2014年3月3日月曜日

フィッシング詐欺は個人情報を盗み出すインターネット詐欺、その対策とは?

よく話題になる、個人情報を盗み出す「フィッシング詐欺」知っていますか? 「フィッシング詐欺」とは、だまして偽りのホームページに誘い、個人情報を盗む詐欺行為です。

   フィッシング詐欺は、インターネット版の「振り込め詐欺」

と呼ばれています。


フィッシング詐欺の多くは、

  正規の銀行などからのメールを装い、
  メールに書かれたURLをクリックさせることにより、
  偽の金融機関やショッピングサイトなどにユーザを誘導し、
  クレジットカード番号やパスワードなどをだまし取ります。

年々その手口は巧妙化しています。


なお、フィッシング詐欺は"phishing"と書き、"fishing"と同じ発音ですが、魚釣り(fishing)ではありません。

ユーザーを「釣る(fishing)」と、その手法が「洗練されている(sophisticated)」の造語です。フィッシング詐欺は「甘い餌で人を釣る」ことですから、イメージ的には魚釣り(fishing)と合いますね。

代表的なフィッシング詐欺は、銀行を装ったメールから偽りのホームページにアクセスさせて、クレジットカード番号などを打ち込ませ、大事な個人情報を不正に入手します。

また、災害や事件の時には、これに便乗したフィッシング詐欺が横行します。例えば、スマトラ沖津波の時には、米国赤十字を語った詐欺ホームページが現れ、被害者への寄付を募り、寄付をしようとする人のクレジットカード番号などの個人情報を盗み出そうとしていたそうです。

以下の3点は、ウィルス対策全般に基本的なことですが、「フィッシング詐欺」対策でも大事なことですね。


 1.メールを完全に信用しない、あやしいメールは無視して即削除する

 2.少しでも怪しいリンクはクリックしない

 3.個人情報を安易に入力しない




■ フィッシング詐欺の手口


一般的に言われている、フィッシング詐欺の手口を紹介します。

(1) システム変更でだます「システム更新手法」
銀行のオンラインサービスのシステム更新を理由に情報の確認を求め、偽りのホームページへ誘導

(2) 不安で釣る「アカウント停止手法」
登録情報を再入力しなければサービス利用やアカウントの使用が出来なくなるなどと脅して、偽りのホームページへ誘導

(3) 謝礼金でだます「アンケート手法」

「リンクをクリックし、簡単な質問に答えれば,20ドルをあなたの口座に振り込みます」というような内容で、偽りのホームページへ誘導

(4) 当選金でだます「懸賞金手法」
「400ドルの懸賞金が当たった」というような内容で、偽りのホームページへ誘導

(5) 募金でだます「災害義援金手法」

被災者を救おうというメールで偽のチャリティー・ホームページへ誘導

(6) URL誤入力を悪用する「タイポスクワッティング」

URLの打ち間違いを(タイプミス)した訪問者を不正なホームページに誘導


≪フィッシング詐欺の具体例≫

このようなメールにダマされないように!!

『 ***銀行ご利用のお客様へ

***銀行のご利用ありがとうございます。このお知らせは、***銀行のご利用のお客様へ発送しております。
この度、***銀行のセキュリティーの向上に伴いまして、オンライン上でのご本人確認が必要となります。

この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします。

http://・・・・・・・・・・・・・・・・・(←これが偽りのURL) 』

-----------------------------------------



■ フィッシング詐欺対策は複数の対策で

フィッシング詐欺で最も大事な点は、個人情報入手や寄付を依頼しているメールには注意し、このようなメールに記載されたURLをクリックしないことです。
以下にフィッシング詐欺を避ける心がけを纏めてみました。

(1) 一番大事なこと!! 個人的な金融情報を要求するメールは無視する

通常企業は、顧客のパスワードや口座情報をメールで尋ねることはない。このようなメールは無視すること。


(2) アカウント名・パスワード等の個人情報を要求するメールは無視する

不正なサイトに誘導される可能性があり、決して、URLをクリックしない。


(3) 一方的に送られてきた寄付を要請するメールには答えない

もし寄付をする場合は、各種救済団体の正規のサイトに直接アクセスする。


(4) ホームページの安全性をチェックする(URLが"http"ではなく"https")
URLが「https://・・・・・」と"http"ではなく"https" であるかを確認することが必要です(暗号化通信のSSL通信の場合のURL)。

なお、SSLを悪用した、フィッシング詐欺もあるので、更に、オンラインバンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、例えば、アドレスバーが緑色になり、その横に鍵のマーク、さらに企業名と認証局名が交互に表示されます。


(5) カード会社からの請求内容を確認し不正な請求がないか確認する

クレジット・カードなどの明細に、よく分からない金額が書かれていないかチェックする(不正な請求がないか確認する)


(6) セキュリティ対策ソフトを使いフィッシング詐欺対策を実施する

フィッシング詐欺対策がある対策ソフトを利用下さい。最近のウイルス対策ソフトには基本的にフィッシング詐欺対策があります。次に、ウイルス対策ソフトのフィッシング詐欺対策が有効になっているか確認下さい。


(7) ブラウザでフィッシング詐欺対策を実施する

使っているブラウザにフィッシング詐欺対策があるか確認下さい(代表的なブラウザには基本的にフィッシング詐欺対策があります)。次に、ブラウザのフィッシング詐欺対策が有効になっているか確認下さい。



■ SSLとは


SSL(Secure Socket Layer)とは、インターネットのコンピュータ(サーバ)とパソコンなどの間で安全なデータ通信を行うための技術です。これを実現するために必要なのがSSL証明書(またはサーバ証明書)です。

多くの人がショッピングサイトの決済画面でクレジット番号の入力をしたり、アンケートや問合せページで個人情報を入力しますが、このような時に、本物のサイトであることの証明、通信データの保護をするためにSSL技術が用いられます。


SSL証明書発行時の審査によって、サイト運営者の実在性が確認されるので、フィッシング詐欺等のなりすまし対策になり、さらに、SSLでは通信内容が暗号化されますので、悪意ある第三者にその内容を盗み見られたり、改ざんされたりすることがありません。

なお、SSLが導入されているホームページは、URLが「http://」から「https://」になります。

SSLの技術を用いることで、以下の点で信頼性や安全性を向上することができます。

  ・サイトの実在性、正当性を証明(=なりすましの防止)
    ・SSL暗号化通信を実現(=プライバシーの保護)
    ・データの完全性を確保(=改ざんの検知)

しかし・・・SSLを使ったホームページ(URLが「https://」)は、安心して利用できると言われてきましたが、SSLサイト悪用のフィッシングもあります。

このための対策が、SSLの安全性を更に強固にした「EV SSL証明書」です。

インターネットは技術の進歩が激しく、便利さに加え危険さも進歩しています、「これまでは大丈夫だった」というのは、インターネットでは通用しないですね。



■ SSLの安全性を更に強固にした「EV SSL証明書」とは


フィッシング詐欺が巧妙化してきた為、従来のSSLサーバ証明書に比べて、さらに強固な企業認証の仕組みを持つSSLサーバ証明書「EV SSL(Extended Validation SSL)証明書」がスタートしました。


日本ベリサインをはじめとする認証局サービスを提供する企業、マイクロソフトなどのブラウザ提供企業が集まって設立した日本電子認証協議会が、日本向けの認証のガイドラインを定め、推進役となっています。

EV SSLサーバ証明書の発行されたウェブサイトは,利用者にも一目で分かる特長を持っていて、例えば、あるブラウザでは、アドレスバーが緑色になり、その横に鍵のマーク、さらに企業名と認証局名が交互に表示されます。

詳しくは以下を参照下さい。

 EV SSLとSSL、その違いと信頼基盤としての認証局の取り組み
   - ベリサインに聞く(2) | マイナビニュース
 http://news.mynavi.jp/articles/2008/08/13/verisign/



■ SNS、動画共有サイト、ブログのURLにも要注意!

なお、SNS、動画共有サイト、ブログにあるURLにも注意が必要です。

実は、SNSは比較的閉じたコミュニティであるため、危険なホームページに誘導する、フィッシング詐欺師のわなを信用しやすい、ということが言われています。

少し前の情報になりますが、セキュリティの教育・研究機関である米SANS Instituteは2007年5月16日、SNSのユーザーは、フィッシング詐欺のターゲットになりやすいとして注意を呼びかけました。

 参考情報:フィッシング詐欺はSNSユーザーを狙う――米SANSが警鐘 :ITpro
      http://itpro.nikkeibp.co.jp/article/NEWS/20070517/271393/

この情報によると、インタビューしたフィッシング詐欺師によると、「MySpace」や「Facebook」、「LinkedIn」といったSNSのユーザーを対象にフィッシングを繰り返して個人情報を詐取し、その情報を売りさばいていたそうです。