フィッシング詐欺に引っかからないために

メールに書かれたURLから金融機関サイトにアクセスしない
インターネット上で、フィッシング詐欺が横行しています。
フィッシング詐欺は、銀行やクレジットカード会社などを騙ったサイトを開設したり、電子メールを送信し、個人のカード番号や暗証番号などの個人情報を盗み出すものです。

フィッシング・メールの罠

フィッシング・メール
フィッシング詐欺の多くは、銀行やクレジットカード会社などを騙ったメールが届くところから始まります

たとえば左は、VISA を騙ったフィッシング・メールです。
差出人(From アドレス)は support@visa.co.jp となっていて、「VISA カード保有者のみなさまへ」という件名で始まります。そして、手続きのために示されている URL は https://www.visa.co.jp/verified/ です。HTML メールなので、この表示をクリックすると、サイトに接続します。
しかし、差出人はまったくのデタラメ。クリックして、実際にジャンプするのは http://62.231.95.161/verified/ なのです。
そして、このサイトにジャンプすると、氏名、カード番号、暗証番号などを入力するフォームがあらわれ、うっかり入力しようものなら、あなたのカード情報が詐欺師に渡ってしまうのです。

メールの差出人や表示URL を偽るのは、特殊なソフトなどは必要なく、簡単に誰にでもでき。そして、本物のサイトと似たようなデザインの画面を見せられると、何の疑いも抱かずにカード情報を入力してしまう人が少なくないようです。

電子メールで個人情報を確認することはない

基本的なことですが、銀行やカード会社が電子メールで個人情報を確認することはありません。普通は書留郵便などの手段をとります。この点を再認識しておきましょう。

シマンテックの「インターネットセキュリティ脅威レポート」によると、全世界におけるフィッシングメールは 2004 年(平成 16 年)7 月から 12 月末までの下半期で1日平均 100 万通から 450 万通、ピーク時では週900 万通に上るといいます。
これは、処理されるメッセージ全体の比率としては 0.1 パーセントから 0.6 パーセントにあたり、ピーク時の週900 万通で換算するとメール全体の 0.4 パーセント、250通のうち1通はフィッシングメールになるという状況です。

サーバ証明書を確認する

インターネット・ユーザーなら、会員限定サイトでのログイン、会員登録、登録内容変更などで個人情報を入力しなければならないことが多いでしょう。このとき、その画面に暗号化通信がかかっていることを確認してください。
暗号化通信がかかっていないようなサイトは、詐欺サイトか、個人情報の扱いに無頓着なサイトです。個人情報を守りたいならば、利用しないようにしましょう。
楽天のサーバ証明書
左図は「楽天」の会員画面です。暗号化通信中なら、ブラウザの右下に鍵マークが表示されます。
ブラウザの URL(アドレス)の部分が https:// ではじまっている場合は暗号化通信していることを示すのですが、Internet Explorer ではこの表示を偽ることができます。かならず鍵マークが表示されていることを確認してください。
楽天のサーバ証明書
左は、鍵マークを拡大したものです。
この画面は Internet Explorer 6.0 のものですが、FireFox, Netscape, Safari などでも同様の鍵マークが表示されます。
電子証明書
鍵マークの部分をダブルクリックすると、左のように、暗号化に使っている電子証明書の詳細情報が表示されます。
ここで、電子証明書の発行者が「不明」となっているものは注意が必要です。

サーバ証明書の発行手続と限界

サーバ証明書の発行手続と限界
電子証明書は、ベリサインセコムトラストネットなどの信用ある発行機関が発行します。
証明書発行機関は、サイト運営者が実在することの確認を行った上で、そのサイトに対して固有の電子証明書を発行します。したがって、発行者が「不明」となっているものは、独自に電子証明書を作成し、発行機関の認証を受けていないと考えられます。

ただし、発行機関は、そのサイトの運営者が実在することを保証するだけで、そのサイトの業務内容まで保証するものではありません。公序良俗に反するような業務を行っていても、一定の条件を満たせば、電子証明書は発行されてしまいます。
そのサイトのサービスを使うかどうかは、あくまで利用者責任なのです。

サーバ証明書を有するフィッシング・サイト

2006 年(平成 18 年)2 月 13 日、米SANS Institute米Websenseは、電子証明書を持つ偽サイトが確認されたとして注意を呼びかけています。
確認された偽サイトは,「Mountain America Federal Credit Union」を騙るものです。
実際のサイトの URL は「https://www.mtnamerica.org」ですが、偽サイトの URL は「https://www.mountain-america.net」でした。しかも偽サイトは、「www.mountain-america.net」であることを証明するための正規の電子証明書を取得していました。
Websense では,「ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけています。

また、ID やパスワードを入力する画面は https で守られているものの、それを解析する画面またはプログラムに暗号化がかかっていないサイトもあります。「頭隠して尻隠さず」の状態ですね。
このように暗号化が中途半端なものでないかどうかは、HTML のソースを表示させて、FORM タグの ACTION 先が https:// で始まっていることを確認するしか手段がありません。

2009 年(平成 21 年)7 月、米Symantec は、サーバ証明書をもつ正規サイトが乗っ取られ、フィッシングサイトが正規の電子証明書を使って正規サイトを騙るという手口が見つかったと伝えています。⇒Phishing Toolkit Attacks are Abusing SSL Certificates
攻撃側は、正規の電子証明書を取得した Web サーバを 1 つ乗っ取れば、そのサーバを使って多数のフィッシング・サイトを運営することが可能にななります。
Symantec によれば、フィッシングサイトかどうかを見分けるためには SSL証明書をチェックするか、認証機能を強化した EV SSL をあてにするしかないといいます。

twitterユーザーを狙うフィッシング詐欺

twitter
2010 年(平成 22 年)4 月下旬から、twitter ユーザーを狙ったフィッシング詐欺メールが出回っています。
現在、twitter は利用者急増などの影響で一時的に利用できなくなったり、ツイートやダイレクトメッセージが遅延する現象が起きています。これを逆手にとって、「3通の遅延メッセージがあります」などというメールを送ってくるのです(実際には遅延していないかもしれません)。
そして twitter のサイトに見せかけたリンク先をクリックすると、たちまち悪質サイトに接続してしまうというものです。

不正 SSL 証明書発行事件

2011 年(平成 23 年)8 月、オランダの大手 SSL認証局 DigiNotar から不正な SSL証明書(サーバ証明書)が発行され、これを使って Google サービスとユーザーとの通信に割り込もうとする攻撃が発生しています。

SSL証明書が不正に発行された場合、それを使った詐欺サイトでは、前述したようなブラウザの警告メッセージが表示されず、ユーザーが本物の Web サイトと信じて入力した情報を盗まれたり、マルウェアに感染させられたりする恐れがあります。

Google, Microsoft, Mozilla など主要なブラウザメーカーは対策を立てていますが、9 月現在、犯行グループは世界各地の SSL認証局に対する攻撃を行っているようです。

この事件は SSL証明書の根幹を揺るがす問題なので、続報が入り次第お伝えしていきたいと思います。

フィッシング詐欺に引っかからないために

フィッシング詐欺をはじめとするネット詐欺の手法はどんどん進化しています。
「自分は大丈夫だ」と過信してはいけません。ネットで個人情報を入力するときは、常に細心の注意を払ってください。とくにパスワードやクレジットカード番号を入力する際には、もう一度サイトやメールの全体を読み直してください。
一度個人情報が漏れてしまったら、取り返しのつかないことになります。

フィッシング詐欺対策3か条

  1. メールの送信者名や内容を鵜呑みにしない。
  2. アドレスバーに表示される URL を確認する。
  3. 個人情報を安易に入力しない。
『日経パソコン』2011 年(平成 23 年)5 月 23 日号より

参考サイト

(この項おわり)
header