フィッシング詐欺という言葉をご存知ですか?
フィッシング詐欺とは、スパムメールや偽装メールでいかにもそれらしい偽物のサイトへ誘導し、情報を搾取する行為を指します。
最近は手段が巧妙化し、パッと見偽装メールであることに気がつかなければ、訪問したサイトが偽物であるかもわからないことがあります。
今回はフィッシング詐欺の例とその対策について解説して参りましょう。
メール内のリンクには、「Apple Storeにサインイン」というApple IDの偽サイトが埋め込まれています。
アクセスしてログインすると、請求先住所、クレジットカード情報を入力する画面に遷移するようになっています。
このようにして、Apple IDに関連する情報が窃取されることになります。
緊急性の高い内容でユーザーを油断させることで、偽サイトへ誘導する巧妙な手口です。
ここに記されているリンクをクリックすることで、偽サイトへ到達し乗っ取りや情報の搾取をします。
驚くことにこういった偽サイトは本物のサイトURLと酷似したURLで作成されていることが多いのです。
それでは、偽サイトへのリンクを開く前に確認するべきことは何でしょうか。
メール内にリンクが貼り付けられている場合、安易にリンクをクリックするのではなく、そこに埋め込まれているURLを確認しましょう。
例えば
https://www.○○○.co.jp/
URLの「○○○.co.jp」の部分をWHOIS検索しましょう。
WHOIS検索とは、インターネット資源の登録情報を参照するサービスです。
登録されているIPアドレス、ドメインの利用者名を調べることができます。
JPSRが提供するWHOISサービス http://whois.jprs.jp/
このような検索サービスで該当のURLを検索した際に、本来のサイトとは全く異なる情報が表示された場合は
フィッシング詐欺用のサイトだと考えてよいでしょう。
万一電子メールのリンクからWebページを開いてしまった場合、それが本物のページかを確認する方法があります。
そのためには、表示されたブラウザのURL欄にある鍵マークをクリックします。すると、証明書の内容を表示するボタンやメニューが表示されます。
そこで証明書の内容を確認しましょう。本物の場合、該当の会社名や組織名の記載があります。
なお、証明書の内容は証明書を発行した認証局が確認済みのものとなります。
そもそもSSL証明書が発行されていない場合はセキュリティの対策が甘いサイトの場合が多いです。
クレジットカードやアカウント情報の変更などといった個人情報の入力を促すような内容であるにも関わらず、https表記でない場合は速やかにWebサイトから離脱しましょう。
いかがでしたでしょうか?
皆さんもフィッシング詐欺には十分注意して、自身の情報を守りましょう。
***
CyberSecurityTIMESを運営している弊社サイバーセキュリティクラウドでは、Webセキュリティ対策のソフトウェア「攻撃遮断くん」を提供しております。
専門家によるサポートも充実しております。お気軽にお問合せください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
(2017/10/03執筆、2020/1/21修正・加筆)
この記事と一緒に読まれています
2019.09.24
用語集
2019.05.22
セキュリティ対策
2019.10.02
セキュリティ対策
2019.09.20
用語集
2019.09.10
セキュリティ対策