情報処理推進機構セキュリティセンター(IPA/ISEC)は、4日発表の「今月の呼びかけ」でフィッシングの手口を紹介し、被害にあわない対策を解説している。IDとパスワードの使い回しをしない、不用意に添付ファイルやリンクをクリックしないことに加え、Webサイトで個人情報を入力する際の注意点についてまとめ、注意を呼び掛けている。
フィッシングの手口は、(1)偽のWebサイトへ誘導してIDとパスワードなどのアカウント情報を入力させるもの(サイト構築型)と、(2)サイトを構築せずメールそのものにアカウント情報を入力させる仕掛けを施したもの(メール送信型)の2つに大別される。
(1)は、銀行などの正規サイトそっくりに作った偽サイトを設置し、そのリンクを記したメールを配信し、受信者にクリックさせて偽サイトに誘導。そこでアカウント情報を入力させる。(2)のメール送信型は、メールに施されている仕掛によって「送信プログラム添付型」と「HTMLメール型」がある。前者は、メール文面に従って添付ファイルを開くと、送金手続きに必要な契約者番号やパスワード、乱数表の情報全てを入力するように促す画面が現れる。後者は、HTMLを使用し、メール本文欄に本物のWebサイトのような画面を表示し、アカウント情報を入力させる仕組みだ。
いずれの手口でも、アカウント情報を入力して「確認」「送信」等のボタンを押してしまったら、攻撃者に情報が渡り、悪用されることになる。これらの攻撃にひっかからないためのポイントは、次の3点だ。
■フィッシング被害にあわないための3つのポイント
(1)IDとパスワードの使い回しを避ける
ひとつのIDとパスワードを使い回していると、1か所で漏えいしたとき、他のサービスでも不正利用されてしまい、被害が連鎖的に拡大するおそれがある。
(2)不用意に添付ファイルやリンクをクリックしない
不審なファイルが添付されたメールは「送信プログラム添付型」の可能性があるので、開かずにメールそのものを削除しよう。
(3)URLのドメイン名などに注意する
WebサイトでIDとパスワードや、暗証番号、クレジットカード番号などを入力するとき、ブラウザのURL欄に正しいドメイン名が表示されていることを確認する。IPAは、この確認の仕方をキャプチャ画面で解説しているので、確かめていただきたい。
なお、IPAは、フィッシングサイトを発見した時は「フィッシング110番」「JPCERT/CC」へ、フィッシングメール受信時は「フィッシング110番」「フィッシング対策協議会」へ連絡するよう呼びかけている。また、フィッシングの被害にあってしまった場合は、サービス提供会社と最寄りの警察署に相談し、併せて「フィッシング110番」に情報提供してほしいとしている。
(2012/7/12 ネットセキュリティニュース)
【関連URL】
・コンピュータウイルス・不正アクセスの届出状況[6月分および上半期](IPA)
http://www.ipa.go.jp/security/txt/2012/07outline.html
・フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
・JPCERT/CC
http://www.jpcert.or.jp/form/
・フィッシング対策協議会
https://www.antiphishing.jp/consumer/rep_phishing.html