フィッシング詐欺への対策

カテゴリ: 今月のヒヤリ

フィッシング詐欺という言葉はみなさん聞いたことがありますでしょうか?

 

言葉の意味を調べてみると、フィッシングとは、インターネットのユーザから経済的価値がある情報(例:ユーザ名、パスワード、クレジットカード情報)を奪うために行われる詐欺行為であり、典型的には、とにかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することである(出典:wikipedia)とあります。

 

典型的な例でいうと、会員制ウェブサイト(SNS)や有名企業を装い、「ユーザーアカウントの有効期限が近づいています。」などと、本物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールが届き、そのリンク先のページに情報を入力することによって、クレジットカードの会員番号といった個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを第三者に漏洩してしまうことです。

 

もし、クレジットカードの会員番号や各種サービスのIDやパスワード等の個人情報が漏洩してしまったら大変なことになるのは想像がつくと思います。
なので、フィッシング詐欺の被害を未然に防ぐためにどういった対策ができるのか一部具体例をあげ、考察してみます。

 

不審なメールが届いた場合、
・メールアドレスが正しいものか確認する。
・メールに記述されているURLリンクが正しいものか確認する。
・電子署名がされていることを確認する。
また、ウェブサイト閲覧時の場合、
・SSL証明書を確認する。
ということがあげられると思います。

 

まず、メールアドレスが正しいものか確認するということですが、フィッシング詐欺を騙るメールではメールアドレスの一文字(一部)が違うものになっていることが多く、送信元が信頼できるドメインのものか確認することにより、被害を防ぐことができると考えます。
同様に,URLリンクが正しいものか確認するということですが、HTMLメールではリンク先のページを表示されているものと別のものにすることができるので、リンク先に埋め込まれている実際のURLを確認するという作業も大切だと考えます。
また電子署名を確認するということについては、電子署名をメールに付与することによって送信途中に改ざんされた場合に署名が変化しメール受信の際に警告が出ます。
また、通常フィッシングメールに電子署名はありません。なので電子署名を確認することによりそのメールが途中で改ざんされているか否かを判断することができると考えます。

 

ウェブサイト閲覧時にSSL証明書を確認するということつきましては、前のセキュリティブログでより詳しい説明があったので簡潔になりますが、本物のウェブサイトか判断することができます。

 

まだまだ対策すべきことはありますが、こういった意識を持つことでよりセキュリティというものに関心を持ちフィッシング詐欺の被害を未然に防ぐことができると考えます。

 

ITという便利なものが身近な存在にある現代社会において、セキュリティの意識を少しでも向上することがより快適なITライフを送るために必要なことだと思います。
「自分は大丈夫。」と思いがちですが、今一度自分自身の意識を再確認してみてはいかがでしょうか。