日本では、前回紹介した 「ワンクリック詐欺」の被害が 後を絶たないようですが、 アメリカをはじめとする欧米諸国で 今問題になっているのが 「フィッシング詐欺」です。 なんと、日本でも昨年末から被害が報告され、 これからも拡大するといわれています。 一回の被害額がワンクリック詐欺よりも 大きくなりやすい! というフィッシング詐欺。 今回はこれを説明します。
実際に、被害に遭いかけた方からのメールを 紹介します。
思いとどまって、よかったですね! これは、発表されている代表的な手法です。 フィッシング詐欺でよく利用されているのが、 金融機関を騙ったメールです。 あなたの利用先を調べてからメールが来るわけではなく、 ほとんどは無差別の大量な迷惑メールです。 しかし、顧客の多い金融機関など 数えるほどしかありませんから、 けっこう利用者に当たってしまうようなのです。 ちなみに、フィッシング詐欺の「フィッシング」は、 英語で書くとphishingです。 「釣り」を意味するfishingと、 「精巧な、世慣れた、純真でない」という意味の sophisticateとの造語だといわれています。 既存の企業のインターネットサイトを模倣して それをエサにだますのが「フィッシング詐欺」です。 前回の「ワンクリック詐欺」の場合は、 デートのお誘い(もちろんウソですよ!)や エロサイトの紹介といった、 一見楽しげ(?)なメールが多いようです。 最終的には、「ワンクリック詐欺」の犯人は ハッタリのページを見た被害者が お金を振り込んでくるのを待っているだけでした。 それに対して「フィッシング詐欺」は、 まじめな顔つきで、あなたの取引先を装った内容の メールを送ってきます。 そして大きな違いとして、 お金を取られたことに気づきにくい、 という致命的な問題があります。 「フィッシング詐欺」に引っかかって、 あなたの口座番号や暗証番号を入力し送信すれば、 暗証番号つきでキャッシュカードを盗まれたのと 同じことです。 「ワンクリック詐欺」が、 インターネットサイトを使った ハッタリの詐欺であるとすると、 「フィッシング詐欺」は、 インターネットサイトの “真似しやすさ”を狙った、 「はりぼて」の詐欺といえます。
フィッシング詐欺の目的は「個人情報を盗む」ことです。 目的はひとつ、でもいろいろな策を弄して 被害者がスムーズに情報を送るように仕向けています。 流れはこんな感じです。 1.銀行やクレジットカード会社、 ネットショッピング、ネットオークション、 会員制のサイトなどを名のったメールが来る。 第1回の「迷惑メール」でも紹介しましたとおり、 メールの送信者(FROMのところ)は、 送り手が勝手に変えることができます。 2.メールにあるリンク先のHPに アクセスするように求める。 メールにあるURLが本物のように見えても、 HTMLメールなどの、クリックしてすぐに サイトを表示できるメールの場合、 これをうそのサイトにつなぐことができます。 たとえば、下のURLは一見同じ 「ほぼ日」のホームです。 でもクリックすると、違うページが現れるように 作ってみました。 https://www.1101.com/home.html(本物) https://www.1101.com/home.html(偽物) この偽物のページが、もっと本物のページの 画像やデザインを使って、 まったく同じようにできていたら、 うっかり信じてしまいそうです。 3.クリックして開いたサイトに、 個人情報を入力する箇所がある。 フィッシング詐欺では、ここの部分に あの手この手の工夫がされています。 しかし多くは次の二種類です。 ・本物のページを真似たブラウザ画面が表示される。 これはすぐ上で見たとおり、精巧に似せて作られた 偽物です。 本物のページから画像やデザインを真似することは 実はそう難しくないので、 そこがインターネットサイトの弱点ともいえます。 ・クリックするとブラウザ画面が2つ開く。 (または2分割のページが開く) こちらの画像をご覧ください。 大きいほうの窓は、実在する企業などのサイトを リンクしてすぐ開くようにしてあり、 同時に開く小さいほうの窓 (ポップアップウインドウ)に詐欺の画面が現れます。 こちらに個人情報を入力するようにと書いてあります。 4.個人情報を記入し、送信すると、 情報が詐欺の犯人に送られる。 ここでいう個人情報は、「銀行の口座番号」 「クレジットカード番号」「暗証番号」「パスワード」 「ログインID」などです。 インターネットバンキングや ネットショッピングを利用していれば、 ブラウザに入力したことがあると思います。 以上です。そのあとは一見、何も起こりません。 しかしこれがフィッシング詐欺であれば、 もうどうなってしまうか、 ちょっと考えたくないですよね。 フィッシング詐欺の第一に恐いところは、 ・メールの差出人や件名 ・ブラウザ画面 ・ブラウザに表示されるURL ・ブラウザに表示されるSSL通信中の表示 をすべて偽装されてしまうことです。 メールの差出人や件名、ブラウザ画面は、 これまでにお話したとおりです。 他の偽造についてもう少し詳しく説明します。 ・ブラウザに表示されるURL 今まであやしげなサイトかどうかを見るとき、 ブラウザの上のほうにあるアドレスバーのURLを見て 判断していた方も多いと思います。 しかし、フィッシング詐欺の場合、 これをJavaScriptなどの技術を使って 実在するサイトを装ったり、 画像をかぶせて偽のURLに見せかけたり、 はたまた表示しないようにしていたりする ものがあります。 ・ブラウザに表示されるSSL通信中の表示 SSLとは、インターネットで情報をやり取りする際の、 暗号化をはじめとする保護のための技術です。 「ほぼ日」ストアでももちろん、 このSSLでみなさんのお買い物を保護しています。 SSLを使っているかどうかは、データを入力するページに、 鍵のマークがついているかどうかで確認できます。
しかし残念なことに、 これも偽装できることがわかっています。 つまり、あれもこれも 「はりぼて」の偽物なのです。
まったく、何を信じたらいいのか わからなくなってしまいそうですが、 その対抗策は気持ちひとつです。 「前置きなしに来たメールの リンク先をクリックしない」 これだけです。 たとえば、「ほぼ日」ストアからは、 みなさんのお買い物の直後にお送りする 「ご注文確認メール」や、 デリバリー版登録の確認メール以外に、 個別のURLを配したメールをお送りすることはありません。 取引先の金融機関、ショッピングサイトなどに 接続するときは、URLを直接入力するか、 ブックマーク(お気に入り)から接続 しましょう。 各金融機関や会員制のサイトでも、 個人情報を、メールで確認したり、 メールのリンク先から入力させることはない、 と注意を出しています。 ご利用の方はぜひ見てみてくださいね。
あやしげなメールが来たら、 無視して削除しましょう。 そのメールに返信したり、疑わしいサイトの 「問い合わせ先」などに決して連絡しないで、 気になるときは、その金融機関に 直接問い合わせをしましょう。 以下に、公的なサイトでフィッシング詐欺について 説明しているものをあげます。 フィッシング詐欺は、たいへんな犯罪です。 このようなあやしげなサイトに出会ったら、 すぐにその金融機関(本物のほうの!) などに届けたり、警察に知らせましょう。 +警察庁 フィッシング110番 http://www.npa.go.jp/cyber/policy /phishing/phishing110.htm +警視庁 http://www.keishicho.metro.tokyo.jp/ haiteku/haiteku/haiteku406.htm +総務省 http://www.soumu.go.jp/joho_tsusin/ d_syohi/pdf/sagi.pdf (pdfファイルをダウンロードして表示します。) +国民生活センター http://www.kokusen.go.jp/news/data/n-20041105_4.html +東京都消費生活総合センター 東京くらしねっと http://www.shouhiseikatu.metro.tokyo.jp/kurashi /0502/wadai.html
|
|||||||||||||||||||||||||||||||||||
2005-03-09-WED
戻る |