 |
基礎解説:フィッシング詐欺
いまさらフィッシング詐欺にだまされないために
星澤 裕二株式会社セキュアブレイン
2004/12/25
 |
自衛手段とその問題点 |
フィッシング詐欺に引っ掛からないためには次のような自衛手段がある。
- メール中のリンクはクリックしない
- 個人情報をメールで送信しない
- Webブラウザには最新のパッチを当てる
- サーバ証明書で本物のサイトかどうかチェックする
- 目的のサイトにはWebブラウザのブックマークからアクセスするか、直接アドレスを入力してアクセスする
これといった特別な対策が必要なわけではない。インターネットを利用する上での基本的なセキュリティ対策である。これらの自衛手段を取れば高い確率でフィッシング詐欺の被害に遭うことを未然に防げる。ぜひ実践してもらいたい。しかしこれらの自衛手段に問題がないわけではない。
多くのメールマガジンでは本文中に見出しや要約のみを掲載している。記事全文を読むためにはリンクをクリックしてWebサイトにジャンプしなければならない。このようなメールマガジンに慣れているせいかメール中のリンクをクリックすることに抵抗を感じないユーザーが多い。どんなメールでも何の疑いもなくリンクをクリックするのが習慣化してしまっている。
また、注意していたとしても巧みに仕組まれた偽メールにだまされ個人情報を送信してしまうこともある。個人情報をメールで送信してはいけないと分かっていても手口が巧妙であれば意外と簡単にだまされてしまうのだ。
前述のようにフィッシング詐欺の中にはセキュリティホールを悪用するものがある。こういった手口には最新のパッチの適用が不可欠だ。しかし、パッチに対する個人ユーザーの意識は低い。また、企業ではすぐにパッチを当てることが難しいケースもある。システム管理者が十分にテストを実施してから全社に配布するということは珍しくない。このすき間に付け入られると被害に遭う可能性は高い。
多くのWebサイトにおいて、個人情報を送信させるような場合はSSLによる暗号化通信を利用している。ユーザーはWebサイトが本物かどうかをサーバ証明書の内容で確認することができる。SSL暗号化通信中、Webブラウザに鍵マークが表示されるようになる。サーバ証明書はこの鍵マークをクリックすることで簡単に表示できる。
しかし、現時点では、サーバ証明書に表示される組織名は英文である。使用するWebサイトの運営会社の正しい社名(英文の)を知らなければならない。また、Webサイトの運営を別の会社に任せているとアクセスしているWebサイトとサーバ証明書に表示される会社名が一致しないこともある。
アドレスバーに直接URLを入力して目的のサイトに移動したり、ジャンプしたサイトが本物かどうかをアドレスバーに表示されているURLで確認したりすることは重要である。しかし、正しいアドレスをいちいち記憶するのは骨が折れる。アドレスが会社名と一致していれば覚えやすいかもしれないが、実際にはそうでないケースも多い。フィッシング詐欺のターゲットとなっている銀行やクレジットカード会社のドメイン名にも銀行名や会社名と一致しないものが多く存在する。
| ドメイン名 | 企業名 |
|---|---|
| www.boy.co.jp | 横浜銀行 |
| www.a-bank.jp | 青森銀行 |
| www.first-bank.co.jp | 富山第一銀行 |
| www.t-card.co.jp | タカシマヤカード |
また、visa-secure.com、www.yahoo-billing.comなどのように紛らわしいドメイン名を取得し偽サイトを構築するという手口も存在する。
|
フィッシング詐欺防御ソリューション |
最近になってフィッシング詐欺を防御するソリューションがいくつか登場している。フィッシング詐欺ソリューションは大きく2つに分けることができる。
●メールにおけるフィッシング詐欺対策
アンチスパム技術でフィッシングメールを検出する
メールの送信元が信頼できるものかどうか確認する
●Web におけるフィッシング詐欺対策
偽装サイトに訪問させない
本物のサイトであることを確認する
 |
2/3 |
|
| Index | |
| いまさらフィッシング詐欺にだまされないために | |
| Page1 フィッシング詐欺とは フィッシング詐欺による被害 フィッシング詐欺テクニック |
|
 |
Page2 自衛手段とその問題点 フィッシング詐欺防御ソリューション |
| Page3 メールにおけるフィッシング詐欺対策 Webにおけるフィッシング詐欺対策 いまさらフィッシング詐欺にだまされないために |
|
| 関連記事 |
| フィッシング詐欺対策として企業が負うべき責任 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
