【レポート】
フィッシング詐欺から身を守り、自分も加害者にならないように! - IPAの今月の呼びかけ
IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。フィンシング詐欺について注意喚起するとともに、改正となった不正アクセス禁止法の影響で、自身が加害者となる危険性についても紹介している。
今も続くインターネット上の脅威-フィッシング詐欺
フィッシング詐欺は、以前から存在するインターネット上の脅威で、本物のWebサイトを装い、IDやパスワードを奪取するものだ。その手口は大きく分けて2つある(図1)。
 |
図1 フィッシング詐欺の手口(今月の呼びかけより) |
偽のWebサイトへ誘導するもの(サイト構築型)、メールや添付ファイルにIDとパスワードを入力させる仕掛けが仕組まれたもの(メール送信型)である。いかにも、本物と騙すための罠が仕込まれている。その実例は、フィッシング対策協議会のページなどを見ていただきたい(図2)。
 |
図2 フィッシング対策協議会での報告例(Gmailを騙る事例) |
このようにして、IDやパスワードが攻撃者に奪取される。具体的な被害は、なりすましなどが予想される。もし、フィッシング詐欺を発見、もしくは被害に遭ってしまった場合、フィッシング110番などにすみやかに連絡をとってほしい。
 |
図3 フィッシング110番 |
フィッシング詐欺対策
さて、フィッシング詐欺対策であるが、IPAでは、以下をあげている。
- IDとパスワードの使い回しを避ける
- 添付ファイルに注意する
- URLやドメイン名などに注意する
最初の2つは、フィッシング詐欺だけでなくても、よくいわれることだ。最後のURLとドメイン名について、具体的に紹介しよう。IDやパスワードを入力する必要なWebサイトでは、ほとんどがSSLによる安全な通信を行っている。通信経路を暗号化し、さらに接続するWebサーバーに証明書が付与され、ユーザー側で確認できる。URLが「https:」で始まるサイトといえば思い当たる人も多いであろう。これを確認することで、フィッシング詐欺から守ることができる。まずは、Internet Explorerの場合である。パスワードを入力する際には、アドレスバーを確認する。図4のように青の場合は、通常のサーバー証明書があるサーバーを意味する。鍵のアイコンをクリックすると証明書のドメイン名が表示される。
 |
図4 青の場合、ドメイン名を確認 |
証明書とアドレスバーのドメイン名が一致しているかを確認すればよい。緑になっている場合には、さらに安全なExtended Validation(EV) SSL証明書(より厳しい身元の検証が行われている)を使用している場合である。図5のように会社名や団体名なども表示される。
 |
図5 緑の場合、会社名や団体名を確認 |
Firefoxでも同じ確認を行える。ただし、FirefoxではSSLで保護されていない一般のWebサイトでは、「http:」やトップページの最後の「/」が表示されない。これはアドレスバーを見やすくするための機能だ(図6)。
 |
図6 認証保護のないWebページ |
SSLで保護されたWebページでは、図7のようにアドレスバーが青になり、サイト認証ボタン(アドレスバーの左側)をクリックすると、ドメイン名などが表示される(図7)。
 |
図7 基本的な認証情報のあるWebページ |
Extended Validation(EV) SSL証明書が使用されていると、IE同様に緑になり、サイト運営者も表示される(図8)
 |
図8 完全な認証情報からサイト運営者を確認 |
このように、パスワードを入力する場合やオンライン決済を行う場合には、アドレスバーの色やURLと証明書の内容が同じかを確認するようにすべきである。
不正アクセス禁止法の改正、自分も加害者に!?
2012年3月に不正アクセス禁止法の改正が行われ、5月から施行された。結果
- パスワードを不正に取得・保管・提供する行為
- 騙してパスワードを窃取しようとする行為(フィッシング)
- 不正アクセス行為を目的とし、他人のIDやパスワードを紙やUSBメモリなどで受け取る行為こと
- 不正アクセス行為を目的とし、掲示板で公開された他人のIDやパスワードを、PC内に保存する行為
- 不正アクセス行為を目的とし、掲示板で公開された他人のIDやパスワードを自分のブログや他の掲示板に転載したり、メールで他者に送付したりする行為
- インターネット検索中に偶然他人のIDやパスワードが表示された場合
- 他人のIDやパスワードを一方的に電子メールで送りつけられた場合
あくまでも「不正アクセス行為を目的」という前提がつく。逆に、以下の行為は違反とならないとしている。
しかし、会社や組織などでユーザー管理のために、IDやパスワードを管理することもある。また、オンラインショップや会員制のWebサイトの運営などでも同様の可能性がある。本人には「不正アクセス目的」といった意識はなくとも、結果的に好ましからざる行為に繋がる可能性もあるだろう。サーバー管理者やユーザー管理を行う者は、セキュリティ対策も重要であるが、こういった法制度の改正などにも注意を払い、適切な運用がよりいっそう求められるといえよう。
関連記事
| IPA、6月分のコンピュータウイルスと不正アクセスの届出状況を公開 [2012/7/5] |
| IPA、約6万字を収録する「IPAmj明朝フォント」に約100字を新たに追加 [2012/6/20] |
| Androidアプリの脆弱性、7割超が「アクセス制限の不備」 [2012/6/14] |
| IPAが「Androidアプリの脆弱性に関する」レポートを公開 [2012/6/13] |
| IPA、5月分のコンピュータウイルスと不正アクセスの届出状況を公開 [2012/6/6] |
関連サイト
新着記事
| 【レポート】ついにMacにも本格的な脅威が - シマンテックレポート [19:53 7/9] |
| 【コラム】新・OS X ハッキング! 第54回 新世代のOS Xユーザへ(3):Terminalの暗黒面 [18:04 7/9] |
| 【レポート】Blackhole関連の脅威が継続中 - マカフィーレポート [17:50 7/9] |
| 【レポート】フィッシング詐欺から身を守り、自分も加害者にならないように! - IPAの今月の呼びかけ [15:25 7/9] |
| 【レポート】MSI、大須で自作PC組み立てイベント開催 - 秋葉原顔負けのマニアックな内容 [12:56 7/9] |
特設サイトの情報
人気記事
一覧新着記事
|
応募総数117万2,132件、ニコニコ動画「第4回 動画アワード」グランプリ決定 [21:33 7/9] ホビー |
|
【コラム】口コミで知る全国のご当地グルメ 第1回 カツオ消費量全国1位の高知で知る、新鮮かつ伝統の「カツオのタタキ」 [21:30 7/9] ライフ |
|
ラルフ・ローレンが自身のブランドと5年の契約延長、年間売上2割増を記録 [21:00 7/9] エンタメ |
|
景気回復局面での強さに期待、単位型投信『日本低位割安株ファンド'12-08』 [20:49 7/9] ライフ |
|
「GANGSTA.」特製タロットカードが3巻と@バンチに付属 [20:46 7/9] ホビー |