フィッシング詐欺は、昨今流行の「オレオレ詐欺」と似たところが多くあります。電話会社がオレオレ詐欺を検知して通話遮断することができないように、フィッシング詐欺を自動的に遮断することは困難です。(フィルタリングリストを用いる方法がありますが、罠のサイトは転々と移動しており、完全に有効であるとはいえません)
なので、フィッシング詐欺に引っかからないためには、ユーザ一人一人が正しく行動するということが大原則となります。
以下、どのような点に注意したらよいかを見ていきましょう。
- メールを信用しない、リンクをクリックしない
本ガイドサイトで何度もお伝えしていますが、現在のメールシステムは信頼するに足るものとは言えません。送信者を偽ることは簡単にできるし、メールアドレスさえわかってしまえば、一人の悪意ある人間が何万通でも簡単にメールを送信できてしまいます。まず「メールは信用できないもの」であると頭に叩き込んでください。
信用できないものであるということは当然、そこに書かれているリンクを安易にクリックしてはいけないということです。
- 不審な点があるときは、“こちらから”本物のサイトにアクセスする
「こちらから発信して相手を確認する」のは、オレオレ詐欺の基本的な防止法です。これと同じ手段でフィッシング詐欺も防げます。
たとえばCitibankから「口座の更新期限が迫っています」というメールが来たならば、メールのリンクをクリックするのではなく、こちらでWebブラウザを開いてブックマークなどからCitibankのサイトにアクセスし、そのような事実があるかどうか確認してください。必要であればその「本物のサイト」で準備している問い合わせ窓口に問い合わせればよいでしょう。
- メールヘッダを確認する
「メールヘッダ」とは、すべてのメールの先頭に付加されている各種の情報です。普段メールソフトを使っているとあまり目にすることはありませんが、メールヘッダを読むと「送信者詐称」を見破ることができる可能性があります。(必ず、ではありません)
メールヘッダには送信者名(自称)を示す「From:」項目のほかに、経由したSMTPサーバが何であるかを示す「Received from:」という項目があります。これも詐称可能ではありますが「From:」ほど簡単ではないので、安易なスパム・ウィルスメール・フィッシングメールであれば送信者詐称を見破ることができます。
これほど送信者詐称が横行している現在、メールヘッダをチェックするやり方はぜひ知っておくべきかと思います。
まずは、メールヘッダの表示方法を抑えておきましょう。
Outlook Expressであれば、ヘッダを見たいメールを右クリックして【プロパティ】を選択し、【詳細】タブをクリックするとメールヘッダが表示されます。とりあえずこれを全部コピーしてしまってください。
その後、以下のサイトのフォームに貼り付けて「送信」すると、実に簡単にメールヘッダの解析ができます。便利!
ずらずらと情報が表示されますが、とりあえず一番下(一番最初のサーバと思われるもの)を確認して、「From:」に示されているドメイン名と同じかどうか比べてみればよいでしょう。
- アドレスバーで「本物のサイト」かどうかを確認する
もし罠のサイトに誘導されてしまった場合でも、ウィンドウ上部の「アドレスバー」を見れば罠のサイトかどうか確認できます。「http://allabout.co.jp/」にアクセスしたはずなのに、アドレスバーが「http://123.123.123.xxx/…」のような怪しいアドレスになっていたら、それは罠のサイトである可能性が大です。
ただし、アドレスバーをJavaScriptによって偽装するというより巧妙な手口も開発されています。
IT Pro: “phishing”の新たな手口が出現,「今まで見たことがない」――業界団体
このIT Proで紹介されている例の場合、偽のアドレスバーには「https://~」とSSL通信をしているかのようなURLが表示されますが、ウィンドウ最下部のステータスバーにはSSL通信をしていることを示す「鍵マーク」が表示されないため、それで区別することができるとあります。
いずれにせよ、このように手を込んだ手法を使うフィッシング詐欺が既に存在するということは覚えておいたほうがよいでしょう。
