトが本物を装っていることもあるので、最低限、運営サイトで間違いないかどうかを確かめておこう。商品やサービスのことなどを適当に聞いて、確認するのもよいだろう。

③は、ドメインの登録情報を検索するWHOISを使用すると取得できる。ブラウザを使って検索できるWebベースのサービスもあるので、これを利用すると手軽だ。WHOISで取得できるのは、そのドメインの登録者情報なので、必ずしもサイトの運営者とは限らない。サイトの運営者が登録したドメインの場合でも、匿名で登録されている場合や、登録内容が嘘という場合もあるが、運営者の情報と一致していれば、信ぴょう性が高くなる。
偽サイトは、支払いが銀行振込みのみというところが多いので、はじめて利用するサイトでの振込みはできるだけ避けたい。

④は、事前に振込先が分かる場合や、やむをえず利用しなければならない場合の確認だ。振込先の名義が社名や店名、運営者名と一致しているかどうか、振込先の支店の所在地が運営者の住所と整合しているかどうかをチェックし、不審な点があれば、取引を中止しよう。

・サイトの運営状況と評判
偽サイトは、閉鎖させられたり、足がつかないうちに引っ越したりすること多く、一か所で長期にわたって営業を続けることが少ない。開設間もないサイトの場合には、怪しいかもしれないと疑うようにしよう。信ぴょう性は確かではないかも知れないが、人の評判を聞くのも一助になる。

・取引はより安全な方法で
前述のように、偽サイトは支払いが銀行振込みのみというところが多い。振込みは、現金が即座に相手に渡ってしまい、振込先に他人の口座が使われた場合には、相手を追跡することもできない。ユーザーが騙されたと気付いた時には、ほとんどが手遅れで、代金は回収不能というケースが多い。偽サイト側には都合がいいが、ユーザーには不利なので、騙されないと確信できるまでは、代引きなどのより安全で確かな手段を利用することをお勧めする。

■その他のブラウザでのSSL

・Firefox
Firefoxのアドレスバーは、非SSL接続時には「http://」が省略され、SSL接続時のみ「https://」が表示される。錠前マークはアドレスバーの左側に表示され、EV SSL時には、緑色に変わり横に運営会社名を表示する。
図5は、エラー時の表示例である。

図5 エラー時の表示例

○証明書の表示方法

図6 a  [錠前マーク]→「詳細情報を表示]の順にクリック


図6b  [証明書を表示]をクリック


図6c  Firefoxでは、[一般]タブの[組織]でも確認できる
[詳細]タブの[証明書のフィールド]で[Subject]を選択するとInternet Explorerと同様の表示に


・Google Chrome
Google ChromeのアドレスバーもFirefoxと同様、非SSL接続時には「http://」が省略され、SSL接続時のみ「https://」が表示される。錠前マークは、アドレスバーの左側に緑色で表示され、EV SSL時は背景が緑色に変わり横に運営会社名を表示する。

図7 エラー時の表示例

○証明書の表示方法

図8a [錠前マーク]をクリック


図8b [接続]タブの[証明書情報]をクリック


図8c Internet Explorerと同じ[証明書]が表示されるので[詳細]タブを選択


図8d [フィールド]欄の[サブジェクト]を選択


・Android標準ブラウザ
各社のスマートフォンやタブレットに使われているAndroid OS標準搭載のブラウザ「ブラウザ」は、非SSL接続時にはアドレスバーの「http://」を省略した形で表示。SSL接続時のみ先頭に「https://」が付き、アドレスバーの左側に錠前マークが表示される。EV SSL表示には対応していないので、通常のSSL接続と同じだ。なお、アドレスバーが隠れて見えない場合には、画面を下にスライドすると表示される。
EV SSL表示に対応したブラウザもリリースされており、例えばFirefoxのAndroid版のEV SSL接続時は、アドレスバーに緑色の錠前マークと運会社名が表示される。

図9 エラー時の表示例


図10 証明書の表示方法
[錠前マーク]をタップし、[ページ情報](左図)の[証明書を表示]をタップする(右図)


・iOS Mobile Safari
アップルのスマートフォン「iPhone」やタブレットの「iPad」、携帯プレーヤー「iPod」に使われているiOS標準搭載のブラウザ「Safari」のアドレスバーは、接続先のドメインやサブドメインだけを表示するシンプルなデザインになっている(iOS 7以降)。「http://」や「https://」の表示も省かれており、SSL接続時には先頭に錠前マークを表示する。EV SSL時には、アドレスバーの文字が緑色に変わり、錠前マークと運会社名を表示する。接続先のサーバー証明書を表示する機能は用意されていない。

図11 エラー時の表示例

(執筆:現代フォーラム/鈴木)



お知らせ