フィッシングサイトの被害が後を絶ちません。詐欺とは気づかずに個人情報を入力させられ、住所・氏名・IDやパスワードなどの重要な個人情報が第三者に漏洩してしまうケースがほとんどです。私たちはどのように対処すればいいのでしょうか？

フィッシングとは？

フィッシングとは、インターネット上でユーザの住所・氏名・銀行口座番号・クレジットカード番号などの個人情報や、サービスのアカウント情報を奪う詐欺行為のことです。

金融機関やクレジットカード会社からのお知らせのふりをして、メールをユーザに送り付け、メールに記載しているリンクをクリックさせ、偽サイトに誘導する手口が典型的ですが、最近ではSNSのアカウントを乗っ取り、乗っ取ったユーザの友達に書き込みを見に来させて、通販詐欺サイトへの誘導するといったSNSを使った手口や、1つのアカウントでいくつものサービスが利用できる有名なウェブサービスのアカウントを狙って、偽のお知らせで偽ログイン画面へ誘導する手口など、手口が多様かつ巧妙になっております。

フィッシングサイトにはアクセスしないよう注意を！

2011年2月には、偽造したSSLサーバ証明書を使い、クレジットカード会社のサイトに見せかけたフィッシング詐欺サイトも確認されています。ブラウザの警告を無視してアクセスすると、ブラウザのアドレス・バーに「https://」で始まるURLが表示されるため、利用者は本物のサイトだと思いこむ場合もあります。
SSLを使ったフィッシング詐欺が出現、証明書を偽造

銀行や企業・サービスなどから、「個人情報の再登録を」といった内容の電子メールが届いた場合、その電子メールに掲載されているURLを直接クリックするのではなく、まずその銀行や企業・サービスなどの公式サイトを検索エンジンなどで探し、直接アクセスしましょう。

フィッシングサイトの被害を、銀行や企業・サービス等が既に把握していた場合、注意喚起の文章などが掲示されていることもあります。

また、金融機関等が電子メールで重要な個人情報（暗証番号、ID、パスワード等）を問い合せることはまずありません。このような電子メールを受け取ったらフィッシング詐欺だと考えて、慎重になることが大事です。

警視庁「フィッシング110番」によると、以下の個人情報を聞き出そうとすることが多いとされています。

• クレジットカード番号、キャッシュカード番号、暗証番号
• 住所、氏名、電話番号
• オークションやオンラインバンキングサイト等のIDやパスワード

「フィッシング対策協議会」には消費者向け情報として様々なフィッシング詐欺の手口・事例・最新情報などが掲載されていますので、折に触れて確認しておきたいですね。

フィッシングサイトかどうかを見分けるポイント

アクセスしたサイトが本当に企業の提供するサイトであることを確かめるには、まずブラウザのアドレス・バーを確認しましょう。アドレスがーが緑になるEV SSLを導入しているサイトであれば一目でわかりますが、そうでないサイトの場合は、下記の点を重点的に確認してください。

• URLとして表示されているアルファベットに、おかしな点はないか？
• 鍵のアイコンが表示されているか？

鍵のアイコンが表示されていれば、そのサイトがSSLを導入しており「確かにこの企業のウェブサイトである」旨の証明を受けていることが分かります。その鍵のアイコンをクリックすると、証明書の内容を表示することができます。

1. 鍵のアイコンをクリックした後、ダイアログの「証明書の表示」をクリック

2. 「証明書」ダイアログの「詳細」タブをクリックすると、ウェブサイトの運営主体など様々な情報が表示される

もしも鍵のアイコンが表示されていないときは、表示されたページ上にマウスポインタを重ね、右クリックをして「プロパティ」を表示、さらに「証明書」を表示することで、電子証明書の内容を確認することが可能です。

しかし、ブラウザによってアラートが表示されたり、アドレスバーに表示される鍵のアイコンがなにかおかしいと感じる場合は、フィッシング詐欺サイトの可能性を考え、それ以上の閲覧・個人情報の入力行わないようにしましょう。

Google Chromeの場合

「この接続ではプライバシーが保護されません」などのエラーが表示されることがあります。

Internet Explorerの場合

「このWebサイトのセキュリティ証明書には問題があります。」などの警告が表示される場合があります。

認証局のSSLサーバ証明書の導入を！

もしも、貴社のサイトに酷似したフィッシングサイトが作成され、悪意ある第三者に個人情報を搾取されたという被害者が出た場合、次のようなデメリットが考えられます。

• 貴社には責任がないにも関わらず、企業イメージが損なわれる
• 利用者からの問い合わせやマスコミへの対応を考える必要が出てくる
• 「なんとなく怖い」と感じた利用者が貴社サービスを利用しなくなる

そこで、貴社サイトにはSSLサーバ証明書を導入しましょう。
「SSLサーバ証明書を導入していないサイトは、弊社のサイトではありません」と言い切ることができれば、顧客の側もフィッシングサイトかどうかの判断がスムーズにでき、顧客がフィッシング詐欺に遭うというトラブルを防ぐことができます。

認証局のSSLサーバ証明書にはEV(Extended Validation)、企業実在認証、ドメイン認証と3種類のSSL証明書があり、それぞれ以下の違いがあります。

• アドレス・バーが緑色になり、企業名表示になっているサイト(EV)
• 鍵の表示だけのサイト(企業実在認証、ドメイン認証)

後者のクイック認証は、安価でスピーディに証明書の発行を受けられるというメリットがあるのですが、企業の実在性を審査し発行する企業実在認証やEVのほうがより安心感を与えます。

さらに、認証局のSSLサーバ証明書を導入すると、SSLを導入しているサイトの証として、「シール」が配布されます。サイトの利用者はシールをクリックすれば、より分かりやすく運営者の情報と認証項目を確認することができます。

Webサイトを利用する皆さんには、フィッシング詐欺サイトかどうかを確認するため、そして企業がどの程度のセキュリティ意識をもっているのかを確認するために、ぜひとも「どのレベルのSSLサーバ証明書が使われているのか」をご確認いただきたいものです。

また、SSLサーバ証明書の導入は、顧客の個人情報を守り、顧客がフィッシング詐欺被害に遭うことの予防にもつながり、企業側も信頼を得ることができるという、顧客・企業の双方にとってメリットがあります。認証局のSSLサーバ証明書を早めに導入し、セキュリティ意識を高めていくことが、今後ますます重要になるでしょう。