この記事では、私が実践しているフィッシング詐欺対策を紹介したい。
フィッシング詐欺とは、実在の金融機関の名前を勝手に名乗るなどして偽メールを送り付けて利用者を信用させ、個人情報・機密情報を盗み取る手口だ。
メールの文面には、
「パスワードが長期間変更されていません。
安全の為に新しいパスワードを設定して下さい。パスワードの変更はこのアドレスから」
などと書かれている。
でもこれが詐欺犯罪者の手口なのだ。
それに気づかずにメール文中のアドレスをクリックすると、その金融機関を装った偽のウエブサイトに誘導される。
でも見た目は本物の金融機関のウエブサイトそっくりに作ってあるので利用者は気づかない。
それで利用者がユーザーIDやパスワードを入力した時点で、それらが盗まれてしまう。
これがフィッシング詐欺の典型的な手口だ。
フィッシング(phishing)であり、fishing(魚釣り)ではない
ちなみに、日本語では人をだます事を「釣る」と表現する事もあるので、
フィッシング詐欺=fishing(魚釣り)
と思っている人が殆どだろう。
実は私も最近までそう思っていた。
確かにネット情報を見る限り、フィッシング(phishing)とは魚釣りのfishingが語源と言う説もある。
しかしそれよりも有力な説としては、fishingとphreakingを組み合わせた造語との説が有力だ。
フリーキング(phreaking)とは、1960年代のアメリカでAT&Tなどの長距離電話を無料で掛ける手法をハッカーが見付けたのだが、そのような行為をフリーキングと言う。
ハッカーの元祖と言われているジョン・T・ドレーパー氏が1972年に電話の交換機に特定の周波数の信号を送ると交換機を自由に制御出来ることを発見したのだ。それを応用して無料で長距離電話をかけまくる。ちなみにその周波数が2600Hzの信号だったそうで、今でも2600と言う数字はハッカーを象徴する数字となっている。
さて、余談はさて置きいずれにしても怪しいメールには注意したい。
しかし、本物の金融機関の名前でメールが来たら信用する人は多いと思う。
フィッシング詐欺に遭わないようにするにはどうするべきか?
パソコン利用者なら誰でも加入しているインターネットプロバイダーや利用している金融機関からのメールを受信する事がある。
パソコン歴の長い私の場合でも、それが本物のメールなのか偽物のメールなのか区別する事は難しい。
例えばこんなメールが届く。
引用元 警視庁
これは警視庁が公開している資料から引用したものだ。
情報セキュリティ事案の現状
~ インターネットの情勢~
https://www.npa.go.jp/cyberpolice/material/pdf/20130709_jousei.pdf
上で紹介した画像のメールは典型的なフィッシング詐欺のメールであるが、本物のメールの可能性もあるので無視は出来ない。
メールは果たして本物なのか偽物なのか?
どんなメールでも単純には信用しないのが良い
メールにはヘッダーと呼ばれる情報が保持されている。
皆さんも見た事があると思うが、以下のような情報がメールヘッダーと呼ばれるものだ。
引用元 農林水産研究情報総合エンター http://cse.ffpri.affrc.go.jp/akema/sec_net/targeted/targeted.html
多くのメールソフトでは、上記画像のようにヘッダー情報を表示出来るので、自分が使っているメールソフトで試してみると良いだろう。
メールのヘッダーとは、そのメールの発信元やどういう経路を経て受信者(つまり自分)までメールが届いたのかなどの情報が記載されている。
このメールヘッダーを確認すれば発信元のIPアドレスなども記載されているので、メールが本物か偽物かを区別する事が出来る。
しかしながらメールのヘッダーを偽装する事は簡単なので安易に信用しては行けない。
私が実践しているフィッシング詐欺対策
私の場合、この手のメールが来てもメールの中に書いてあるリンク文字は決して開かない。
ではどうするか?
私の場合は、まずその金融機関名でGoogle検索をする。
例えばこんな感じ。
そうするとGoogle検索のトップにその銀行名が表示される。
Google検索結果を利用する
その結果下図のように検索結果が表示される。
引用元 Google検索結果
信用するならこの検索画面に表示された銀行名だ。
と言うのは、偽サイトがGoogle検索の最上位に表示される可能性は極めて少ない。
少ないと言うよりも不可能だろうと思う。
つまり、特定の金融機関名でGoogle検索して、検索結果の最上位に表示された項目はその金融機関名の本物のサイトで有ると信じても良いはずだ。
パソコンがウイルス感染している場合には手遅れ
ただし、もし既にあなたのパソコンがウイルス感染していて、あなたが使っているブラウザ自体がウイルスにやられているとすると、それすらも疑わしい。
つまり、利用者が金融機関名で検索した場合に最上位に偽サイトを表示するなどというのは、ウイルスなら簡単に出来てしまう。
従って、今説明しているフィッシング詐欺対策の大前提として、あなたのパソコンはウイルスに未感染の健康な状態であるとする。
さて、最上位に表示された金融機関名、今の場合は三井住友銀行のリンクをクリックする。
そうすると三井住友銀行のサイトが開くが、念のためにブラウザのアドレス欄の文字を確認すると良い(下図)。
引用元 三井住友銀行のサイト
これでほぼ間違いなく本物の三井住友銀行のサイトだと思われるが、私の場合にはまだ数パーセントは疑っている。
ブラウザのアドレス欄に緑の鍵マークが出るのを確認する
インターネットバンキングを利用するために上記のサイトからログイン画面を開く(下図)。
ここでもアドレス欄をチェックする。
引用元 三井住友銀行のサイト
上図のように緑の鍵アイコンが出ていれば、ほぼ間違いなく本物の三井住友銀行のサイトだと信用しても良いだろう。
ちなみに緑色の鍵アイコンの意味は以下の通り。
ちょっぴり専門豆知識
鍵マークとは?
これはインターネットで暗号化通信を行う際、「どこを相手に暗号化通信を行っているか?」を確認する手段として、電子証明書(サーバー証明書ともいいます)を利用しています。三井住友銀行では、その電子証明書の発行を行う第三者認証機関として、「DigiCert社」と契約し電子証明書を発行しています。
引用元 三井住友銀行のサイト
ここまで来ればほぼ間違いなく、本物の三井住友銀行のサイトを開いている事になる。
ちなみに、ブラウザのアドレス欄に表示されている文字の見方であるが、
https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp
このうち、前半部分の
https://direct.smbc.co.jp/
この部分がその企業の公式のサイトとなる。
それ以降にある
aib/aibgsjsw5001.jsp
などの文字は各社によって異なるので、そこにある文字自体には深い意味はない。
なお、あくまで私の個人的見解であるが、上記の aib/aibgsjsw5001.jsp と言うような意味不明の文字列よりも、もっとシンプルな、
https://direct.smbc.co.jp/login
などのほうがより分かり易いと思うのだが。
しなしながら、銀行各社のログイン画面をいくつか確認してみたが、どの銀行のログインのURLアドレスも全て三井住友さんみたいな意味不明の文字列が使われている。その理由は今後調査したい。
さて、ここまで来るとほぼ確実にその金融機関の公式サイトに辿り着けると思うが、私の場合にはもう一つ注意している点がある。
それを以下に紹介しよう。
検索結果一位より上に表示される広告はクリックしない
サーチエンジンの検索結果のさらに上の位置に広告として三井住友銀行の名前が出て来る場合がある。
例えばYahooで「三井住友銀行」で検索した場合の例を示す。
引用元 Yahoo検索結果
このように、先頭に三井住友銀行の名前で広告が表示されている。
私の場合にはその広告としての銀行名はクリックしないようにしている。
クリックするのはあくまでその次の検索結果第一位に表示される銀行名である。
その理由であるが、この広告はYahoo!プロモーション広告(GoogleならGoogleアドワーズ広告)と言われているもので、誰でも料金を払えば画面に広告を掲載する事が可能である。
誰かが勝手に三井住友銀行の名前を使って広告を掲載しているかもしれないからだ。
ただし、Yahoo!プロモーション広告やGoogleアドワーズ広告に関しては私はあまり詳しくない。
なので、第三者が勝手に銀行名を使って広告を打つなどが可能なのかどうかは未確認である。
しかしながら、あくまで仮定の話であるが、銀行関係者を装って広告を申し込む。そしてその銀行名で検索された場合にその銀行名を広告として表示する。でもリンク先のアドレスは本物のサイトではなくて、フィッシング詐欺のサイト。
そう言う犯罪が可能なのかどうかは不明であるが、何かの手違いでそのような怪しい広告をウッカリ掲載してしまう可能性を考慮して、私の場合にはその手の広告よりも検索結果を信用するようにしているのだ。
まとめ
フィッシング詐欺の手口を紹介した。
フィッシング詐欺に遭わない為に私が実践している方法も紹介した。
- 怪しいメールは開かない。
- 一見本物と思われるメールでもその本文中にあるURLアドレスはクリックしない。
- 銀行、クレジットカード会社などの公式サイトを開くには、会社名で検索してGoogle検索の最上位に表示されるものを信用する。
- 検索結果画面の広告に表示される企業名ではなく検索結果を信用する。
- ログイン画面では、緑色の鍵マークが表示されている事を確認する。
などを実践すると、ネット詐欺に遭う危険性も減るだろう。
なお、本文中でも説明したように、これらの手順を守っていても既にあなたのパソコンがウイルス感染している場合には何の役にも立たない。
なので、パソコン、スマホ、タブレットを使ってインターネットバンキングやクレジットカード決済の買い物をする人は、セキュリティ対策ソフトをインストールしておくべきである。
主要なセキュリティ対策ソフト(有料製品)
3年版で3台までのパソコン・スマホ・タブレットにインストール可能で、価格的には数千円程度の製品が多い。
もしあなたのパソコンにセキュリティ対策ソフトを入れていないなら、有料ではあるが有名製品を入れておくのが良いだろう。
無料のセキュリティ対策ソフトもあるが、私はお勧めしない。
その辺りの理由は別の記事で説明しているので、興味ある人は一読願いたい。
五つもあるとどれを選んだらよいか迷うと言う人も多いと思う。
確かにそうである。
ちなみに私の場合には、リスト末尾のノートンセキュリティを使っている。
理由は、有名であり世界で一番売れている点と、昔から使っていて慣れているからである。
ちなみにノートンの世界シェアは42.4%もある(シマンテック社のサイトの情報)。
残りの四つの製品も世の中でよく売れている有名製品なので、迷っている場合はどれでも良いから取り敢えず1台1年版あたりを選択して一年使ってみると良いだろう。
それで気に入ったら次は3年版や5年版を購入すると良い。そちらのほうが割安になるからだ。
兎に角、パソコンを使ってインターネットをやるならセキュリティ対策ソフトは必須だと思う。
コメント