|
ヨシポンの情報源
お役立ち情報
|
|
フィッシング詐欺とは、ユーザーを偽のWebサイトに誘導して個人情報などを盗む詐欺行為のことで、いわゆる「釣られる」被害者が増大しております。
迷惑メールの一種である送信元を偽った電子メールや、有名なサイトに似せて作られたWeb サイトへ、ユーザーに気づかれないように誘導し、個人情報 (特に銀行の暗証番号やクレジットカード番号など) を詐取します。
●手口
次のような手順で個人情報を引き出します。
(ア) プロバイダや銀行、有名ポータルサイトなど、一般的にユーザーが取引して いると思われるサイトを装って電子メールを送りつける。
(ロ) 本文には個人情報の入力を促す案内文とWebページへのリンクが載っている。
(ハ) リンクをクリックするとその金融機関そっくりのWebサイトが表示され、個人 情報入力へ誘導する。
(メインウィンドウに表示されるサイトは「本物」で、ポップアップページだけが「偽物」で、そこに個人情報を入力させれると言った手の込んだものも出現しているようです。)
(ニ) 偽物と気づかずに、表示された入力フォームに暗証番号やパスワード、クレジットカード番号などを入力・送信する。
----------------------------------------------------
このようなメールによる成りすましの他に、各種のWebサイトで個人情報を入力する際には、そのサイトが本物かどうかをしっかりと見分けることが必要です。
これらに対処するには、いくつかの対策が必要であります。
●「フィッシング詐欺」防御対策
? 技術的対策として、Internet Explorer のセキュリティ更新プログラム をイン ストールして、URLを偽装できるセキュリティ・ホールなどを塞ぐ。
(Windows Update からインストールすることができます。)
? ブラウザ右下のステータスバーに表示される「鍵」のマークを確認する。
又は、ホームページアドレスが「https」で始まっているかどうかを確認する。
(ステータスバーが非表示になってりう場合は、メニューの「表示」⇒「ステータスバー」をクリックします。)
どのような個人情報であっても、送信する前にインターネットエクスプローラのステータスバーに黄色の「鍵」のマークがあることを確認することにより、そのWebサイトのセキュリティが確実なものかどうかを確認することができます。
この印は、Webサイトがクレジットカード番号などの個人の極秘情報を送受信する際に、暗号化(SSL/TLS)を使用しているかどうかを表しています。
(SSL/TLS) は、情報を暗号化してその情報を保護する目的で使用されますが、その他データの送信先が正しいサイトであることを証明する役割も果たします。
正しいサイトかどうかを確認するには、「鍵」マークをダブルクリックして当該サイトを提供しているデジタル証明書をチェックします。
「鍵」をダブルクリックして、【発行先】に表示されている名前が、もしも表示中のページを提供しているサイトの名前と異なる場合は、ブラウザを終了しそのサイトの閲覧を中止します。
≪例≫・ヤフーショッピングの場合(発行先:order.store.yahoo.co.jp)
・楽天の場合(発行先:order.step.rakuten.co.jp)と表示されている。
? 気になる「リンク」はそのままクリックせずに、アドレスを直接アドレス バーに自分で手入力する。機密情報を不審な Webサイトあるいは不審な電子メールからリンクされた Webサイトから入力しない。
リンク部分をポイントすると、その Webサイトのアドレスがウィンドウ下部のステータスバーに表示されます。リンクをクリックしてブラウザで表示すると、通常、その Webサイトのアドレスがブラウザのアドレスバーに表示され、その Webページのタイトルがウィンドウのタイトルバーに表示されます。
しかし、ステータスバー、アドレスバー、およびタイトルバーに正当な Webサイトのアドレスが表示されていても、その実際のリンク先は悪意のある"成りすましの" Web サイトである場合があります。
偽装リンク"成りすまし”から自分を守る最も効果的な方法は、当たり前のことですが疑わしいリンクはクリックしないことです。リンクをクリックする代わりに、移動先のサイトのアドレスをアドレスバーに手入力します。
アドレスをアドレスバーに手入力することにより、移動先のWebサイトにアクセスするときブラウザ(IE)によって実際に使用される情報が確認できます。
リンク先のアドレスが表示されていないときは、リンク先の文言やアイコンを選択して⇒右クリック⇒「プロパティ」から、リンク先のアドレスを確認します。
そのアドレスを、別途に立ち上げたIEのアドレスバーに手入力してみます。
?ハイパーリンクに使用されているURLを特定して確認する。
・・・<マイクロソフト社のページより参照>・・・
リンク部分を右クリックし「ショートカットのコピー」でアドレスをコピーした後、メモ帳などに貼付けて確認します。以下のような文字がURLに表示される場合は、成りすました Webサイトにリンクされている可能性があるとされています。
{ %00、 %01、 @ }
?その他
・すべての電子メールメッセージをテキスト形式で表示する。
・ 送信者欄の名前を信用して鵜呑みにしない。
・ メールに示された連絡方法(リンクなど)以外の、電話番号やURLなどから本物かどうかを確認する。
------------------------------------------------------------
*** 補足【フィッシングは phishing と書く】***
「ユーザーを釣る」ということで、意味的にはfishingなのだが、phishingと書く。
なぜ“f”ではなく“ph”なのか? IT用語を解説する「Word Spy」によると、
ユーザーを釣るためのえさ(メール)が“sophisticated”されているためだ
という。・・・ <IT Pro 解説より>・・・
2005.4.4
|
|
|
ヨシポンの情報源
|
