フィッシングサイトの被害が後を絶ちません。詐欺とは気づかずに個人情報を入力させられ、住所・氏名・IDやパスワードなどの重要な個人情報が第三者に漏洩してしまうケースがほとんどです。私たちはどのように対処すればいいのでしょうか?

フィッシングとは?

フィッシングとは、インターネット上でユーザの住所・氏名・銀行口座番号・クレジットカード番号などの個人情報や、サービスのアカウント情報を奪う詐欺行為のことです。

金融機関やクレジットカード会社からのお知らせのふりをして、メールをユーザに送り付け、メールに記載しているリンクをクリックさせ、偽サイトに誘導する手口が典型的ですが、最近ではSNSのアカウントを乗っ取り、乗っ取ったユーザの友達に書き込みを見に来させて、通販詐欺サイトへの誘導するといったSNSを使った手口や、1つのアカウントでいくつものサービスが利用できる有名なウェブサービスのアカウントを狙って、偽のお知らせで偽ログイン画面へ誘導する手口など、手口が多様かつ巧妙になっております。

フィッシングサイトにはアクセスしないよう注意を!

2011年2月には、偽造したSSLサーバ証明書を使い、クレジットカード会社のサイトに見せかけたフィッシング詐欺サイトも確認されています。ブラウザの警告を無視してアクセスすると、ブラウザのアドレス・バーに「https://」で始まるURLが表示されるため、利用者は本物のサイトだと思いこむ場合もあります。
SSLを使ったフィッシング詐欺が出現、証明書を偽造

銀行や企業・サービスなどから、「個人情報の再登録を」といった内容の電子メールが届いた場合、その電子メールに掲載されているURLを直接クリックするのではなく、まずその銀行や企業・サービスなどの公式サイトを検索エンジンなどで探し、直接アクセスしましょう。

フィッシングサイトの被害を、銀行や企業・サービス等が既に把握していた場合、注意喚起の文章などが掲示されていることもあります。

また、金融機関等が電子メールで重要な個人情報(暗証番号、ID、パスワード等)を問い合せることはまずありません。このような電子メールを受け取ったらフィッシング詐欺だと考えて、慎重になることが大事です。

警視庁「フィッシング110番」によると、以下の個人情報を聞き出そうとすることが多いとされています。

  • クレジットカード番号、キャッシュカード番号、暗証番号
  • 住所、氏名、電話番号
  • オークションやオンラインバンキングサイト等のIDやパスワード

フィッシング対策協議会」には消費者向け情報として様々なフィッシング詐欺の手口・事例・最新情報などが掲載されていますので、折に触れて確認しておきたいですね。

フィッシングサイトかどうかを見分けるポイント

フィッシングサイトの見分け方 アクセスしたサイトが本当に企業の提供するサイトであることを確かめるには、まずブラウザのアドレス・バーを確認しましょう。アドレスがーが緑になるEV SSLを導入しているサイトであれば一目でわかりますが、そうでないサイトの場合は、下記の点を重点的に確認してください。

  • URLとして表示されているアルファベットに、おかしな点はないか?
  • 鍵のアイコンが表示されているか?

鍵のアイコンが表示されていれば、そのサイトがSSLを導入しており「確かにこの企業のウェブサイトである」旨の証明を受けていることが分かります。その鍵のアイコンをクリックすると、証明書の内容を表示することができます。

1. 鍵のアイコンをクリックした後、ダイアログの「証明書の表示」をクリック

鍵のアイコンをクリックした後、ダイアログの「証明書の表示」をクリック

2. 「証明書」ダイアログの「詳細」タブをクリックすると、ウェブサイトの運営主体など様々な情報が表示される

「証明書」ダイアログの「詳細」タブをクリックすると、ウェブサイトの運営主体など様々な情報が表示される

もしも鍵のアイコンが表示されていないときは、表示されたページ上にマウスポインタを重ね、右クリックをして「プロパティ」を表示、さらに「証明書」を表示することで、電子証明書の内容を確認することが可能です。

右クリック⇒プロパティ

しかし、ブラウザによってアラートが表示されたり、アドレスバーに表示される鍵のアイコンがなにかおかしいと感じる場合は、フィッシング詐欺サイトの可能性を考え、それ以上の閲覧・個人情報の入力行わないようにしましょう。

Google Chromeの場合

この接続ではプライバシーが保護されません」などのエラーが表示されることがあります。

Chromeの場合「この接続ではプライバシーが保護されません」などのエラーが表示される

Internet Explorerの場合

「このWebサイトのセキュリティ証明書には問題があります。」などの警告が表示される場合があります。

IEの場合「このWebサイトのセキュリティ証明書には問題があります。」などの警告が表示される

ファーミングにも注意を!

「ファーミング」は、利用者が銀行や企業等の正しいURLを入力しているにも関わらず、偽サイトに自動的にアクセスさせるという方法です。

この方法は、悪意のある第三者が、
・利用者のコンピュータにある hosts ファイルを書き換える
・DNS サーバに虚偽の情報を書き込む
といった方法で偽サイトにアクセスさせるものですので、ブラウザのアドレス・バーに表示されるのは正しいURLのままです。

そのため、ユーザとしてはフィッシング詐欺サイトにアクセスしていると気付きにくいのですが、
・ウィルス対策ソフトの導入
・ブラウザのアドレス・バーに鍵のアイコンが表示されているかの確認
を習慣づけることが重要でしょう。

ファーミング詐欺の流れ

認証局のSSLサーバ証明書の導入を!

もしも、貴社のサイトに酷似したフィッシングサイトが作成され、悪意ある第三者に個人情報を搾取されたという被害者が出た場合、次のようなデメリットが考えられます。

  • 貴社には責任がないにも関わらず、企業イメージが損なわれる
  • 利用者からの問い合わせやマスコミへの対応を考える必要が出てくる
  • 「なんとなく怖い」と感じた利用者が貴社サービスを利用しなくなる

そこで、貴社サイトにはSSLサーバ証明書を導入しましょう。
「SSLサーバ証明書を導入していないサイトは、弊社のサイトではありません」と言い切ることができれば、顧客の側もフィッシングサイトかどうかの判断がスムーズにでき、顧客がフィッシング詐欺に遭うというトラブルを防ぐことができます。

認証局のSSLサーバ証明書にはEV(Extended Validation)、企業実在認証、ドメイン認証と3種類のSSL証明書があり、それぞれ以下の違いがあります。

  • アドレス・バーが緑色になり、企業名表示になっているサイト(EV)
  • 鍵の表示だけのサイト(企業実在認証、ドメイン認証)

後者のクイック認証は、安価でスピーディに証明書の発行を受けられるというメリットがあるのですが、企業の実在性を審査し発行する企業実在認証やEVのほうがより安心感を与えます。

さらに、認証局のSSLサーバ証明書を導入すると、SSLを導入しているサイトの証として、「シール」が配布されます。サイトの利用者はシールをクリックすれば、より分かりやすく運営者の情報と認証項目を確認することができます。

SSLを導入しているサイトの証「シール」

Webサイトを利用する皆さんには、フィッシング詐欺サイトかどうかを確認するため、そして企業がどの程度のセキュリティ意識をもっているのかを確認するために、ぜひとも「どのレベルのSSLサーバ証明書が使われているのか」をご確認いただきたいものです。

また、SSLサーバ証明書の導入は、顧客の個人情報を守り、顧客がフィッシング詐欺被害に遭うことの予防にもつながり、企業側も信頼を得ることができるという、顧客・企業の双方にとってメリットがあります。認証局のSSLサーバ証明書を早めに導入し、セキュリティ意識を高めていくことが、今後ますます重要になるでしょう。

トピック関連記事

#

2017年11月28日

過去のSSL/TLS攻撃事例から対策を学ぶ

#

2014年06月09日

OpenSSLの新たな脆弱性について

#

2019年03月14日

PDF署名検証における脆弱性の危険

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。