実在する企業やサービスを装う偽のサイトで、アカウント情報やクレジットカード情報などを騙し取ろうとするフィッシング。通販ショップを装うサイトで、商品を販売するように見せかけて代金を騙し取ったり、偽物や粗悪品を送りつけたりする通販詐欺。――いつでもどこでも利用できる便利なインターネットですが、油断していると、このような偽サイトにおびき寄せられてしまうかもしれません。ログイン情報や個人情報、決済情報などの重要な情報を入力する際には、いったん立ち止まり、騙されていないかどうか確かめる習慣を身に付けましょう。今回は、騙されないために知っておく、偽サイトを見分けるためのポイントをご紹介します。
<INDEX>
■どちらが騙されやすい?「なりすまし偽サイト」と「架空の偽サイト」
■「なりすまし偽サイト」を見分けるポイント――「アドレスバー」に注目
■本物がわかる仕組み――「サーバ―証明書」と「EV証明書」
■正しいURLで偽サイトに誘導されてしまうケースも!
■「架空の偽サイト」を見分けるポイント――「ありがちな特徴」を見逃すな
■どちらが騙されやすい?「なりすまし偽サイト」と「架空の偽サイト」
あなたを騙そうとする偽サイトには、実在する企業やサービスなどの「本物」になりすましたサイトと、本物があるのかどうか分からない実態の怪しいサイトとがあります。
アカウント情報やクレジットカード情報などを騙し取るフィッシングサイトは、主に前者の「なりすまし偽サイト」です。通販詐欺サイトの中にも、実在するショップになりすましたものがあります。これらの「なりすまし偽サイト」は、本物かどうかを見分けることがポイントです。
もう一つの実態のよく分からないサイトについては、ここでは便宜的に「架空の偽サイト」呼ぶことにします。架空の偽サイトは、詐欺や不当請求、各種情報商材のプロモーションサイト、不明瞭な説明で毎月課金するサブスクリプションサービスなど、悪質な業者やインチキ商売の巣窟です。あらゆる手段を使って騙そうとしてくる相手を見分けるのは至難の業ですが、ありがちな特徴を押さえておくと、偽物の多くを排除することができます。
■「なりすまし偽サイト」を見分けるポイント――「アドレスバー」に注目
本物になりすます偽サイトは、本物そっくりに作られた精巧なものが多いため、サイトの見た目で判断しようとすると、簡単に騙されてしまいます。真贋を見分けるためには、偽物が真似できないところをチェックします。それは、アドレスバーです。
なりすましのターゲットにされるような大手のサービスの場合には、ログインや会員情報の閲覧・変更などは全て、暗号化通信で行います。暗号化通信時は、ブラウザのアドレスバーが「https://」で始まるURLになっており、錠前マークが表示されます。この状態で、公式サイトの正しいURLであれば本物です。URLの確認方法は、9月のトピックスの「上級編:「差出人」と「リンク先」をチェックする」をご参照ください。
偽サイトの中には、公式のサービスを使って誘導するものもあります。ブラウザで開いたページのアドレスバーを必ず確認するようにしましょう。本物は、暗号化通信でなおかつ正しいURLであることが絶対条件です。条件を満たさないページでのログインやクレジットカード情報などの入力は、控えて下さい。
正しいURLかどうかは、本物を知らないと判断できないので、利用している会員サイトなどのURLを覚えておくか、ブラウザのブックマークに登録しておきましょう。
公式アプリを利用している場合には、アプリから公式サイトに行くと、偽物に騙されずに公式サイトに行くことができます。パソコンやスマートフォンの本体やシステムの公式サイトは、システム内のメニューやサポート用のアプリなどから公式サイトに行くと、偽物に騙されずに公式サイトに行くことができます。
暗号化通信には、接続先のサーバーが持つ「サーバ―証明書」というものを使用します。このサーバー証明書は、そのサイトをドメインの持ち主が運営していることを確認して発行します。「www.so-net.ne.jp」の証明書は、ドメインを所有するソニーネットワークコミュニケーションズしか取得できないので、暗号化通信を行っている「www.so-net.ne.jp」は、本物のソネットのサイトだとみなすことができるわけです。
暗号化通信をサポートするサイトの中には、サーバー証明書にEV (Extended Validation) という種類のものを使用しているところがあります。このEV証明書の場合には、サイトを運営しているドメインの持ち主が、実在する企業や組織であることも確認して発行します。アクセス先がEV証明書の場合、パソコン用のブラウザでは、アドレスバーやアドレスバーの横に運営者の名前を表示するので、ドメイン名を知らなくても判断できるかも知れません。初めて訪れるサイトの場合には、運営者情報を得る手段にもなります。
なお、EV証明書のサイトは信頼できるといわれることがありますが、運営者情報が確かめられるだけで、一般の方が思い浮かべる「信頼性」とは無関係です。信頼できる運営者であっても、実在する会社や組織でなければEV証明書は使用できず、極めて悪質な会社であっても、実在すればEV証明書を使用できます。
サーバー証明書と各ブラウザのアドレスバーの表示を図1にまとめました。利用しているブラウザのアドレスバーが、どのように変化するのかを把握しておきましょう。
図1 各ブラウザのアドレスバー表示
Google ChromeやSafari、およびデスクトップ版のFirefoxは、暗号化していないページで入力しようとすると、図2のような警告を表示します。フィッシングサイトやマルウェア(ウイルス)感染のおそれのあるサイトを開こうとすると、赤い警告画面を表示して注意を促します。これら警告が表示された場合には、それ以上先に進んではいけません。アクセスするのをあきらめ、そのページを閉じましょう。
図2 ブラウザの警告:暗号化していないページで入力しようとすると、図の上に示すように「Webサイトは安全ではありません」といった警告を表示する。フィッシングサイトやマルウェア(ウイルス)感染のおそれのあるサイトを開こうとすると、図の下に示すように赤い警告画面を表示して注意を促す。
URLが正しい場合には、公式サイトの可能性が高いのですが、攻撃目的に用意された無線LANのアクセスポイントに接続した場合や、端末や自宅のルーターのDNS情報(接続先のドメイン名をIPアドレスに変換する際の問い合わせ先の情報)を書き換えられてしまった場合には、正しいURLで偽サイトに誘導されてしまうことがあります。
図3は、今春発生した、自宅の無線LANルーターのDNSを書き換えられた事例です。Android端末に偽アプリをインストールしようとしたこの攻撃は、5月ごろからiPhoneにフィッシングを仕掛けるようになりました。その際の誘導先は、図3のようにアップルの公式サイトのURLになっていました。暗号化されていない場合には、実際にこのようなことが起こることがあるのです。
図3 DNSが書き換えられたルーターにAndroid端末でアクセスすると偽アプリを投下(左)、iPhoneは公式サイトのURLでフィッシングサイトに誘導(右)
■「架空の偽サイト」を見分けるポイント――「ありがちな特徴」を見逃すな
本物になりすました偽サイト以上に見分けが難しいのが、初めて利用するサイトの真偽です。相手が善良か悪質かは、実社会でもなかなか見分けることが難しいのですが、通販詐欺サイトなどは、架空の偽サイトにありがちな特徴を知っておくことで、騙される可能性を大幅に低減することができます。特に押さえておきたい主なチェック項目は以下のとおり。
運営者情報の確認
初めて利用する際には、運営者情報を必ず確認しましょう。ネットショップの場合には、特定商取引に基づく表記が義務付けられており、販売業者名や住所、電話番号などを必ず表示しなければなりません。これらの記載がない場合や不備がある場合は、怪しいと疑いましょう。
正しく記載されていても、あくまで自己申告なので鵜呑みにはできません。偽サイトは嘘の情報や実在する他社の情報を勝手に記載します。検索サイトや地図サイトで、記載事項をコピー&ペーストして検索してみましょう。偽サイトの中には、コピペや検索を避けるために、記載事項を画像にしているところもあります。そうなっていたら、怪しいサイトです。
電話番号が固定電話の場合は、住所と市外局番を照らし合わせるだけでも、偽物を見分けられることがあります。実際に電話をかけて確かめると、より確実です。電話をかける際には「184」をつけてからダイヤルすると、相手にこちらの電話番号が伝わらない非通知通話になります。非通知でも相手が電話に出て、相手から店舗名などを名乗るようであれば、偽物の可能性は低いかもしれません。運営サイトで間違いないかどうかを、確かめておきましょう。具体的な商品やサービスのことを質問し、相手の答えで確認するのも一計です。
支払い方法の確認
初めて利用する場合には、商品の引き渡しにより安全な方法が利用できるかどうか確認、検討しましょう。偽サイトは、サイトの説明と実際の決済方法が異なっていることがしばしばあります。説明と違っていないか、実際に選択できるかの確認が重要です。
代引きや後払いの決済は、手数料が余分にかかるかもしれませんが、代金を支払ったのに商品が届かないというトラブル防ぐことができます。逆にトラブルが多いのが前払いの振込みです。どうしても振込みを利用しなければならない場合には、振込み先がサイトに記載されているか、振込み先の支店が店舗の所在地と食い違っていないかを必ず確認しましょう。振込み先が法人名や店舗名になっていることも確認します。申し込み後に振込み先を伝えて来るショップや、他の支払い方法で申し込んだのに振込みへの変更を求められた場合、店舗名のない個人名義の口座などは要注意です。何らかの方法で入手した他人名義の口座に代金を振込ませ、騙し取るのが詐欺師の常套手段なので、そこは怪しいと思ってください。
引落しまでに猶予のあるクレジットカードは、商品が届かない場合や偽物、粗悪品が送られてきた場合などに、支払いを拒否できる場合があります(一括払いや4万円未満の場合などは拒否できない)。すぐに入金、引出しが行われる振込みよりも安全ですが、カード情報の詐取が目的の偽サイトも暗躍しているので、油断できません。個人情報やカード情報の入力ページが暗号化されていない場合には、それ以上先に進んではいけません。カード情報を入力したのにエラーで決済できない、決済したのに連絡が来ない、会員サイトに利用分が反映されない場合も要注意です。少しでも怪しいと感じたら、カード会社の窓口に相談しましょう。
品揃えの確認
ネット検索で安価な商品や入手が困難な商品が見つかると飛びつきたくなってしまいますが、はやる気持ちをおさえ、扱っている他の商品を冷静に眺めてみましょう。扱っている商品の種類が他店に見られない不自然な組み合わせになっていないか、どの商品も他店の販売価格より安く設定されていないか、他店の価格より大幅に安く販売されていないかを確認しましょう。
最近は、実在するサイトから商品の写真や説明を機械的にコピーし、価格を安く設定して来訪者を騙そうとする偽サイトが数多くあります。他店のコピーなので、セールス時期には同じようなセールスを展開し、コピー元の店名やロゴなどまで取り込んでしまっていることもあります。国民生活センターによれば、年末年始にはネットショッピングのトラブルが集中して発生する傾向があるといいます。利用される方は十分に注意してください。
図4 詐欺・模倣品トラブルの月別件数:画像出所>冬物の「衣服・履物」の詐欺・模倣品サイトに注意!-トラブルが冬季に集中して発生-(国民生活センター)
http://www.kokusen.go.jp/news/data/n-20181023_1.html
(執筆:現代フォーラム/鈴木)