10月の中旬から下旬にかけて、小田急電鉄、大阪国際滝井高校、ライブドアクレジット、朝日新聞社、ローソンチケットと、Webサイトからの情報漏えいが相次いで起きた。サイト側の問題に起因する被害の多くは、我々ユーザーにとっては防ぎようのないものだが、その中でユーザー側の深刻な問題を浮き彫りにした事故が1件起きている。
・旧道路公団3社のネットアンケート、暗号化なしで1万6,712人が回答(2005/10/24)
これは、旧道路公団3社のホームページなどから別のサイトにあるアンケートページを開いた後、暗号化通信が無効のまま個人情報を含むアンケートが実施されたものだ。「暗号化なし」をそのまま解釈すれば、「盗聴されたかもしれない」ということになるが、盗聴のリスク以上に大きな問題は、このアンケートサイトが「フィッシングサイトだったかもしれない」という点である。
当該サイトは結果的にはフィッシングサイトではなかったが、はたして1万6,000人のうち何人がサイトの正当性に疑問を持ち、十分な確認を行ったうえでアンケートに答えていただろうか。おそらくほとんどの方が、この「自称アンケートページ」を無条件に信じてしまったのではないだろうか。
知らないサイトに誘導し、個人情報やパスワードなどの入力を暗号化なしで促すのは、典型的なフィッシングサイトの手口だ。もしそのようなサイトに出合ったら、私たちは怪しいと疑う習慣をふだんから身につけておかなければいけない。「知らないサイト」と「暗号化なし」、別の言い方をすると「URL」と「錠マーク」――この2つに注意していれば、フィッシングサイトの多くが回避できるのだ。
●リンクを不用意にクリックしない
本物とそっくりの偽サイトを作るのは、とても簡単なこと。元のサイトに防御用の仕掛けがなければ、全く同じページをほんの数秒で作成することができる。ページの見た目は、最も難易度が低いだまし方なのだ。ところが、URLまでそっくりにしようとすると、偽サイト作りの難易度が急上昇する。そこで、フィッシャー(フィッシング詐欺師)たちの多くはまず、偽サイトに誘導するリンクを見た目でごまかそうとする。表示は「セキュリティ通信」や「http://www.so-net.ne.jp/security/」としておき、実際のリンク先には偽サイトのURLを仕込んでおくのだ。
そんなフィッシャーたちだまされないようにするためには、不用意にリンクをクリックしないこと。予め正規のサイトをブックマークに登録しておいたり、直接URLを入力するように心がけると、偽サイトへの誘導を未然に防ぐことができる。
【図1】偽サイトを見破るチェックポイント
(1)アドレスバーは「https://」で始まる正しいURLか
(2)錠マークが表示されているか
(3)リンク先はステータスバーで確認
●偽サイトをURLで見破る
サイトを開いてしまったあとは、ブラウザのステータスバーやアドレスバーに表示されるURLを必ずチェックしよう。ステータスバーはリンク先のURLを知る手がかりに、アドレスバーは現在開いているページのURLを知る手がかりになる。もしブラウザの設定が、これらを表示しないようになっていたら、必ず表示する設定にしておく。 URLはこのほかに、ページのプロパティで確認することもできる。プロパティは、以下の2通りの方法で表示可能だ。
・「ファイル」メニューから「プロパティ」を実行
・右クリック、または[Shift]+[F10]、または「アプリケーションキー」で表示されるショートカットメニューから「プロパティ」を実行
もし開いたページにアドレスバーやステータスバーがなく、プロパティでURLも確認できないようになっていたら偽サイト警報。本当のURLを隠すのは、怪しいサイトと疑おう。
●正しいドメイン名を覚えておこう
偽サイトをURLで見破るためには、あらかじめ利用する銀行やショッピングサイトなどの本物のURLを知っておかなければいけない。長いアドレスを全部覚えておくのはたいへんだが、正しいドメイン名だけでも覚えておけば、多くの偽サイトを回避できる。 ドメイン名というのは、例えば「http://www.so-net.ne.jp/」だったら「so-net.ne.jp」の部分。このドメイン名を覚えておけば、「http://○○.so-net.ne.jp/△△」がSo-net内のサーバであることがわかる。
●URLの過信は禁物
URLは、偽サイトを見破る重要な情報ではあるが、こちらも表示をあまり過信してはいけない。時として偽装されていたり、紛らわしいアドレスだったりすることもある。たとえば11月に出現したGoogleやYahoo!の偽サイトは、URLの確認だけで見破ることのできる単純な偽サイトだったが、図2の偽PayPalサイトのように、アドレスバーを偽装する巧妙なサイトもあるし、正規のURLを入力しても、偽サイトにジャンプするように仕掛けるフィッシャーもいる。
・GoogleとYahoo!のフィッシングサイト出現 巧妙な手口に注意
【図2】アドレスバーを偽装する巧妙な偽サイト
偽のアドレスバーに本物のURLを表示して、ユーザーを油断させる。英語圏向けなので「アドレス」が「Address」と表示されていて(おまけに少し欠けてる)、あからさまに怪しさを漂わせてはいるが。
●暗号化の有無で偽サイトを見破る
【図3】錠マークなしで重要情報を入力しない
重要な情報を入力する際には、ほとんどのサイトがSSL(Secure Sockets Layer)を使用して暗号化通信を行う。この場合、アドレスバーのURLは「https://」で始まり、ステータスバーには閉じた錠マークが表示される。もし、どちらか一方でも欠けていたら偽サイト警報。確かなサイトなのかどうか、充分に注意しなければいけない。もっとも、たとえ正規のサイトであっても、暗号化なしで重要情報の入力を促すようなところは、避けたほうが無難だ。
「錠マークなしで重要情報を入力しない」これを徹底するだけで、偽サイトのほとんどは回避できる。もちろん、アドレスバーや錠マークまで偽装される可能性はあるし、暗号化通信が成立するよう巧みに誘導するフィッシャーもいる。そんな巧妙な偽サイトにだまされないように、次の上級編では、もう少し高度なお話をお届けしよう。
(執筆:現代フォーラム 鈴木)