ここ最近、『フィッシング(Phishingと書きます)』と言葉を多くの方が聞いたことあるのではないでしょうか??
また、聞いただけでなく実際にフィッシング・メールを受け取った方、さらに実際に被害にあってしまったという方もいるかもしれませんね。先日、フィッシング詐欺で国内初めての逮捕者が出たとはいえ、手の込んだフィッシング詐欺はまだまだ摘発するのは難しいです。
では、いかにしてフィッシング詐欺に引っかからないようにするか??
日経ネットワーク7月号特集1では、フィッシングの手口と対策と題しましてフィッシングサイトの手口を明らかにし、ユーザー・管理者・Webサイト提供者など立場別に対策を解説していました。
では、まずそもそもフィッシングとは一体どういったものかということをまとめたいと思います。
フィッシングは、2004年末に国内で被害者がでるまではどちらかというと海外で多く見られたメール&Webを利用した詐欺手口でした。しかし、現在では日本でも多くのフィッシングのメールやWebが見受けられUFJ銀行やVISA、NICOSなど国内有名企業を語ったものが出現し、実際に被害に合われた方も出ました。一般的なフィッシングの手口は次の通り。
1:ある日、有名企業(銀行やクレジットカード会社など)を名乗り、ユーザーが一見すると興味を持つようなメールが送られてきます。
2:メールの内容は、「本人確認をしてください」や「このままではアカウントが削除されますので、すぐに情報入力をしてください」などいうようにユーザーの不安をあおる言葉が並び、リンクがはられています。
3:メール本文中に書かれたリンクをクリックすると、本物そっくりのWebページに誘導され、そこでカード情報などの個人情報を入力させられる。
上記のメールやWebは非常にたくみに作られていて、送信元アドレスの偽装やアドレス・バーの偽装などユーザーを欺く仕掛けがふんだんに使われています。
では、いかにしてフィッシングに対抗するのか??対抗手段を
・ユーザー
・管理者
・情報提供者
と3つの立場から見ていきたいと思います。
~ユーザーの立場~
ユーザーにとっての基本的な対策は、騙されない・疑ってかかるといった感じです。
具体的には、個人情報の入力を求めてくるようなメールに対しては、送信元やリンク先をチェックして、本文中のリンクをクリックしないことです。基本的に、送信元やリンク先を詐称することは非常に簡単です。フィッシングに関わるメールやサイトは間違いなく送信元やリンク先、アドレスを詐称しています。ですので、ユーザー側の対策の第1歩としては詐称されていないことを確認することです。
例えば、メールアドレスの詐称に対しては、メールにはヘッダー情報が書かれているのですが、その中に配信される際に通ってきたサーバーの情報が書かれたReceived行というのがあります。
ここは、基本的には改ざんすることが難しいので、Receivedヘッダーの一番下に書かれた情報を参照すればいいのです。
すなわち、ここに書かれたドメイン名と、送信者のメールアドレスのドメイン名が異なっていたら偽装されている可能性が高いというわけです。その他、ユーザー側の対策法としては次のようなものが紹介されていました。
・メールに書かれたリンク先はソースをチェックすることで確認する
・ウィルス対策ソフトやフィッシングサイト(※)警告ツールを利用する
・メールに書かれたリンクを直接クリックするのではなく、Webサイトのドメイン名を手入力してトップ・ページを表示してそこからリンクをたどって目的のページを探す
・SSLが利用されたサイトかどうかを確認。および、サーバー証明書の内容が自分がアクセスしたサイトの会社情報と相違がないかを確認する
※セキュアブレインの「PhishWall」、シンセキュアの「SecureVM for Antiphishing」といったツールが紹介されていました。(どちらも無償)
~管理者の立場~
管理者の対応としては、2つのパターンに分けられます。サーバーを管理する人とネットワーク全体を管理する人です。
サーバー管理者が実施できる対策は、最近少しずつ使われはじめている『送信ドメイン認証』です。こちらは、メールサーバーとDNSサーバーの管理者が実施します。
『送信ドメイン認証』について簡単に説明いたしますと、特定のドメイン名を使ったメールは、特定のIPアドレスを持つメールサーバーからしか送信しないといった情報をDNSサーバーに登録しておくことで、送信者を偽装することを防ぐものです。
送信ドメイン認証を行っているドメインからのメールを受け取った受信者はDNSサーバーに問い合わせ、登録されたメールサーバーから送られてきたものかどうかをチェックするわけです。
送信ドメイン認証には、IPアドレスベースの認証方式を使う『SenderID』と『SPF』、電子署名ベースの認証方式として『DomainKeys』があります。
この送信ドメイン認証を利用してフィッシング・メールで使われる送信者偽装を阻止しようとするわけです。ちなみに、送信ドメイン認証はスパムメール対策にも使われます。
また、ネットワーク管理者の対策としては、URLフィルタリング・ソフトを利用して、ユーザーがフィッシングサイトへアクセスすることを防止することができます。
~情報提供者の立場~
情報提供者の対応も、2つのパターンに分けることができます。メール配信担当者とWebサイト提供者です。
2つのパターンに分けることができるのですが、どちらも根本的な対策は変わりません。それは、提供する情報が本物であるということを証明することです。
先にも書きましたが、フィッシングに対するユーザー側の対策は書かれた情報を疑うこと。ですので、情報提供者としてはユーザーに正しい情報だということを証明する必要があるわけです。
詳しい解説は省略させていただきますが、メールではS/MIMEやPGPといった技術を利用したり、Webサイトでは対策ソフトを利用したりすることが有効です。
以上のように、ざっとですがユーザー・管理者・情報提供者という3つの立場からのフィッシング対策を紹介しました。この中でも、多くの方にとってはユーザー側の対策が当てはまると思います。
怪しいメールにはくれぐれも気をつけて、犯罪に巻き込まれないよう気をつけましょう!!
By pingpan
※pingpanさん、ありがとうございます。フィッシングメールは、日本でもどんどん増えてきていますね。特に、つい先日のVISAやMasterのクレジットカード流出をネタにしたフィッシングメール増えそうです。一番効果的なのは、セキュリティ意識を高めることですよね。(Gene)
日経NETWORKの詳細、購読申し込みはこちら↓
