2005/07/11

	フィッシング対策

インターネット上で、「フィッシング」による被害が増加しています。被害に遭わないためには、日ごろの心がけと対策がとても重要です。セキュリティソフトを使って、今すぐフィッシング対策を始めましょう。

真偽の見分けが難しい、巧妙な詐欺メール・ニセサイト

フィッシングとは、金融機関やショッピングサイトなどを装ったメールを送り、そこにリンクを貼り付けてニセのWebサイトに誘い出し、クレジットカード番号やパスワードなどをだまし取るという詐欺行為です。メールとWebサイトを使った“インターネット版振り込め詐欺”と言えます。 　フィッシングに使用されるメールやWebサイトはとても巧妙で、ひと目見ただけでそのメールが本物か偽物かを見分けるのは困難です。もちろん、メールを簡単に信用しないとか、むやみにリンクをクリックしないという姿勢が大切なことはいうまでもありませんが、同時に、対策ソフトを使用して、二重三重の対策をしておく必要があります。

これまでフィッシングは、海外での被害が多く報告されていましたが、日本でも本格的なものが登場しています。2004年11月、実際に大手クレジットカード会社名をかたったフィッシングが確認されていますので、ご紹介します。

一見、信用させるメールで、 クリックをうながす内容 　2004 年11月、大手クレジットカードを装ったHTML形式のメールが、不特定多数に送信されていることが確認されました。このメールには「●●カード保有者のみなさまへ」として、「お持ちの●●カードのセキュリティを強化します。リンクをクリックしてください」と書かれており、「https://www.●●.co.jp/verified/」のURLが記載されていたのです。 ニセサイトへ接続し、 カード番号など個人情報を盗む 　このURLをクリックすると、実際には●●カードのページではなく、まったく違ったサーバへ接続されます。HTMLメールでは、Web同様、実際にURLを表示せずにリンクを作成することができるという機能を悪用したものです。	実際に送られたHTML形式のメール（クリックで拡大） 実際に表示されるWebサイト（クリックで拡大）
クリックすると接続するニセのWebサイトは、Internet Explorerのセキュリティホールを悪用し、ウイルスを埋め込んでアドレスバー部分に実際のURLとは別のURLを画像で表示し、信用させます。 　そのうえで、個人情報を送信させ、盗み取るという手口です。メールもWebサイトも、●●カードのロゴを使用しており、一見して本物との区別をつけるのは困難です。

	アドレスバーに表示されたURLを確認する 　個人情報を入力する際に、ブラウザのアドレスバーに正規のURLが表示されているかどうかを確認してください。Internet Explorerの場合、ツールバーの［表示］→［ツール バー］→［アドレス バー］で表示できます（一部できない場合もあります）。 　ただし、上記に紹介したように、アドレスバー部分に実際のURLとは別のURLを「画像」で表示させる手口もありますのでご注意ください。 ブラウザの「カギマーク」表示を確認する カギマーク（クリックで拡大） 　ブラウザの右下にある「カギマーク」は、SSL/TLS (Secure Sockets Layer/Transport Layer Security) が使用されていることを証明するものです。 　SSL/TLSは、情報を暗号化して送信するため、万一途中でデータを盗まれても、解読することができません。個人情報を入力する際は、このマークが表示されているかどうかを確認してください。 URLが「https～」で始まっているか確認する 　「https」で始まっているページは、SSL(Secure Sockets Layer)が使用されています。SSLは前述の通り、情報を暗号化して送信します。個人情報を入力する際は、まず、URLがhttpsで始まっているかどうかを確認しましょう。 そのページの「ソース」を確認する 　個人情報を入力する際に、ブラウザのソースを見て、そのページが本物かどうかを確認する方法があります。 　Internet Explorerの場合、ツールバーの［表示］→［ソース］で、ブラウザのソースが表示できます。このソースの中から、フォームの送信先に指定されているURLを確認して、本物かどうかを判断することが可能です。

セキュリティソフトは、フィッシング対策にも効果を発揮します。例えば、上記の●●カードを装ったフィッシングの場合、次の4つの機能で被害から守ります。

	迷惑メールを未然にブロック 　セキュリティソフトの「迷惑メール防止機能」を利用して、上記のメールが届いた時点で迷惑メールと判断し、お知らせします。 リアルタイムでウイルスをブロック セキュリティソフトの「リアルタイム検索」を利用して、メールに書かれているURLをクリックしてニセサイトに接続した瞬間に、ウイルスを発見してお知らせします。 個人情報を送信する際にブロック 　セキュリティソフトの「個人情報保護機能」を利用して、登録した個人情報を送信しようとした瞬間に送信をブロックします。 個人情報保護ログで証拠を記録 　セキュリティソフトの「個人情報保護機能」では、登録した個人情報の送信記録が残るので、万一の時の証拠として利用できます。 　Internet Explorerの場合、ツールバーの［表示］→［ソース］で、ブラウザのソースが表示できます。このソースの中から、フォームの送信先に指定されているURLを確認して、本物かどうかを判断することが可能です。

セキュリティソフトは、ウイルス対策だけでなく、さまざまな機能を駆使して総合的にセキュリティ対策を行うソフトです。ぜひ有効に活用して、日々のセキュリティ対策に役立ててください。

※この記事は制作時の情報をもとに作成しています。

• 

  

  

  

  

• 

  
• ニュース フィッシング報告の最新状況、8月の5万3千件をピークに微減が続く｜フィッシング対策協議会
• ニュース 【注意喚起】通信事業者を装ったSMSに注意、10月ごろよりドコモを騙る不正が多発
• ニュース 【注意喚起】「Webメール」のアカウントを盗み出そうとする偽メールに注意を
• ニュース 1月に活動停止した“過去最悪のマルウェア”「EMOTET」が復活
• ニュース 11月の月例セキュリティ更新が公開、Excelの脆弱性がすでに悪用されているので注意を｜マイクロソフト
• ニュース フィッシング報告の件数、10月も約4万9千件で高止まり｜フィッシング対策協議会