前回は、フィッシング詐欺の概要と偽造Webサイトと正規Webサイトは非常に見破りにくいというお話をしました。
今回は、フィッシング詐欺をどのように見破ることができるのかを説明します。

フィッシングの手口

クリック
電子メールはフィッシング詐欺の入り口。
■フィッシングの入り口は電子メールから…
フィッシングは、ユーザ自身に個人情報を漏洩させる巧妙な詐欺です。狙われる個人情報は、何らかのサービスを利用する為の「ID」「パスワード」「クレジットカード番号」など悪意のある人間にとって利用価値が高い情報です。裏を返せばユーザにとって非常にリスクの高い情報と言えます。
では、こういった情報をどのように収集するのでしょうか?
多くのフィッシャーは、前回お見せしたような本物そっくりの偽造Webサイトを作成します。ただWebサイトを偽造しても誰も来なければ、フィッシャーの求めている情報は手に入りません。Webサイトに人を集める為にはどうしたらよいでしょう?
次にフィッシャーは、これも本物そっくりな、それらしい内容の電子メールを送信します。もちろん、その電子メールの中には、偽造WebサイトのURLを記載しています。
例えばこんな内容です。
「いつも弊社のサービスをご利用いただきありがとうございます。弊社ではセキュリティ向上の為にシステムの見直しを行いました。その為オンライン上での本人確認が必要となります。この手続きを怠ると今後のサービスのご利用ができなくなります。以下のURLにアクセスしていただきお手続きをお願いします。http://www.#%&.co.jp/login/index.html」
いかがでしょう?ついこのURLをクリックしてしまいそうではありませんか。もちろん注意深いユーザの方は、電子メールの「送信者(送信元メールアドレス)」を確認されると思います。そしてその電子メールのアドレスが、「support@#%&.co.jp」となっていることを確認してクリックされるでしょう。また最近のHTMLメールの場合には、その企業のロゴマークや、セキュリティ認証のマークなど安心させる為の画像も使われていますから、つい…というのもありえます。
ここで注意していただきたい点は、
  • 送信者は簡単に偽装できる。
  • 企業のロゴマークも簡単に偽造できる。
  • セキュリティ関連のマークも簡単に偽造できる。
  • ユーザを引き付ける件名と本文になるよう工夫されている
…ことです。
特に件名や本文の内容は、緊急性が高くすぐに対応しないとサービスが受けられなくなるような脅し文句と併用されている場合が多いので注意が必要です。またウィルスが大流行した時などにも、それを悪用しセキュリティソフトウェアの更新を促すタイプのメールが送信されることがあります。

以上は、テキストメールに記載されたURLをクリックさせ偽造Webサイトへ誘導するタイプのフィッシング詐欺ですが、最近多くなってきたHTMLメールの場合は、メール自体に入力欄を持っているものがあります。この場合は、メール単体で個人情報を収集します。このようなHTMLメールの入力欄に入力させた個人情報は、メールや何らかのネットワーク技術を利用して、フィッシャーに送信されてしまいます。
基本的には、正規のサービス提供会社が、個人情報の入力欄を持つメールを送信することは考えられません。ですから、「入力欄を持ったHTMLメール」は、フィッシング詐欺目的のメールと考えてよいでしょう。

最近の技術を利用すれば、簡単に偽の電子メールが送れてしまうことをご理解いただけたでしょうか。繰り返しになりますが、電子メールに記載されたURLは気安くクリックしないことが重要です。「ID」や「パスワード」を入力させる為のURLや個人情報の確認を促すURLは、まず「フィッシング」を疑ってください。少しでもおかしいと感じた場合には、サービスに加入した際に案内された電子メールや電話番号に問い合わせる方が安全です。

次のページでは、偽造Webサイトについて説明します。