"フィッシング詐欺"という言葉が登場して以来、今にいたるまで、被害は上昇に一途をたどっています。インターネットだけではなく、各所で注意が呼びかけられているにもかかわらず、被害は減少していません。
そもそも、フィッシング詐欺とは何なのでしょうか?
どういう手口なのか、どうすれば防げるんでしょう?
また、もし詐欺にあったら、どうすればいいのでしょう?
知っているようで、いざという時にうっかり忘れてしまいがちな"フィッシング詐欺"の対策を見直してみましょう。
最近では、その他にもオンラインショップ、ネットオークション、オンラインゲームなども詐称の対象になります。
語源については、"sophisticated(洗練された)"と"fishing(釣り)"の合成語とする説や、単に"fishing"のLeet的な言い換え(同音を別表記にしたユーモアの一種)とする説、"password harvesting fishing"の略とする説があります。
偽サイトに接続させられたユーザーは、本物と間違えて個人情報を入力してしまうことで、個人情報を盗まれてしまいます。被害は盗まれた個人情報からの被害のほか、なりすましなどに利用されることもあり、加害者となるケースもあるようです。
●偽メールを見破る
基本的には、偽のメールで偽のサイトへ誘導するので、偽メールやサイトを見破ることができれば被害を防ぐこともできます。
・企業の窓口に確認する
銀行やクレジットカード会社などの金融機関では、メールでユーザー個人情報の問い合わせは行いません。万が一、このようなメールが送られてきたら、企業の問い合わせ窓口に電話をかけて事実を確認しましょう。
・メールのヘッダ情報を確認する
メールの「From:」欄は、メールソフトの設定で詐称することができます。しかし、「Received:」欄は、メールサーバから送信されたものが記録されていますので、一番下にある送信元のドメイン名やIPアドレスが正しいものかを確認しましょう。
●偽サイトを見破る
フィッシング詐欺では、メールで記載されたURLと、クリックして表示されたサイトのURLが異なりますので、URLの違いを巧みにごまかす手法がとられます。
・メール内のリンクをクリックしない
メール内に記載されているURLのリンクをクリックしないで、WebブラウザのブックマークやURLを直接入力します。
※この方法の注意点:"Hostsファイル"を改ざんされるファーミングの場合は、正しいURLを入力しても偽サイトに誘導されてしまいます。
・URLをチェック
個人情報を入力するようなサイトでは、SSLを利用しているはずなので、URLが「https://」から始まっているかを確認しましょう。また、Webブラウザの右下には、鍵のマークが出ているはずなので、クリックして電子証明書を表示しましょう。鍵マークが見当たらない場合は、右クリックのプロパティで電子証明書を確認できます。
※フィッシング詐欺でない場合でも、個人情報を入力する画面でSSL対応がない場合は注意してください。
・Webブラウザの対策機能を使う
最新のWebブラウザでは、フィッシング対策機能があるものが増えています。それを有効にすることで、未然にアラーとやアクセス制限をかけることができます。
※Internet Explorer 7.0以降、Mozilla Firefox 2.0以降、Opera 9.10以降
そこで、最近登場してきたのが「ファーミング(Pharming)」です。農業(Farming)からとった造語で、種をまいておいて、一気に収穫するといった意味で名付けられています。
●ファーミングの手法
・DNSを書き換える
プロバイダなどが管理するDNSを買い換えてしまいます。
・ウイルスやスパイウェアでPCを書き換える
ウイルスやスパイウェアなどで、ユーザーが使用しているPCの"Hosts"情報を書き換えます
ファーミングされると、ユーザーが正しいURLを入力しても、偽サイトに誘導されてしまいます。しかも、Webブラウザ上では正しいURLが表示されるので、発覚しにくいという厄介なものです。
詐欺にあった場合は、まずは、各都道府県にある警察の"サイバー犯罪相談窓口(フィッシング110番"に相談することです。銀行やクレジットカード外車などの窓口にも連絡することで、被害の拡大を防ぐことができます。また、国民生活センター、消費生活センターなどでも相談を受け付けています。
また、フィッシング詐欺やフィッシング詐欺サイト情報は、フィッシング対策協議会などで確認できます。
■これもオススメ!セキュリティ関連ニュース
・クラッキングを知らずして防御はできない!攻撃ツールの種類と特徴を解析
・詐欺に遭いやすいオンラインショップの共通点とは?
・圧力とセキュリティ開示!安全性と特許・著作権の狭間に見えるもの
・Winny四文字熟語!情報漏えい当事者になってしまう人とは
・最前線の防衛ライン!真のセキュリティ脅威はどこにある?
■フィッシング対策協議会
Copyright 2007 livedoor. All rights reserved.
そもそも、フィッシング詐欺とは何なのでしょうか?
どういう手口なのか、どうすれば防げるんでしょう?
また、もし詐欺にあったら、どうすればいいのでしょう?
知っているようで、いざという時にうっかり忘れてしまいがちな"フィッシング詐欺"の対策を見直してみましょう。
■フィッシング詐欺とは?
オンラインバンクやクレジットカード会社の名前を語り、ユーザーからIDやパスワード、銀行口座番号、暗証番号、クレジットカード番号などの個人情報を盗み取る犯罪が"フィッシング詐欺"です。最近では、その他にもオンラインショップ、ネットオークション、オンラインゲームなども詐称の対象になります。
語源については、"sophisticated(洗練された)"と"fishing(釣り)"の合成語とする説や、単に"fishing"のLeet的な言い換え(同音を別表記にしたユーモアの一種)とする説、"password harvesting fishing"の略とする説があります。
■フィッシング詐欺の手法とは?
送信者を詐称したメールを不特定多数のユーザーに送り、偽サイトに誘導します。また、事前に入手した個人情報を元に、本人を狙う"パーソナライズドフィッシング"手法も増えてきています。最近では、ユーザーPCの"Hostsファイル"を書き換えて、正しいURLを入力しても偽サイトに誘導するファーミング手法も現れています。偽サイトに接続させられたユーザーは、本物と間違えて個人情報を入力してしまうことで、個人情報を盗まれてしまいます。被害は盗まれた個人情報からの被害のほか、なりすましなどに利用されることもあり、加害者となるケースもあるようです。
■予防策はどうすれば?
さて、このフィッシング詐欺の予防はどうすればよいのでしょう?●偽メールを見破る
基本的には、偽のメールで偽のサイトへ誘導するので、偽メールやサイトを見破ることができれば被害を防ぐこともできます。
・企業の窓口に確認する
銀行やクレジットカード会社などの金融機関では、メールでユーザー個人情報の問い合わせは行いません。万が一、このようなメールが送られてきたら、企業の問い合わせ窓口に電話をかけて事実を確認しましょう。
・メールのヘッダ情報を確認する
メールの「From:」欄は、メールソフトの設定で詐称することができます。しかし、「Received:」欄は、メールサーバから送信されたものが記録されていますので、一番下にある送信元のドメイン名やIPアドレスが正しいものかを確認しましょう。
●偽サイトを見破る
フィッシング詐欺では、メールで記載されたURLと、クリックして表示されたサイトのURLが異なりますので、URLの違いを巧みにごまかす手法がとられます。
・メール内のリンクをクリックしない
メール内に記載されているURLのリンクをクリックしないで、WebブラウザのブックマークやURLを直接入力します。
※この方法の注意点:"Hostsファイル"を改ざんされるファーミングの場合は、正しいURLを入力しても偽サイトに誘導されてしまいます。
・URLをチェック
個人情報を入力するようなサイトでは、SSLを利用しているはずなので、URLが「https://」から始まっているかを確認しましょう。また、Webブラウザの右下には、鍵のマークが出ているはずなので、クリックして電子証明書を表示しましょう。鍵マークが見当たらない場合は、右クリックのプロパティで電子証明書を確認できます。
※フィッシング詐欺でない場合でも、個人情報を入力する画面でSSL対応がない場合は注意してください。
・Webブラウザの対策機能を使う
最新のWebブラウザでは、フィッシング対策機能があるものが増えています。それを有効にすることで、未然にアラーとやアクセス制限をかけることができます。
※Internet Explorer 7.0以降、Mozilla Firefox 2.0以降、Opera 9.10以降
■怖いファーミングって何だ?
フィッシング詐欺の手口は、年々巧妙になってきています。これは、対策情報が周知され、被害を回避する人が増えれば増えるほど、新しい手法が現れるためです。そこで、最近登場してきたのが「ファーミング(Pharming)」です。農業(Farming)からとった造語で、種をまいておいて、一気に収穫するといった意味で名付けられています。
●ファーミングの手法
・DNSを書き換える
プロバイダなどが管理するDNSを買い換えてしまいます。
・ウイルスやスパイウェアでPCを書き換える
ウイルスやスパイウェアなどで、ユーザーが使用しているPCの"Hosts"情報を書き換えます
ファーミングされると、ユーザーが正しいURLを入力しても、偽サイトに誘導されてしまいます。しかも、Webブラウザ上では正しいURLが表示されるので、発覚しにくいという厄介なものです。
■フィッシング詐欺にあったらどうする?
フィッシング詐欺のメールを受け取ったら、どうしましょう。詐欺にあった場合は、まずは、各都道府県にある警察の"サイバー犯罪相談窓口(フィッシング110番"に相談することです。銀行やクレジットカード外車などの窓口にも連絡することで、被害の拡大を防ぐことができます。また、国民生活センター、消費生活センターなどでも相談を受け付けています。
また、フィッシング詐欺やフィッシング詐欺サイト情報は、フィッシング対策協議会などで確認できます。
■これもオススメ!セキュリティ関連ニュース
・クラッキングを知らずして防御はできない!攻撃ツールの種類と特徴を解析
・詐欺に遭いやすいオンラインショップの共通点とは?
・圧力とセキュリティ開示!安全性と特許・著作権の狭間に見えるもの
・Winny四文字熟語!情報漏えい当事者になってしまう人とは
・最前線の防衛ライン!真のセキュリティ脅威はどこにある?
■フィッシング対策協議会
Copyright 2007 livedoor. All rights reserved.
ITライフハック代表
