« Windows君のブログ with MS04-040 | Main | コンテンツを偽物にすりかえるフィッシング? »

2004.12.02

フィッシングって・・・と、その対策

 皆さん、こんにちは。丸山満彦です。やっと、今晩は魚です。フィッシングとは、有名なサイトにそっくりな偽サイトをつくり、そのサイトにユーザを誘導し、ユーザが利用しているID、パスワード、クレジットカード番号などを盗んでしまう詐欺の方法をいいます。海外では、既に問題となっていたのですが、最近日本でも、有名なサイトの偽サイトが登場し、フィッシングが話題となりました。

 英語では、Phisingと書きます。魚釣りのようにID、パスワードやクレジットカード番号を釣り上げてしまうので、魚釣りを表す英語のFishingをもじってPhisingとしたという話もあります。

フィッシングのステップとしては、

 ①誘導と
 ②搾取

という2つのステップがあります。

①誘導
 誘導の方法としては、電子メールで誘導する方法があります。例えば、「会員登録の方法を変更したため、新たにウェブページにアクセスして、会員登録をしてください。」といった電子メールをユーザに送信します。電子メールアドレスは、名簿を購入したり、盗んだりして入手します。そして、電子メールに記載されている、アドレスをクリックすると、本物そっくりの偽サイトに誘導されます。

②搾取
 その偽サイトでは、ユーザID、パスワード、クレジットカード番号と名前などを入力するようになっていて、思わず入力してしまい、まんまとユーザID、パスワード、クレジットカード番号、名前などが盗まれてしまうのです。

では、フィッシングにひっかからないようにするためには、何に気をつければよいのでしょうか?

 インターネットエクスプローラなどのブラウザーのアドレス欄が、いつも自分がユーザIDやパスワードを入力しているサイトと一致しているかを確認すれば大丈夫です。と、いいたいところなんですが、そのアドレス欄が偽造されてしまうから問題なのですね。上からポップアップでごまかしたり(しかし、ズラがずれてるという話です)・・・。で、対策ですが・・・・

①誘導の段階で見破る。
1. 電子メールにより個人情報の入力を要求された場合は、とりあえず疑う。
2. 送られてきた電子メールのアドレスを確認する。(でも、これも偽装されてる恐れがある)
3. 電子メールに記載されているアドレス(URL)ではなく、自分でその会社のサイトのホームのアドレス(URL)を入力してみる。(個人情報を入力させるような、重要な話であれば、きっとホームページに重要なお知らせとしてのっているはず。)
4. 本当におかしいとおもったら会社に電話をする(これは、確実。怪しいウェブページに記載されている電話番号に電話しないでね。)

 ここまででやれば、だいたい大丈夫と思うんですが、それでも心配な場合は、

②入力の段階で確認する。
1. 入力するウェブサイトが暗号化されていることを確認する。(これが、暗号化されていないようなウェブサイトであれば、そもそもその会社のセンスを疑うべき。)
2. ウェブサイトが暗号化されていると、アドレス欄がhttps:で始まるはず。(でも、フレームを使っていると必ずしもそうならない。また、アドレス欄を隠している場合もある。とりあえず、そういう場合は作業を中止するべきでしょう。)
3. ウェブサイトが暗号化されていると、インターネットエクスプローラなら鍵マークがついているので、そこをダブルクリックし、証明書を出す。「詳細」のタブを選び、「発行者」をクリックし、怪しくない発行者でないことを確認する。次に「有効期間の開始」と「有効期間の終了」を確認し、有効期間内であることを確認する。次に、いよいよここが重要なのですが、「サブジェクト」をクリックし、自分が思っている企業と、そこに記載されている企業が同じであることを確認する。

0001


③決済段階で確認する。
クレジットカードや銀行の支払い明細をチェックし、身に覚えがない決済や支払いがないことを確認する。あれば、すぐにクレジットカード会社や銀行に連絡しよう。

④被害が発生した段階では
詐欺にあったら、警察に連絡です。

 ホームページを作る皆様、こういうことですので、個人情報を収集しようとしているホームページでは、個人の方が安心して入力できるような設計をお願いしますね・・・SSLをしていないサイトなんてダメダメですよ。

そして、ユーザも賢くなりましょう。

====
(参考)
・VISA 日本語版のフィッシングメール事件についての調査中間報告
・Yahoo! JAPAN IDとパスワードを不正に盗み取る悪質なメールに関するご注意
・イーバンク フィッシング詐欺に関するご注意 ~不審な通知メール・電話にご注意ください~

・マイクロソフトの個人向けサイト フィッシング詐欺を防ぐ

・警察庁の注意喚起(2004年6月4日)
・経済産業省の注意喚起(2004年7月7日)

・独立行政法人 国民生活センター(2004年11月5日)

高木浩光さんのブログ

|

« Windows君のブログ with MS04-040 | Main | コンテンツを偽物にすりかえるフィッシング? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference フィッシングって・・・と、その対策:

« Windows君のブログ with MS04-040 | Main | コンテンツを偽物にすりかえるフィッシング? »