目次
えきねっとを騙るフィッシング・メール
フィッシング対策協議会の報告によると。2022年(令和4年)のフィッシング詐欺の報告件数は100万件近くと急増しました。電子メールが中心ですが、メール本文やフィッシング・サイトが本物そっくりになってきており、公式サイトも注意を呼びかけています。
たとえば上の画像は、えきねっとを騙ったフィッシング・メールです。システムを更新したので再ログインを促す内容で、うっかりすると引っかかってしまいそうです。しかも厄介なことに、えきねっとは公式に、2年間ログインがなかった人向けに、「自動退会完了後にお知らせするメール」を配信しています。
このフィッシング・メールは、送信元ドメイン名がえきねっとではありませんし、リンク先のURLに "eki-net" を含みますが、海外の全く異なるドメインのものです。
この他、NHKを騙るフィッシング・メールもありました。受信料の支払いが確認できないなど、全国民に関係する無いようであるだけに、騙されやすいと言えるでしょう。
クレジットカード会社や通販サイトを騙るフィッシング・メールも増えていますが、ご自身が保有していないカードや、利用したことがない通販サイトであれば、すぐに偽物だと気づくでしょう。
このフィッシング・メールは、送信元ドメイン名がえきねっとではありませんし、リンク先のURLに "eki-net" を含みますが、海外の全く異なるドメインのものです。
この他、NHKを騙るフィッシング・メールもありました。受信料の支払いが確認できないなど、全国民に関係する無いようであるだけに、騙されやすいと言えるでしょう。
クレジットカード会社や通販サイトを騙るフィッシング・メールも増えていますが、ご自身が保有していないカードや、利用したことがない通販サイトであれば、すぐに偽物だと気づくでしょう。
フィッシング・メールの罠
フィッシング詐欺の多くは、銀行やクレジットカード会社などを騙ったメールが届くところから始まります
たとえば左は、VISAを騙ったフィッシング・メールです。
たとえば左は、VISAを騙ったフィッシング・メールです。
差出人(Fromアドレス)は support@visa.co.jp となっていて、「VISA カード保有者のみなさまへ」という件名で始まります。そして、手続きのために示されているURLは https://www.visa.co.jp/verified/ です。HTMLメールなので、この表示をクリックすると、サイトに接続します。
しかし、差出人はまったくのデタラメ。クリックして、実際にジャンプするのは https://62.231.95.161/verified/ なのです。
そして、このサイトにジャンプすると、氏名、カード番号、暗証番号などを入力するフォームがあらわれ、うっかり入力しようものなら、あなたのカード情報が詐欺師に渡ってしまうのです。
メールの差出人や表示URLを偽るのは、特殊なソフトなどは必要なく、簡単に誰にでもでき。そして、本物のサイトと似たようなデザインの画面を見せられると、何の疑いも抱かずにカード情報を入力してしまう人が少なくないようです。
しかし、差出人はまったくのデタラメ。クリックして、実際にジャンプするのは https://62.231.95.161/verified/ なのです。
そして、このサイトにジャンプすると、氏名、カード番号、暗証番号などを入力するフォームがあらわれ、うっかり入力しようものなら、あなたのカード情報が詐欺師に渡ってしまうのです。
メールの差出人や表示URLを偽るのは、特殊なソフトなどは必要なく、簡単に誰にでもでき。そして、本物のサイトと似たようなデザインの画面を見せられると、何の疑いも抱かずにカード情報を入力してしまう人が少なくないようです。
電子メールで個人情報を確認することはない
基本的なことですが、銀行やカード会社が電子メールで個人情報を確認することはありません。普通は書留郵便などの手段をとります。この点を再認識しておきましょう。
シマンテックの「インターネットセキュリティ脅威レポート」によると、全世界におけるフィッシングメールは2004年(平成16年)7月から12月末までの下半期で1日平均100万通から450万通、ピーク時では週900万通に上るといいます。
これは、処理されるメッセージ全体の比率としては0.1パーセントから0.6パーセントにあたり、ピーク時の週900万通で換算するとメール全体の0.4パーセント、250通のうち1通はフィッシングメールになるという状況です。
シマンテックの「インターネットセキュリティ脅威レポート」によると、全世界におけるフィッシングメールは2004年(平成16年)7月から12月末までの下半期で1日平均100万通から450万通、ピーク時では週900万通に上るといいます。
これは、処理されるメッセージ全体の比率としては0.1パーセントから0.6パーセントにあたり、ピーク時の週900万通で換算するとメール全体の0.4パーセント、250通のうち1通はフィッシングメールになるという状況です。
サーバ証明書を確認する
インターネット・ユーザーなら、会員限定サイトでのログイン、会員登録、登録内容変更などで個人情報を入力しなければならないことが多いでしょう。このとき、その画面に暗号化通信がかかっていることを確認してください。
暗号化通信がかかっていないようなサイトは、詐欺サイトか、個人情報の扱いに無頓着なサイトです。個人情報を守りたいならば、利用しないようにしましょう。
暗号化通信がかかっていないようなサイトは、詐欺サイトか、個人情報の扱いに無頓着なサイトです。個人情報を守りたいならば、利用しないようにしましょう。
左図は「楽天」の会員画面です。暗号化通信中なら、ブラウザの右下に鍵マークが表示されます。
ブラウザのURL(アドレス)の部分が https:// ではじまっている場合は暗号化通信していることを示すのですが、Internet Explorerではこの表示を偽ることができます。かならず鍵マークが表示されていることを確認してください。
ブラウザのURL(アドレス)の部分が https:// ではじまっている場合は暗号化通信していることを示すのですが、Internet Explorerではこの表示を偽ることができます。かならず鍵マークが表示されていることを確認してください。
左は、鍵マークを拡大したものです。
この画面はInternet Explorer 6.0のものですが、FireFox, Netscape, Safariなどでも同様の鍵マークが表示されます。
この画面はInternet Explorer 6.0のものですが、FireFox, Netscape, Safariなどでも同様の鍵マークが表示されます。
鍵マークの部分をダブルクリックすると、左のように、暗号化に使っている電子証明書の詳細情報が表示されます。
ここで、電子証明書の発行者が「不明」となっているものは注意が必要です。
ここで、電子証明書の発行者が「不明」となっているものは注意が必要です。
サーバ証明書の発行手続と限界
電子証明書は、ベリサイン、セコムトラストネットなどの信用ある発行機関が発行します。
証明書発行機関は、サイト運営者が実在することの確認を行った上で、そのサイトに対して固有の電子証明書を発行します。したがって、発行者が「不明」となっているものは、独自に電子証明書を作成し、発行機関の認証を受けていないと考えられます。
証明書発行機関は、サイト運営者が実在することの確認を行った上で、そのサイトに対して固有の電子証明書を発行します。したがって、発行者が「不明」となっているものは、独自に電子証明書を作成し、発行機関の認証を受けていないと考えられます。
ただし、発行機関は、そのサイトの運営者が実在することを保証するだけで、そのサイトの業務内容まで保証するものではありません。公序良俗に反するような業務を行っていても、一定の条件を満たせば、電子証明書は発行されてしまいます。
そのサイトのサービスを使うかどうかは、あくまで利用者責任なのです。
そのサイトのサービスを使うかどうかは、あくまで利用者責任なのです。
サーバ証明書を有するフィッシング・サイト
2006年(平成18年)2月13日、米SANS Instituteや米Websenseは、電子証明書を持つ偽サイトが確認されたとして注意を呼びかけています。
確認された偽サイトは,「Mountain America Federal Credit Union」を騙るものです。
実際のサイトのURLは「https://www.mtnamerica.org」ですが、偽サイトのURLは「https://www.mountain-america.net」でした。しかも偽サイトは、「www.mountain-america.net」であることを証明するための正規の電子証明書を取得していました。
Websenseでは,「ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけています。
また、IDやパスワードを入力する画面はhttpsで守られているものの、それを解析する画面またはプログラムに暗号化がかかっていないサイトもあります。「頭隠して尻隠さず」の状態ですね。
このように暗号化が中途半端なものでないかどうかは、HTMLのソースを表示させて、FORMタグのACTION先が https:// で始まっていることを確認するしか手段がありません。
2009年(平成21年)7月、米Symantecは、サーバ証明書をもつ正規サイトが乗っ取られ、フィッシングサイトが正規の電子証明書を使って正規サイトを騙るという手口が見つかったと伝えています。⇒Phishing Toolkit Attacks are Abusing SSL Certificates
攻撃側は、正規の電子証明書を取得したWebサーバを1つ乗っ取れば、そのサーバを使って多数のフィッシング・サイトを運営することが可能にななります。
Symantecによれば、フィッシングサイトかどうかを見分けるためにはSSL証明書をチェックするか、認証機能を強化した EV SSL をあてにするしかないといいます。
確認された偽サイトは,「Mountain America Federal Credit Union」を騙るものです。
実際のサイトのURLは「https://www.mtnamerica.org」ですが、偽サイトのURLは「https://www.mountain-america.net」でした。しかも偽サイトは、「www.mountain-america.net」であることを証明するための正規の電子証明書を取得していました。
Websenseでは,「ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけています。
また、IDやパスワードを入力する画面はhttpsで守られているものの、それを解析する画面またはプログラムに暗号化がかかっていないサイトもあります。「頭隠して尻隠さず」の状態ですね。
このように暗号化が中途半端なものでないかどうかは、HTMLのソースを表示させて、FORMタグのACTION先が https:// で始まっていることを確認するしか手段がありません。
2009年(平成21年)7月、米Symantecは、サーバ証明書をもつ正規サイトが乗っ取られ、フィッシングサイトが正規の電子証明書を使って正規サイトを騙るという手口が見つかったと伝えています。⇒Phishing Toolkit Attacks are Abusing SSL Certificates
攻撃側は、正規の電子証明書を取得したWebサーバを1つ乗っ取れば、そのサーバを使って多数のフィッシング・サイトを運営することが可能にななります。
Symantecによれば、フィッシングサイトかどうかを見分けるためにはSSL証明書をチェックするか、認証機能を強化した EV SSL をあてにするしかないといいます。
twitterユーザーを狙うフィッシング詐欺
2010年(平成22年)4月下旬から、Twitterユーザーを狙ったフィッシング詐欺メールが出回っています。
現在、Twitterは利用者急増などの影響で一時的に利用できなくなったり、ツイートやダイレクトメッセージが遅延する現象が起きています。これを逆手にとって、「3通の遅延メッセージがあります」などというメールを送ってくるのです(実際には遅延していないかもしれません)。
そしてTwitterのサイトに見せかけたリンク先をクリックすると、たちまち悪質サイトに接続してしまうというものです。
そしてTwitterのサイトに見せかけたリンク先をクリックすると、たちまち悪質サイトに接続してしまうというものです。
不正 SSL 証明書発行事件
2011年(平成23年)8月、オランダの大手SSL認証局DigiNotarから不正なSSL証明書(サーバ証明書)が発行され、これを使ってGoogleサービスとユーザーとの通信に割り込もうとする攻撃が発生しています。
SSL証明書が不正に発行された場合、それを使った詐欺サイトでは、前述したようなブラウザの警告メッセージが表示されず、ユーザーが本物のWebサイトと信じて入力した情報を盗まれたり、マルウェアに感染させられたりする恐れがあります。
Google, Microsoft, Mozillaなど主要なブラウザメーカーは対策を立てていますが、9月現在、犯行グループは世界各地のSSL認証局に対する攻撃を行っているようです。
この事件はSSL証明書の根幹を揺るがす問題なので、続報が入り次第お伝えしていきたいと思います。
SSL証明書が不正に発行された場合、それを使った詐欺サイトでは、前述したようなブラウザの警告メッセージが表示されず、ユーザーが本物のWebサイトと信じて入力した情報を盗まれたり、マルウェアに感染させられたりする恐れがあります。
Google, Microsoft, Mozillaなど主要なブラウザメーカーは対策を立てていますが、9月現在、犯行グループは世界各地のSSL認証局に対する攻撃を行っているようです。
この事件はSSL証明書の根幹を揺るがす問題なので、続報が入り次第お伝えしていきたいと思います。
フィッシング詐欺に引っかからないために
フィッシング詐欺をはじめとするネット詐欺の手法はどんどん進化しています。
「自分は大丈夫だ」と過信してはいけません。ネットで個人情報を入力するときは、常に細心の注意を払ってください。とくにパスワードやクレジットカード番号を入力する際には、もう一度サイトやメールの全体を読み直してください。
一度個人情報が漏れてしまったら、取り返しのつかないことになります。
「自分は大丈夫だ」と過信してはいけません。ネットで個人情報を入力するときは、常に細心の注意を払ってください。とくにパスワードやクレジットカード番号を入力する際には、もう一度サイトやメールの全体を読み直してください。
一度個人情報が漏れてしまったら、取り返しのつかないことになります。
フィッシング詐欺対策3か条
- メールの送信者名や内容を鵜呑みにしない。
- アドレスバーに表示されるURLを確認する。
- 個人情報を安易に入力しない。
『日経パソコン』2011年(平成23年)5月23日号より
フィッシング詐欺メールにだまされないための12のテクニック
2020年(令和2年)12月9日、セキュリティ企業の米Tripwireは、フィッシング詐欺メールにだまされないためのテクニックとして、下記の12項目を挙げています。
- 巧妙なフィッシングメールのスキームを知り注意する。フィッシング詐欺にはスピアフィッシング、ビッシング、スミッシング、ホエーリング、BECなどさまざまな種類が存在している。
- 不審なメールであると判断する材料を知る。タイプミス、おかしなURL、会社と一致しない送信者のメールアドレス、リンククリックへの誘導、フッタに掲載されている会社と異なるデータ、文法エラー、ヘッダの大文字と小文字混在、不十分なレイアウト、個人情報の要求など。
- 添付ファイルが正当であることが確実でないかぎり、添付ファイルは開かない。
- 身に覚えのないユーザーからのメールのリンクはクリックしない。
- 強いパスワードを使用する。
- ペットの名前、学校の名前、誕生日、家族の名前など、個人情報を共有しすぎない。サイバー攻撃者はこうしたデータからパスワードを推測する。
- 電子メールの正当性が確認できない場合は電話で会社に連絡して正当性を確認する。
- ウイルス対策ソフトウェアを活用する。
- 暗号化ソフトウェアを活用する。
- メールアーカイブソリューションを活用する。
- 重要なデータはバックアップする。
- 大規模な組織ではセキュリティオペレーションセンターを運用する。
参考サイト
- フィッシング対策協議会
- 強化されたSSL:ぱふぅ家のホームページ
- 「えきねっと」をかたるフィッシングメールが増加! 件名「【重要】えきねっとアカウントの自動退会処理について」などに注意:INTERNET Watch,2022年3月4日
- 「これ詐欺だったの?」──「えきねっと」をかたるメール、手口の巧妙さが話題に “自動退会処理”に注意:ITmedia NEWS,2022年3月7日
- 12 Essential Tips for Keeping Your Email Safe:Tripwire,2020年12月9日
- 認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生:ITmedia,2011年8月31日
- フィッシング詐欺情報
- 「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告:ITPro
(この項おわり)
フィッシング詐欺は、銀行やクレジットカード会社などを騙ったサイトを開設したり、電子メールを送信し、個人のカード番号や暗証番号などの個人情報を盗み出すものです。