コンピュータ用語学び塾

外国語の基本は英単語、パソコンやインターネットも“コンピュータ用語”が大事ですね。初心者向けに分かりやすく紹介します。

フィッシング詐欺は、偽りのホームページに誘導し個人情報を盗む詐欺、その対策とは

2009-09-27 21:06:06 | 安全・安心用語(セキュリティ用語)
フィッシング詐欺は、実在する企業や組織から送られたように見せかけたメールで、偽のホームページに誘導し、パスワード、クレジットカード情報などの個人情報を入力させ盗むオンライン詐欺のことです。なお、メール以外にSNSでも、危険なURLから偽のホームページに誘導する、フィッシング詐欺が増えていますので注意下さい。

フィッシング詐欺は、“インターネット版振り込め詐欺”とも言われています。

フィッシング詐欺の多くは、URLをクリックさせることにより、偽の金融機関やショッピングサイトなどにユーザを誘導し、クレジットカード番号やパスワードなどをだまし取ります。年々その手口は巧妙化しています。


■無料のWeb安全チェックサービス「gred(グレッド)」

なお、ホームページには、フィッシング詐欺以外に、危険なソフトも潜んでいますが、実は、ホームページが安全かどうかをチェックできるサービス、「gred(グレッド)」があります。

もし、不安になるURLがあれば、この「gred(グレッド)」で確認してみましょう。*操作方法は、添付の図を参照下さい。

 無料のWeb安全チェックサービス「gred(グレッド)」
 http://www.gred.jp/

このサービスは、ホームページが安全かどうかを、代理で確認してくれます。

フィッシング詐欺やワンクリック詐欺といった不正な処理がないか、マルウエアなどが仕込まれていないかといった内容を、事前に確かめることが可能です。

gred(グレッド)は、URLをブラックリストと照合して判定するのではなく、セキュアブレインの解析エンジンがWebページのコンテンツを実際に取得して安全性を検証しています。



■ SNS、動画共有サイト、ブログのURLにも要注意!


なお、SNS、動画共有サイト、ブログにあるURLにも注意が必要です。

実は、SNSは比較的閉じたコミュニティであるため、危険なホームページに誘導する、フィッシング詐欺師のわなを信用しやすい、ということが言われています。

少し前の情報になりますが、セキュリティの教育・研究機関である米SANS Instituteは2007年5月16日、SNSのユーザーは、フィッシング詐欺のターゲットになりやすいとして注意を呼びかけました。

 参考情報:フィッシング詐欺はSNSユーザーを狙う――米SANSが警鐘 :ITpro
      http://itpro.nikkeibp.co.jp/article/NEWS/20070517/271393/

この情報によると、インタビューしたフィッシング詐欺師によると、「MySpace」や「Facebook」、「LinkedIn」といったSNSのユーザーを対象にフィッシングを繰り返して個人情報を詐取し、その情報を売りさばいていたそうです。

また、米インディアナ大学の研究者が実施した調査結果によると、全く知らないところから送られた偽メールにだまされたのは15%ですが、SNSの知り合いから送られたように見せかけた偽メールには、受信者の72%がだまされたそうです。



■ フィッシング詐欺はより高度に、SSLサイト悪用のフィッシングが急増


なお、これまで、データを暗号化してやり取りする、SSLを使ったホームページ(URLが「https://」)は、安心して利用できると言われてきましたが、その神話も崩れ、SSLサイト悪用のフィッシングが急増し、SSLの「鍵マーク」が出ても注意する必要があると言われています。

インターネットは技術の進歩が激しく、便利さに加え危険さも進歩しています、「これまでは大丈夫だった」というのは、インターネットでは通用しないですね。

 「鍵マークが出ても過信は禁物」、SSLサイト悪用のフィッシングが急増:ITpro
 http://itpro.nikkeibp.co.jp/article/NEWS/20090709/333576/

米国のセキュリティ対策企業シマンテック社は、正規のSSL証明書を使い、正規サイトを装ったフィッシング詐欺が増えているとして注意を呼びかけています。「SSLだから大丈夫」と過信するのは危険だそうです。


≪補足≫SSLとは

Secure Sockets Layerの略で、世界標準のセキュリティ機能です。SSLは、インターネット利用者がWebブラウザで入力したデータ(クレジットカード番号、個人情報など)を暗号化し、Webサーバへ伝送します。

SSLを利用すれば、インターネット上でやりとりされているデータの「盗聴」、「なりすまし」、「改ざん」、「否認」などのリスクを防止でき、ホームページ上で入力された個人情報が安全にデータ伝送されていることになります。

なお、SSLが導入されているホームページは、URLが「http://」から「https://」になります。

これまでは、SSLが導入されURLが「https://」になっているホームページは安心して利用できると考えられていましたが、今後は、SSLを使っていてもフィッシング詐欺の可能性があるので注意が必要です。



■ メールの中のURLに注意、安易にクリックしないこと!


フィッシング詐欺で注意しないといけないのは、まずは、メールの中にあるURLです。

メールの中のURLを安易にクリックすると、これまで見たことのある本物そっくりの偽りのホームページに誘導され、個人情報を入力するように誘導され、個人情報を盗まれます。

なお、メール中のURLから誘導されたホームページでは、個人情報を安易に入力してはいけないと言われています。


■ Yahoo! JAPANをかたるフィッシング

国内においては、そのユーザー数の多さから、Yahoo!をかたるフィッシング詐欺がたびたび出現しています。

つい最近も、「Yahoo! Auctionsよりご案内です」として、偽りのホームページに誘導し、住所、氏名、クレジットカード情報などの個人情報を盗むフィッシング詐欺メールが出回っています。

 参考情報:ヤフーをかたるフィッシング詐欺が続出、業界団体が緊急警告:ITpro
      http://itpro.nikkeibp.co.jp/article/NEWS/20090916/337307/

この情報によると、ヤフーをかたる偽メールは3種類あり、偽メールの件名は、いずれも”【重要なお知らせです】”になっているようです。

本文では「Yahoo! Auctionsよりご案内です」とし、メールのURLにアクセスし、会員情報を更新するよう促し、「更新を行われない場合出品制限等の不具合を起こす場合もありますのでご協力お願い致します」としています。

このURLにアクセスすると、ヤフーのユーザー登録ページに見せかけた、偽りのホームページが表示され、このホームページで入力した、住所、氏名、クレジットカード情報などの個人情報が攻撃者に送信されます。

このフィッシング詐欺の詳しい内容は以下を参照下さい。

 参考情報:フィッシング対策協議会 Council of Anti-Phishing Japan
      http://www.antiphishing.jp/database/database1001.html



■ フィッシング詐欺対策は複数の対策で



メールやSNS、動画共有サイト、ブログのURLを安易にクリックしないことも大事ですが、万が一クリックしても、フィッシング詐欺のホームページを検知するようにすることが必要です。

また、この検知も一つの方法ではなく、複数の方法を使うことが大事です。


■対策その1:ブラウザでフィッシング詐欺対策を実施する

使っているブラウザにフィッシング詐欺対策があるか確認下さい。Internet Explorer (以降、IE)の場合、フィッシング詐欺対策があるのはIE7以降です。

その他のブラウザ、Firefox、Chrome、Safari、Operaにも、フィッシング詐欺対策が備わっています。

次に、ブラウザのフィッシング詐欺対策が有効になっているか確認下さい。


■対策その2:ウイルス対策ソフトでフィッシング詐欺対策を実施する

できれば、フィッシング詐欺対策があるウイルス対策ソフトを利用下さい。最近のウイルス対策ソフトには基本的にフィッシング詐欺対策があります。

次に、ウイルス対策ソフトのフィッシング詐欺対策が有効になっているか確認下さい。


■対策その3:”無料のWeb安全チェックサービス”を使って確認する

ホームページが安全かどうかをチェックできるサービスがあります。もし、不安になるURLがあれば、下記の「gred(グレッド)」で確認しましょう。

 無料のWeb安全チェックサービス「gred(グレッド)」
 http://www.gred.jp/



最新の画像もっと見る

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。