フィッシング (Phishing)対策
フィッシングとは?
金融機関(銀行やクレジットカード会社)などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことをいいます。
フィッシング事例(2004年11月)
これは、2004年11月に見つかった、あるカード会社を装ったフィッシングメールと偽のWebサイトです。
これ以前は、米国などの英語圏をターゲットとした英語の文面だったのですが、この時より、日本をターゲットとした日本語メールが確認されるようになりました。最初はまだ、機械翻訳したような日本語でしたが、2005年に見つかっている国内銀行を装ったメールなどは、一般的な日本語のメールも出てきているので、騙されないよう注意が必要です。
*国内での被害も発生しており、金融機関では様々な注意喚起を行っています。
(例)
送信元が update@aaa.co.jpの送信元詐称メール。
画像にあるリンク https://www.aaa.co.jp/verified/ は、カード会社の正規のURLに見えるが、HTTPのソースでは他のアドレスを指していた。クリックするとフィッシング サイトへジャンプし、カード番号やID番号の入力を促す。
フィッシング事例(2005年11月)
「評価が上がった」という内容の偽メールを送り、オークションのログイン・ページに見せかけた偽ページに誘導
フィッシング事例(2006年3月)
「タイポスクワッティング」とはTypo(タイプミス)とSquatting(占有)を組み合わせた造語で、有名サイトに類似したドメインを取得し、URLを直接入力するユーザのタイプミスを狙い、偽サイトへ誘導する手口のことです。
タイポスクワッティング・サイト
(正)www.aaaa.com
(偽)wwwaaaa.com [例えば、悪意を持つ人が、www のドットが抜けているサイトを用意]
フィッシング対策(画面は正当か?)
ユーザが出来る対策として、重要な情報を入力する際は実際にアクセスしているサイトを確認するために、ブラウザのSSLの鍵マークを確認しましょう。偽サイトであれば、通信は暗号化されていないケースがほとんどです。
鍵マークをダブルクリックすると、その証明書の内容が表示され、本当にアクセスしているURLをチェックすることができます。
//www.ipa.go.jp/ へアクセスしていれば、サイト名が //www.ipa.go.jp/ と表示されているはずです。
また、自分で発行している電子証明書ではなく、信頼のおける機関が発行している電子証明書であることも見極めるポイントです。
- URLを確認
- 「https」と「鍵マーク」を確認
「フィッシング対策の心得」
- 慌てないで対応しましょう。
中には紛らわしいサイト名にしているものもありますが、慌てないことが大切です。 - メールの送信者欄(Fromアドレス)は偽装できます。なりすましメールに注意しましょう。
- 手口は巧妙化していますが、必要ならば、フィッシング対策ソフトなどの導入も検討しましょう。
- メール中のリンクからアクセスするのではなく、お気に入りに登録したアドレスからホームページを見るようにしましょう。
- そもそもカード番号や暗証番号を入力するような依頼がメールでくることはありません。もしそのようなメールが金融機関等から届いた場合は、送信元に電話で問い合わせたり、ホームページのお知らせ欄を見たりして、その情報(メール)の真偽を確認するようにしましょう。