セキュリティ

フィッシング(phishing)とは、インターネット上でユーザーのIDやPWなクレジットカード番号などを盗み取ろうとする悪質な詐欺

2016.05.15
この記事は約3分で読めます。

phishing巧妙かつ悪質なフィッシングメールが飛び交っている。本日届いたフィッシングメールはスクエアエニックスを名乗ったもので、非常に巧妙にできていた。送信元のメールアドレスは本物で、メール内にhtml表示されているURLも本物。これでは騙されてしまう可能性が高い。
ただし、表示されているURLをクリックすると、誘導されるURLは表示されている本物のURLとは違うURLになっていた。このメールはhtmlメール(いわゆるリッチテキストメール)なので、表示されているURLと実際のURLは変えることができるということを応用したものだ。

▼送られてきたフィッシングメールをhtml表示(なりすましの詐欺メール)
fishingmailsqenix.jpg

非常に巧妙にできたフィッシングメールである。

しかし、遠田は通常htmlメールは読まない。悪意を持ったジャバスクリプトなどのプログラムが埋め込まれている危険があるからである。メールソフトは秀丸メールを使い、プレーンテキストに変換して、文字だけで読んでいる。そのため、このようなメールが来ても直接的に騙される可能性は低い。

▼秀丸メールではシンプルなテキストで読んでいる。htmlメールとして読もうとすると警告が表示される。
hirobadbxjp.jpg

メールの使い方としてhtmlメールはデザインされていて写真やデザインもわかりやすいが、フィッシングメールだった場合は見ぬくのが難しい。安全な運用を重視するなら、秀丸メールのようなテキストでのメールにするといいだろう。

▼当サイト内で紹介している秀丸メール
/itweb/hidemaru/

また、実際にURLをクリックしたとしても、フィッシングにひっかからない方法がある。

それは、開いたWEBページのアドレス(URL)がSSLかどうかを見ることである。

フィッシングサイトのURLはSSLではない

通常、IDやPWを入力するページはSSL通信をしているはずである。SSLであれば通信経路は暗号化されるのでPWを盗み見られる可能性は激減する。そしてSSLであれば、「http」ではなく「https」で始まるURLになっている。(httpの後ろにsがつく)

SSL表示されているページは認証機関から認証されているので安心だ。フィッシングサイトはSSL表示できないはずなので、とりあえずSSLになっているかどうかを見れば、かなりの確率で安全性を確認できる。

▼スクエアエニックスでフィッシングサイトの見分け方でもSSL表示であるかどうかを確認するように推奨されていた

sslsamplesqenix.jpg
出典http://www.jp.square-enix.com/info/1308_attention.html#phishing01

フィッシングメールにひっからない方法をまとめると
1.プレーンテキストメールで読むようにする(htmlメールは読まない)
2.メール内のURLをクリックして開いたページのアドレスバーのURLを必ず確認する
である。

今後も、フィッシングはますます高度化していくだろう。利用者としてはITリテラシーを高めて、安全な運用を図りたいものである。