本節の目的
最近被害が増大している「フィッシング」と呼ばれる詐欺について、その方法と被害にあわないための心得を学習します。
「フィッシング」とは
近年、「フィッシング」という言葉が、新聞やニュースなどでとりあげられるようになってきました。皆さんも、見たり聞いたりしたことがあるのではないでしょうか。
「フィッシング」と言うのは、本物と思わせる偽メールや偽Webページを使って、クレジットカード情報をはじめとする個人情報をだまし取る詐欺の一種です。だまし取られたクレジットカード情報や各種パスワード等で、クレジットカードを利用されたり、銀行口座からお金を引き出されたりする被害にあうことになります。
「フィッシング」は、「釣り」を意味する「fishing」が語源のようですが、「phishing」と綴られます。
それでは、「フィッシング」とは実際にどんな手口なのでしょう?
まずは、緊急を要するようなメールが届きます。そこには、メールに記載されている対処を早急に行わないと、非常に大きな不利益を被るような文章が書かれています。対処と言うのは、ほとんどWebページにアクセスして、パスワードやクレジット番号等の個人情報を入力しなさいというものです。
たとえば、下のメールが、その例です。
「クマクマカード会社」から、メールにあるURIに至急アクセスして対処しないと、カードを不正に利用されても知りませんよ、というものです。
※上記のメールは、この講義用の架空のものです。
本物かな?と、少し疑ってみたものの、見馴れたURIだったので、その部分をクリックしてみますよね。すると、以下のようなWebページへ接続されました。
そのページに現われた画像が、見馴れた「クマクマカード会社」のロゴであれば、本物であると信用してしまい、要求されている情報をすべて入力して、「submit」ボタンをクリックしませんか。
すると、これがまっ赤な偽物で、気づいたときには、既にあなたのクレジットカードがだれかに使われてしまっていた、ということになるのです。
「フィッシング」から身を守る対策
「フィッシング」の手口を簡単にまとめると、
- (本物と思わせる偽)メールで釣って
- (本物と思わせる偽)Webページで盗む
- 本物のメールであるかどうかをチェックする
- 本物のWebページであるかどうかをチェックする
それでは、それぞれのチェックの方法を紹介しましょう。
電子メールが本物かどうかのチェック
1.メールヘッダを確認する。
電子メールには通常皆さんが読んでいる本文以外に、ヘッダ部分とよばれる通信履歴等の詳細情報がついています。皆さんに使ってもらっているメールソフトThunderbirdでヘッダを表示させるには、「表示」メニューから「ヘッダ」->「すべて」を選べばOKです。
↓
↓
すると、ヘッダ部分が広くなり右側端にスクロールバーが表示されます(上図参照)。
このスクロールバーを少し下げて、送信元の部分を表示してみます。
↓
発信者を表わす「差出人」欄のドメイン名(@の右側)は、「kumadai-i.com.com」となっていたのに(1つ上の図参照)、実際に発信されたメールサーバを表わす「Received:」欄のドメイン名は、上図のように「hotmail.com」になっています。
電子メールの発信者を表わす「From:」欄(Thunderbirdでは「差出人」として表示される)は自由に書き変えられるという性質を悪用して、偽のメールを送っていることが確認できます。こんなメールであれば、何の疑いも無くさっさと消しましょう。
2.直接、銀行やカード会社等に問い合わせる
メールヘッダを見ても、本物かどうか判断できなかったら、送り元となっている銀行やカード会社に直接問い合わせてみましょう。ただし、問い合わせ先は、届いたメールに書いてあるものではなく、通帳やカードに書いてあるものにして下さい。そうしないと、偽の会社に問い合わせることになってしまうかも知れないからです。
本物のWebページであるかどうかチェック
1.メール本文中に表示されているURIと実際のリンク先が同じかどうかチェック
「フィッシング」のメールの本文には、必ず個人情報を入力させるWebページのURIが書かれています。そのURIをコピーしてWebブラウザに貼り付けて開くか、メールソフトの機能により、そのURIをクリックすることで、自動的にWebブラウザが起動し、リンク先を表示します。
ここで、「フィッシング」のメールの場合、偽のWebページへ誘い込むわけですので、その偽のWebページのURIが書かれているはず。ところが、そうしてしまうと、多くの受信者がすぐ偽物とすぐ気づいてしまいますので、メールに表示されているURIは、本物で、そのURIをクリックして実際に表示するリンク先は、偽物が書かれているというのが一般的です。
例えば、下の例のメールソフト(Thunderbird)では、メール本文中のURIの上にマウスポインタを置くと、そのURIが実際にリンクしている(本物の)URIをウィンドウの最下段に表示します。そこを確認することで、あやしいメールかどうか、判断できます。
上の図では、メールの本文に表示されているのは「https://www.kumakumada-i.com.com/kakunin/chack.html」なのに、実際のリンク先はそれとは違う「http://get.secret.com/card/data-get.cgi」という、いかにもあやしいページになっていますので、すぐにおかしいと分かりますね。
Thuderbirdでは、最初から次図のような設定がされています(「ツール」メニューから「オプション」->「セキュリティ」->「詐欺メール」で表示されているメニューにチェックが入れてあります)。
この設定がしてあると、先のように「表示されているURI」と「実際のリンクのホスト名」が異なると警告が表示されます。警告が表示されたら、絶対にリンクをクリックせず、メールも消すようにしましょう。
2.ブラウザ上部に表示されているURIを確認する
ブラウザ上部に表示されているURIが、メールの本文に書かれていたURIかどうか確認することで、ある程度本物かどうか確認することができます。
上図に示されているURIは、明らかにあやしいですね。
3.直接、銀行やカード会社のホームページからリンクがあるか確認する
本来のホームページから、メールに掲載したページにリンクが張られているかたどってみます。メールを送ってまで、緊急にWebページを見て欲しいのなら、当然、トップページに近いところにお知らせがあるはずです。もし、そのようなお知らせが無いのであれば、偽物である可能性が高いということになります。
どうしても、本物かどうか確認したいときは、トップページにある問い合わせ窓口から問い合わせてみましょう。ただし、この窓口は、メールに書いてあったページからではなく、本当の会社のページを自分で確認してから接続したWebページで行って下さい。
演習
フィッシング(詐欺)に逢わないためのポイントを、簡潔に整理して書き保存しなさい(箇条書きにしてもよい)。