1. 情報セキュリティブログ ホーム
  2. 今すぐ見直したいセキュリティ対策
  3. 第5回 あなたのパスワードが狙われている!フィッシングの被害を防ぐための4つのポイント
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

パソコンやスマートフォンを安全に利用するために 今すぐ見直したいセキュリティ対策

第5回 あなたのパスワードが狙われている!フィッシングの被害を防ぐための4つのポイント

フィッシングの被害を防ぐために

アメリカで被害が拡大し、2004年頃から日本でも被害が報告されるようになったフィッシング。フィッシング(Phishing)とは、銀行やクレジットカード会社といった金融機関をはじめ、信用ある会社等を装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のこと。「Phishing」は、そもそもの「釣り」(Fishing)の意に加え、「ユーザーを釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」ところから来たという説などがあります。

最近では、オンラインバンキングの暗証番号が盗まれ、第三者(犯罪者)の口座に不正送金される被害が多発しています。また、様々なインターネットサービスのアカウント情報が盗まれ、「なりすまし」によりインターネットへの不正な投稿やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。

典型的なフィッシングの手口

典型的なフィッシングの手口は以下のようなものです。

(1)メールが送られてきて、偽サイトへ誘導される

・金融機関やカード会社など信用ある企業を名乗る偽装メール(フィッシングメール)が送られてくる
・メールには、「ユーザーアカウントの有効期限が近づいています」「新規サービスへの移行のため、登録内容の再入力をお願いします」などといった、もっともらしい理由が書かれている
・メールに記載されたURL等をクリックするように仕向け、ユーザーを偽サイト(フィッシングサイト)に誘導する

(2)ID・パスワードなどの個人情報を入力させられる

・リンク先のフィッシングサイトは本物そっくりに作られており、ログイン画面が表示されIDやパスワード等の個人情報を入力するよう促す仕組みになっている
・ユーザーはフィッシングサイトの外見から偽物であることを見分けることは困難で、うっかりクレジットカード番号やID・パスワードなどを入力してしまう可能性がある

フィッシングの中には、本物のWebサイトと類似するドメインを利用して、ユーザーを騙そうとする手口もあります。一文字違っていたり(例:「yahoo」→「yafoo」)、繰り返し出現する文字が異なったり(例:「google」→「gooogle」)するドメインを悪用します。この手のフィッシングは、ユーザーが直接URLを入力するときの「タイプミス」を狙ってフィッシングサイトへ誘導する手口から「タイポスクワッティング」と呼ばれています。メール以外でもフィッシングの被害に遭う可能性があるので注意が必要です。

進化するフィッシング詐欺

最近では、特定の企業や組織、人物を標的にしてメール文面を巧妙に加工する「標的型攻撃」も多数見受けられています。メールを受け取った人に関連ある内容に見せかけたメールや悪意のある添付ファイルを用いて、メール受信者をウィルスに感染させ、機密情報を盗み取る手口です。中には、ターゲットとやり取りをして、相手を信じ込ませてから攻撃を開始するような巧妙な手法まで確認されています。

また、スマートフォンのOSの脆弱性をついたり、オンラインバンキングのアプリに偽装して個人情報を盗み出すマルウェアなど、スマートフォンを標的にした攻撃や、URLを数文字程度の文字列に圧縮する「短縮URL」を用い、SNSなどにフィッシングサイトのURLを(そうとは気づかれないように)投稿する手口など、ソーシャルメディアを悪用した攻撃にも注意が必要です。攻撃者は、常に新たな方法を研究し、フィッシングを目論んでいることに注意しましょう。

心構えと具体的な対策

フィッシングの被害を未然に防ぐためのポイントを4点紹介します。

(1)メールの取扱いに注意

・個人情報の入力を求めるメールは疑ってかかる。特に、金融機関がメールでパスワード等の入力を促すことはないため、十分注意する
・リンク先で個人情報の入力を求められた場合には、電話等でサービス事業者に真偽を確認する。この際、電話番号は当該メールに記載されたものではなく、例えば、金融機関であればキャッシュカード等の券面に記載されたものを使う
・メールに記載される差出人名称は簡単に偽装できるので安易に信用しない
・メールに記載されたURLは安易にクリックしない

(2)Webサイトの目視確認

・アクセスしたサイトが本物かどうか「アドレスバー」のドメイン名を目視確認する
・重要な情報の入力を促すサイトは、「SSL」を用いていることが多いため、Webブラウザーに表示される「錠前」マークの確認と、エラーが表示されていないことを目視確認する
EV SSLに対応しているサイトはアドレスバー上で組織名が緑色で表示されるため、サイト運営者が組織名として表示されていることを目視確認する

(3)パソコンを安全に保つ

・OSやアプリケーションソフトは最新の状態を保ち、セキュリティパッチを確実に適用して脆弱性を解消する(詳細はこちらも参照のこと)
・最新版のセキュリティソフトを利用し、ウィルス定義ファイルを最新の状態に保つ(詳細はこちらも参照のこと)
・最新のWebブラウザーの中には、フィッシング詐欺やマルウェアが埋め込まれた攻撃サイトとして報告されているサイトを開いてしまった場合に警告を表示する機能が組み込まれているため、こうした機能を活用する
・セキュリティソフトなどに備わる「URLフィルタリング」(好ましくないWebサイトのアクセスを制限したり、特定のWebサイトのみ閲覧できるようにするソフトウェアや機能のこと)を活用する

(4)アカウント情報の管理

・IDやパスワードの設定、管理は厳重に行う。パスワードの文字列は大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列に設定するようにする(詳細はこちらも参照のこと)
・サービス事業者が2要素認証などのアカウント認証を強化する機能を提供しているときは、これを利用する
・全てのアカウントについて緊急連絡先を把握しておく
・複数のサービスで設定しているユーザーIDとパスワードを記憶、一元管理できる「パスワード管理ソフト」を利用する方法もある

以上のポイントを踏まえ、継続的にフィッシング対策を行うことが大切です。また、不審なメールを受け取った、あるいは正規サイトに重要情報を入力した際に、期待した手続き画面に進まなかったなど、不審な現象が起きた場合には、被害を最小限に抑え、二次被害を防止するために、すみやかにサービス事業者や警察、各地の消費生活センターといった関係機関等に報告・相談を行うことが推奨されます。

【参考】
・(PDF)利用者向けフィッシング詐欺対策ガイドライン(フィッシング対策協議会)
STOP!フィッシング詐欺 | 被害にあわないための5カ条(フィッシング対策協議会)
パソコンやスマートフォンのソフトウェアを最新に保ち、脆弱性を解消する対策を継続しよう(今すぐ見直したいセキュリティ対策)
最新版のセキュリティ対策ソフトを利用し、ウィルス定義ファイルを常に最新の状態に保とう(今すぐ見直したいセキュリティ対策)
そのメール、本当に安全?正規を装うフィッシング詐欺の手法と回避策大解剖(セキュリティ虫めがね)
フィッシング詐欺に注意!(So-netセキュリティ通信)

【関連製品またはソリューションのご紹介】
次世代ファイアウォール パロアルトネットワークス (Palo Alto Networks) PAシリーズ
トラフィック内のアプリケーションを識別し可視化、制御することにより、きめ細かなセキュリティポリシーを実現し、標的型攻撃等による情報漏えいを防止する次世代ファイアウォールです。

関連キーワード:
今すぐ見直したいセキュリティ対策の記事一覧

監修者プロフィール

監修者プロフィール

徳丸 浩(とくまる・ひろし)

HASHコンサルティング株式会社代表
京セラコミュニケーションシステム株式会社技術顧問
独立行政法人情報処理推進機構(IPA)非常勤研究員

1985年京セラ株式会社入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年に同分野を事業化し、2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。Twitter IDは@ockeghem徳丸さんのインタビュー記事はこちら