サービス一覧 » セキュリティ通信
インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。
実在する企業やサービスになりすました偽メールを送り付けて偽サイトに誘導し、ログイン情報やクレジットカード情報を騙し取るフィッシングメールが、毎日大量にばらまかれています。うっかり騙されてしまいそうな巧妙な偽メールが増え、誘導先の偽サイトも本物と見分けがつかないくらい精巧なものが増えてきました。偽物と気付かずに指示に従った結果、アカウントを乗っ取られたり、クレジットカードを不正利用されたりといった被害も多数出ています。しかし、どれだけ巧妙に本物に見せかけた偽メールや偽サイトでも、本物にはなり切れないところが必ずあります。今回は、偽メールや偽サイトを見分けられる、本物との決定的な違いをご紹介します。
ネット上では、自分のところに届いたフィッシングメールを公開している例を多数見かけます。中には真偽を尋ねる投稿もありますが、多くは、偽物だと分かっての投稿です。「使っていないサービスから届いた」「サービスは利用しているが登録していないメールアドレスに届いた」などは、分かりやすい理由ですが、利用しているサービスの登録アドレス宛てに届くと、騙されてしまうかもしれません。
「不自然な日本語」というのも、偽物に気付いた理由として挙げられることが多いものです。フィッシングの仕掛け人の多くは日本人ではないようで、英文を機械翻訳したような、おかしな日本語のメールがまだまだたくさんあります。ところが、違和感のない日本語のメールや公式のメールをコピーしたものもあるので注意が必要です。最近多い請求書を装うメールなども、本物をコピーされると識別が難しくなります。身に覚えのない請求が突然来るため、慌ててキャンセルをクリックしてしまうかもしれません。
図1 不自然な日本語のフィッシングメール例
図2 領収書に見せかけたフィッシングメール例
怪しいと気付くことのできる重要なポイントとして、差出人のメールアドレスと誘導先のURLは必ず確認しましょう。これらは、本物を知らないと真偽が判断できないので少しハードルが高くなりますが、偽物に騙されないようにするためには必須の情報なので、事前に確認しておきましょう。
メールアドレスは、会員登録時やパスワードなどの変更時に届く「確認メール」の差出人を覚えておくか、アドレス帳に登録しておきます。URLは、公式サイトにアクセスし、トップページ、ログインページ、会員ページのアドレスバーの表示を覚えておきます。特に重要なのは、「ドメイン名」の部分です (図3参照) 。
図3 メールアドレス/URLの仕組み:メールアドレスは@の右側、URLは「://」と最初の「/」の間に注目する。「.」で区切られた文字列の下線部分を「ドメイン名」といい、ここが公式のものと一致していることを確認する。
メールの差出人名や差出人のメールアドレスは、郵便で送る手紙と同様、送る側が自由に設定できるので、本物に見せかけるために偽装したものが多々あります。特に差出人名はたいてい偽装されています。ところが、メールアドレスまで偽装したものとなると、その数はぐっと少なくなります。メールアドレスが正しくても本物とは限りませんが、違う場合はほぼ間違いなく偽物です。
表示エリアの狭いスマートフォンの場合には、標準ではメールアドレスが表示されない、表示されるが一部しか見えないというケースがほとんどなので、別途操作が必要です。たいていは、差出人の長押し (タッチしたまましばらく押し続ける) や、「詳細表示」のタップで確認できるので、必ず確認してください (図4) 。
図4 差出人の表示例:メールアドレスが表示されないスマートフォンのメールアプリは、差出人の長押し(タッチしたまましばらく押し続ける)や、「詳細表示」をタップすると確認できる。
図5 差出人の偽装例:名前もアドレスも偽装可能だが、名前だけの偽装が多く、メールアドレスの確認で偽物の大半が分かる。
誘導先URLは、それが公式サイトのものかどうかを確認します。公式サイトのURLで偽物というケースはありません。本物のURLで偽サイトに誘導することは不可能ではありませんが、国内のユーザーを狙ったフィッシングで行われた事例はありません。URLが正しければ本物と考えてよいでしょう。ただし、見た目は本物に見えて、実際は異なるというリンク先の偽装がよく行われるので、注意が必要です。見た目は、「アカウント確認」などの文字列やボタンになっていて、URLが分からない場合もあります。
PC版のメールソフトやWebメールの場合には、マウスカーソルをリンク (図6の例では「今すぐ認証」) の上に移動、スマホの場合はリンク (図7のURL) を長押しすると、埋め込まれている本当のリンク先が確認できます。クリックする前に必ず確かめましょう。
図6 リンク先URLの確認(パソコン):マウスカーソルをリンクの上に移動すると、「今すぐ認証」に埋め込まれているリンク先が確認できる。
図7 リンク先URLの確認(スマホ):見た目のリンクを長押し (タッチしたまましばらく押し続ける) すると、埋め込まれている本当のリンク先が確認できる。
偽メールには、公式サイトとは異なるURLが記載されています。キャンペーンメールの中には、公式サイトとは違うURLにもかかわらず本物というケースもありますが、偽物の識別が難しくなるだけなので、全て偽物と割り切って無視するのが無難です。
アカウントがロックされたとか、不正なアクセスを検出したというような、セキュリティ上の問題を訴えるメールは、フィッシングメールによく使われる手口ですが、URLが公式サイトでないものは無視しましょう。心配な方は、ブラウザのブックマークや使用している公式アプリなどの確かな方法で公式サイトに行き、本当にセキュリティ上の問題が生じているのかどうかを確認すると、安全に確かめられます。
フィッシングのターゲットにされるような大手のサービスの場合には、ログインや会員情報の閲覧・変更などは全て、暗号化通信で行います。暗号化通信ではない場合には、これらの操作を絶対に行ってはいけません。
暗号化通信時は、ブラウザのアドレスバーが「https://」で始まるURLになっており、錠前マークが表示されます。この状態で正しいURLなら本物です。あなたが利用しているサービスが、あなたの利用しているブラウザのアドレスバーでどのように表示されるのか、事前に確かめておきましょう。
アップルをはじめとするサービスでは、暗号化通信時のサーバー証明書にEV (Extended Validation) という種類のものを使用しています。EV証明書は、サイトの運営者が実在する組織であることを証明するもので、この証明書のサイトでは、ブラウザのアドレスバーが緑色に変わり組織名が表示されます。URLを確かめるよりも簡単で確実に本物であることが確認できます。
図8に示したアドレスバーの表示をご覧ください。A (Chrome、Edge、Firefox、Safari) 、B (Mac版とiOS版のSafari) 、C (Internet Explore、Chrome (Android版) ) の3グループに分けて、アドレスバーがどのように表示されるかを示しています。それぞれ上から順に、「暗号化なし」「暗号化あり」「EV証明書」時の表示となります。
図8-A Chrome、Edge、Firefox、Safari:暗号化通信時は錠前マークが付加。EV証明書時は運営者名も表示。※Safariは設定を「Webサイトの完全なアドレスを表示」にした場合のMac版。
図8-B Mac版とiOS版のSafari:アドレスは省略表示。暗号化通信時は錠前マークが付加 (iOS版は証明書の中身の確認不可) 。EV証明書時は運営者名のみの表示 (タップまたはクリックでアドレスを表示)
図8-C Internet Explore、Chrome (Android版) :暗号化通信時は錠前マークが付加 (IEは右側、Chromeは左側) 。EV証明書時のIEは全体が緑色に変わり運営者名も表示。Chromeは表示が変わらない (錠前マークのタップから証明書の中身を確認できる)
サーバー証明書にはこのほかにDV (Domain Validation) とOV (Organization Validation) というタイプがあります。DVはドメインの使用権を持っていることしか確認しないので、それだけではフィッシングサイトかどうか判断できません。OVはEVと同じように運営者の実在性を証明しますが、EVのように厳格な確認ルールはありません。証明書の中身を見ると実在を証明する組織名が書かれているので真偽判定の一助になるのですが、証明書を見ることのできないブラウザでは、DVと同じ扱いです。暗号化通信でなおかつURLが正しい場合が本物です。
図9 暗号化通信に非対応のフィッシングサイト例:パソコンで見た偽マイクロソフト (左) とスマホで見た偽LINE (右) 。錠前マークがないので偽物とわかる。
図10 暗号化通信に対応したフィッシングサイト例:パソコンで見た偽アマゾン (左) とスマホで見た偽アップル (右) 。錠前マークはあるが運営者名はなくアドレスも違うので偽物とわかる。
(執筆:現代フォーラム/鈴木)
|
||
|
