前回は国内ユーザーを狙うフィッシングの最新動向と手口を紹介したが、今回はその続編として、フィッシングメールとフィッシングサイトの見分け方をお伝えしたい。偽メールは怪しい文面やリンクのチェック法を知ることで、偽サイトは「SSL通信」と「正しいURL」の確認方法を知ることで、偽物を容易に見分けることができる。また、万が一、被害にあってしまった場合の対処法も頭に入れておこう。
<INDEX>
■フィッシングメールの見分け方
・電子署名付きメール
・迷惑メールフィルターの利用
・内容を疑う
・リンクを疑う
・不審点は事実確認する
■フィッシングサイトの見分け方
○「SSL通信」の確認
・「https://」と錠マーク
・錠マークのクリックで「証明書」表示
○「正しいURL」の確認
・接続するサーバー名を示す部分
・ドメイン名の確認と注意点
■フィッシング被害にあってしまったら
・できるだけ早く連絡と相談を
・連絡がすぐ取れない場合の応急措置
・「被害届」の提出
・ユーザーの届出が重要な理由
■フィッシングメールの見分け方
電子メール(以下、メールと表記)は、コストをかけずに大量に送付できるため、フィッシングの手段として最もよく使われる。メールは件名や本文はもちろん、送信元の偽装も簡単に行えるので、受け取ったメールを真に受けてしまうと、簡単にフィッシングにひっかかってしまう。
・電子署名付きメール
一部のオンラインバンキングなどでは、送信元のメールアドレスと内容が改ざんされていないことを証明するために、メールに電子署名を付けて送付している。電子署名付きメールは主要なメールソフトが対応しており、送信元メールアドレスが電子署名と異なると警告が出る。利用しているサービスが、電子署名付きメールを送付するかどうかを予め確認し、送信元のメールアドレスを把握しておくと、そのサービスに関しては、フィッシングメールかどうかを容易に識別できる。このように便利な電子署名ではあるが、対応している企業やサービスが限られているため、これのみに頼るわけにはいかない。別の方法も併用し、本物と偽物を見分ける必要がある。
・迷惑メールフィルターの利用
メールサービスやメールソフト、セキュリティソフトには、迷惑メールの疑いのあるメールを自動的に振り分けてくれる「迷惑メールフィルター」をサポートしたものがある。フィッシングメールにも有効なものがあり、何より不要な迷惑メールがぐんと減るので、その後の仕分けがやりやすくなる。利用できる場合には、積極的に利用しよう。
・内容を疑う
日本語以外でメールをやりとりする機会がないユーザーは、メールが日本語ではないというだけで怪しいと疑う。機械翻訳のような不自然な日本語も怪しいとわかる。利用していないクレジットカードや銀行、サービスを装ったメールも、自分には関係ないので偽物と見抜くことができる。来るはずのないメールは、このように容易に排除できる。
また、フィッシングの問題化とともに、いろいろな企業やサービスが「送ることのないメール」の例を挙げて注意を呼び掛けている。たとえば、「本人確認のためにログインさせることはしない」「アカウント情報の照会はしない」「個人情報やクレジットカード情報の照会はしない」「アカウントの更新はない」「ファイルを添付したり開かせたりすることはしない」「すぐに対処しなければいけない急な要求はしない」など。利用しているサービスが送らないタイプのメールを把握しておくと、「来るはずのないもの」の枠が広がり、フィッシングメールやウイルスメールを効率的に見分けることができる。
・リンクを疑う
フィッシングメールには、偽サイトに誘導するためのリンクが記載されている。以前は偽サイトのURLをそのまま記載したものも多かったが、最近はURLを直接書かずにリンクとして埋め込んだケースが多くなっている。「こちら」などの文字で示したり、図やボタンに埋め込んだり、本物のサイトのURLに見せかけて偽サイトのURLを埋め込んだりしたものがある。
メールソフトには、埋め込まれたURLを事前にチェックできる機能がある。たとえば、「マウスカーソルを近づけると表示する」「リンクの右クリックやタッチ(指で長く触れる)で、URLの確認を含むメニューを表示する」「リンクのクリックやタップ(指で短く触れる)で、ブラウザで開く前にURLを表示して確認できる」など、やり方はさまざまなので、使っているメールソフトを調べてみてほしい。埋め込まれたURLが本物のサイトと異なる場合は、疑う価値が十分ある。表示上のURLと実際のURLが違うのは、あからさまな偽装だ。
図1:日本語のフィッシングメール例
海外からの攻撃によくある、不自然な日本語のフィッシングメール。このメールソフト(Outlook Express)は、リンクにマウスカーソルを重ねると、ステータスバーに実際にアクセスするURLを表示するので、URLが偽装されていることも分かる。
・不審点は事実確認する
少しでも不審に思ったら、公式サイトや問い合わせ窓口で事実確認をしていただきたい。重要事項は公式サイトでも発表されているはずで、ひょっとするとフィッシングの注意喚起として、受け取ったメールと同じ内容が掲載されているかもしれない。ちなみに、よくあるパターンのフィッシングメールは、メールの件名や本文の中の特徴的な一文を検索サイトで検索すると、フィッシングの注意喚起がヒットすることもよくある。ある日突然、これまで来なかった内容のメールが届いたら、疑いが晴れるまで調べてみることをお勧めする。なお、不審な段階では、公式サイトや問い合わせ先にメール記載のURLを使用してはいけない。サイトへのアクセスは、URLを直接入力するか、履歴やブックマーク、信頼できるリンク集や検索結果などを利用しよう。問い合わせ先も同様だ。
■フィッシングサイトの見分け方
フィッシングメールのリンク先に仕掛けられるフィッシングサイトは、本物のロゴを使ったり、サイトのデザインを似せたりするなどして、本物らしく見えるように作られている。本物のサイトをコピーして作ったものなどは、見た目だけでは区別できない、そっくりなものもある。しかし、どれほど精巧に作られていても、フィシングサイトはしょせん偽物。2つのポイントをチェックするだけで、それが本物か偽物かを簡単に見分けることができる。チェックポイントは、「SSL通信を行っているか」「正しいURLか」の2点だ。
SSL通信は、第三者に通信内容が漏れないように暗号化してやりとりする仕組みで、ログイン時や、クレジットカード情報などの第三者に知られては困る情報を送る際には、たいていこのSSL通信が使われる。過去4年間に行われた、日本語メールや日本語サイトを使った国内のフィッシングでは、本物のサイトが全てSSL通信に対応していたのに対し、偽サイトは全て非対応だった。フィッシングの標的になるようなブランドやサービスは、ほぼ間違いなくSSL通信に対応しているので、ログイン時や重要な情報を入力する際には、必ずSSL通信を行っているかどうかを確認していただきたい。
・「https://」と錠マーク
SSL通信は、URLが「https://」で始まり、通信中はブラウザに「錠」マークが表示される。ログインページなどでSSL通信が行われていなかった場合には、アドレスバーの「http://」を「https://」に修正してアクセスしなおしてみよう。正常に接続できない場合には、偽サイトの可能性が高い。フィッシングサイトの中には、サイトのアイコン(ファビコン)やページ内に錠マークを表示したり、言葉で安全をうたったりしてユーザーを欺こうとすることがある。ページ内の表示に惑わされず、ブラウザがどう変化するかを、しっかり覚えておいていただきたい。
図2のA~Dは、4種のブラウザ「Internet Explorer」「Firefox」「Google Chrome」「Android 標準ブラウザ」について、アドレスバーの変化を示したもの。それぞれ3つのアドレスバーの違い(変化)を見ていただきたい。上から順に、「非SSL通信」「通常のSSL通信」「EV SSL証明書時のSSL通信」のキャプチャである。
図2-A:アドレスバーの変化(Internet Explorer 8)
図2-B:アドレスバーの変化(Firefox 14)
図2-C:アドレスバーの変化(Google Chrome 21)
図2-D:アドレスバーの変化(Android 標準ブラウザ)
SSL通信には、暗号化のほかにもうひとつ、接続先の信ぴょう性を確かめる大切な役割もある。Webサイトが「EV SSL証明書」を使用している場合には、運営者の組織が実在することが審査に含まれており、証明書で組織名が確認できる。EV SLL対応ブラウザでは、組織名はアドレスバーの横にグリーンで表示される。
通常のSSL証明書の場合は、証明書によって審査事項がまちまちだ。最小限の証明書ではサーバー名やドメイン名しか審査されないが、組織名などを含んでいるものもあり、「錠」マークをクリックして証明書を表示すると、記載内容を確認できる。
図3-A:証明書の表示例(IE、Google Chrome)
[錠]マークをクリックし、IEは[証明書の表示]を、Google Chromeは[証明書情報]をクリックすると証明書を表示する。発行先の組織名などは、[詳細]タブの[サブジェクト]フィールドに記載されている。
図3-B:証明書の表示例(Firefox)
[錠]マークをクリックし、[詳細を表示]ボタン、[証明書を表示]ボタンの順でクリックすると証明書を表示する。
図3-C:証明書の表示(Android標準ブラウザ)
[メニュー][その他][ページ情報]の順に選択してページ情報を表示。証明書がある場合には、ページ情報に[証明書を表示]ボタンが表示されるので、タップして証明書を表示する。
○「正しいURL」の確認
フィッシングサイトは短時間で閉鎖させられてしまうため、手間とコストをかけてSSL通信に対応させようとするフィッシャーはいない。ところが、時おりSSL通信に対応したフィッシングサイトが出現する。代表的なのが、SSL通信に対応したWebサイトに不正アクセスして偽サイトを仕掛けるケースと、SSL通信に対応したサービスを悪用して仕掛けるケースだ。どちらも国内のフィッシングで行われた事例は確認していないが、いつ出現してもおかしくない。ブラウザに「錠」マークが表示されれば、99%本物のサイトだが、URLも合わせてチェックし、100%間違いないことを確認しよう。
・接続するサーバー名を示す部分
URLは、アドレスバーに表示される「http://www.so-net.ne.jp/security/」という形式のものだ。これは、「www.so-net.ne.jp」というサーバーに接続し、「http」のルールに従って、「/security/」というリソースを取得することを意味する。「http」の部分はスキーム名と言い、SSL通信の場合には「https」になる。
URLをチェックする際に特に重要なのが、接続するサーバー名を示す「www.so-net.ne.jp」の部分だ。ここが、利用しているサービスのものと一致していれば、本物のサイトである。フィッシングサイトの中には、このURLを本物と錯覚させるために、本物のサイトやサービス名を織り交ぜたり、紛らわしい綴りを使用したりすることがある。URLを長くして、一部しか見えないようにしたものもある。URLを確認しにくいスマートフォンでは特に、こうした細工にだまされないよう注意されたい。
図4:Android標準ブラウザでのURLの確認方法
[メニュー][その他][ページ情報]の順に選択すると、そのページのURL全体を確認することができる。
・ドメイン名の確認と注意点
なお、サーバー名の「www」は、「blog」や「webmail」のように、サービスによって異なるかもしれない。残りの「so-net.ne.jp」は、So-netが所有しているドメイン名と呼ばれる部分で、第三者がこのドメイン名を勝手に使用することはできない。「so-net.ne.jp」となっていれば、So-netのサーバーの一部であることを示す。ただし、ドメインが一致しているだけで、ログインページや個人情報などを求めるページが本物と決めつけてしまうのは早計だ。ユーザーが自由に扱って公開できるサービスが同じドメインを使って提供されている場合は、サービスが悪用される可能性がある。ドメイン名だけでなく、サーバー名全体が正規のものと一致していることを確かめていただきたい。リソース名を使ってサービスを分けている場合には、リソース名も要チェックだ。
図5:SSL通信対応のユーザー向けサービスを悪用したフィッシングサイト
SSL通信でドメイン名も正しいが、サーバー名は、一般ユーザー向けにスプレッドシート機能を提供しているサービスのもの。
■フィッシング被害にあってしまったら
実在する企業やサービスをかたって、アカウント情報やクレジットカード情報をだまし取ろうとするフィッシングが横行していることを認識し、受け取ったメールのチェックとサイトにアクセスしてしまった場合の基本チェックを怠らなければ、フィッシングの被害にあうことはほとんどなくなる。ところが、オンラインサインアップの直後やネットショッピングを利用した直後、ネットバンキングを利用した直後というように、絶妙なタイミングで利用したサービスをかたるフィッシングメールが届いてしまうと、慎重に行動している人でも、あっさりひっかかってしまうことがある。
・できるだけ早く連絡と相談を
万が一フィッシングにあってしまったら、またその可能性があると思ったら、実害の有無にかかわらず、できるだけ早くサービスの提供会社に問い合わせるとともに、各都道府県警のサイバー犯罪相談窓口に相談しよう。サービスの提供会社は、サービスの一時停止や不正使用のチェック、利用再開までの具体的な手続きなどを指導してくれる。
・連絡がすぐ取れない場合の応急措置
被害にあったサービスや日時によっては、サービス提供会社とすぐに連絡がとれない場合がある。フィッシングサイトでパスワードを入力してしまった場合、まだサービスにログインできる状態だったら、だまし取られたパスワードでアクセスできないように、パスワードの変更だけでもやっておこう。クレジットカード情報を入力してしまった場合は、カード会社が24時間体制で対応している。
・「被害届」の提出
各都道府県警のサイバー犯罪相談窓口への相談は、金銭的な被害が生じている場合には、最終的に被害届を提出することになる。被害届を出しておくと、たとえお金が取り戻せず補償もされなかった場合も、実質的な損失分を雑損控除として処理できるようになる。
・ユーザーの届出が重要な理由
自身が管理しているサイトではなく、直接金銭的な被害も生じていない場合には、警察への情報提供を行うことになる。不正アクセスを受け、貴重なゲームアイテムなどが盗まれてしまうと被害甚大ではあるが、このような場合も被害者はユーザーではなくゲームサイトを管理・運営する側になる。それならば運営側が届出ればよいのではと思われるだろうが、警察関係者によると、なかなか被害届を出してもらえないのが実情のようだ。
全国の都道府県警察が2011年に検挙した不正アクセス事件のうち、管理者からの届出で警察が事件を認知したのが121件だったのに対し、ユーザーからの届出で認知したものは、最多の680件だった。ユーザーからの届出は、事件解決の重要な役割を担っているので、たとえ実質的な被害が生じていなくても、サイバー犯罪相談窓口に相談し、情報提供するように心がけていただきたい。
・都道府県警察本部のサイバー犯罪相談窓口
http://www.npa.go.jp/cyber/soudan.htm (執筆:現代フォーラム/鈴木)