なぜ、「フィッシング詐欺」に気付けないの?:セキュリティ、いまさら聞いてもいいですか?(4)(4/4 ページ)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第4回のテーマは、「フィッシング詐欺」です。銀行やクレジットカード会社などを装った文面や差出人やリンクテキストの偽装により受信者を「偽サイト」へ誘導し、IDやパスワードなどの情報を盗み出そうとするこの手口。被害に遭わないために注意すべきポイントについて整理しておきましょう。
フィッシング詐欺だと疑われないために
逆に、サービスの提供者からすると、正規のメールをフィッシング詐欺だと疑われてしまう可能性もありますよね? どのような点に気を付ければよいのでしょう。
フィッシングだと疑われないようなメールの書き方をすることも重要ですが、デジタル署名を付けることも検討しましょう。
先日、筆者宛てに下図のようなメールが届きました。このようなメールを見たとき、あなたならどう感じるでしょうか?
少なくとも筆者はリンクをクリックすることに抵抗があります。しかし、実際にはこのメールはフィッシング詐欺ではなく、正規のメールでした。ユーザーのメールアドレスが正しいものであることを確認するために、リンクのクリックを促すメールを送信したようです。
このようなメールが送られてくると、そのサービスに対する不信感が出てきてしまいます。サービス提供者はこのような形式のメールを送るべきではありませんし、利用者もこうしたメールに対しては問題を指摘していく必要があるでしょう。
また、メールを送信する側の立場としては、メールに電子署名を付けることも検討しましょう。多くの金融機関が「S/MIME」を使った電子署名を付加しています。電子署名を付加することにより、「送信者が正しいこと」や「メールの内容が途中で改ざんされていないこと」を保証することができます。
第4回のまとめ
- フィッシング詐欺には銀行やクレジットカード会社だけでなく、TwitterやFacebookなどのサービスをかたるものもある。
- メールの本文だけで怪しいかどうかを見分けるのは、今後ますます難しくなっていくと思われる。
- 個人情報を入力するときには、正しいサイトに接続していることを確認する癖を付ける。
- 万が一フィッシングサイトにIDやパスワードを入力してしまった場合、すぐに情報を変更するとともに、銀行やクレジットカード会社などの正規機関に連絡する。
- サービス提供者は、フィッシングだと疑われないように、むやみにリンクのクリックを促すような形式のメールを送信しないようにする。また、「S/MIME」などを使った電子署名をメールに付加することも検討する。
- なぜ、「脆弱性」はなくならないの?
- なぜ、ログを保存することが大切なの?
- なぜ、いろいろな「暗号技術」が必要なの?
- なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み
- なぜ、「私が興味を持ちそうな広告」が表示されるの?
- なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ
- なぜ、パスワードが盗まれるの?――攻撃者がパスワードを盗む手法と対策を分かりやすく解説
- なぜ、「フィッシング詐欺」に気付けないの?
- なぜ、「鍵マークの確認」が必要なの?――「HTTPS通信」のメリットを理解しよう
- なぜ、「ソフトウエアのアップデート」が必要なの?
- なぜ、「標的型攻撃」で情報が漏れるの?――標的型メールのサンプルから攻撃の流れ、対策の考え方まで、もう一度分かりやすく解説します
増井敏克(ますい としかつ)(増井技術士事務所代表)
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。
ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。
また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。
近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)がある。
Copyright © ITmedia, Inc. All Rights Reserved.