フィッシング詐欺対策をしよう

フィッシング(phishing)詐欺とは、ネット銀行やクレジット会社、オークション、オンラインゲームなどのホームページにそっくりな偽ページにユーザーを誘導し、本物のサイトだと思って入力したID・パスワードなどの重要情報を盗む詐欺の手口です。この詐欺は海外に多いのですが、日本でのフィッシング詐欺も被害が増え始めています。

フィッシング詐欺の多くはウィルスやスパイウェアなどを使わずに行うことができます。そのためセキュリティ対策ソフトをインストールしてあるから安心とは言えないのです。

フィッシング対策がされた無料ブラウザ

フィッシング詐欺には、ブラウザのセキュリティの穴を付いて偽装を行うものが多くあります。古いブラウザにはそういった穴が多いため、最新のブラウザを使用することがまず大事です。

特に以下の3つの最新ブラウザは、フィッシング詐欺のホームページに飛ぶと警告が表示されるフィッシング対策機能がついており、どれも無料で使用することができます。注意点として、フィッシング対策機能は現在判明しているフィッシング詐欺のページしか警告が出ないので過信はしないようにしましょう。

これらフィッシング対策機能が付いたブラウザを使った上で、さらに自分自身でフィッシング詐欺対策を行うことで安全性が高まります。

偽メールに気をつけよう

フィッシング詐欺のほとんどは、まずメールでユーザーを偽ページに誘導しようとします。

その手口も巧妙で、差出人やリンク先を本物のネット銀行などに偽装して送りつけてきます。

内容は「アカウントの更新のため、ログインが必要です」など、ユーザーが偽ページでパスワードなどを入力しやすい文章にしてあります。

そういった偽メールへの対策として、パスワードやクレジットカード番号など重要な重要な情報を入力しなくてはいけないサイトへと誘導するメールはまずフィッシング詐欺の可能性を疑いましょう。ほとんどの企業ではメールから重要な個人情報の入力を促すことはしません。

もしリンク先が本物かどうかわからない場合は、サイト名を検索エンジンで調べてみましょう。ほとんどの場合、公式サイトが1ページ目に表示されるはずなので、そこから移動したほうがいいでしょう。検索エンジンからならメールのリンク先が偽物だったとしても防ぐことができます。検索エンジンでは偽ページが公式ページより上位に表示されることはまずありませんが、判明したサイトのURLが本物かどうか、さらに検索エンジンで調べるとより安全です。

メールが本当かどうか確信が持てない場合は、検索エンジンから移動した公式サイトのサポートに確認してみるのも有効です。

またメールの表示形式を、リンク先を偽装しやすいHTML形式ではなく、テキスト形式にして読むのも効果的です。使っているメールソフトがOutlook Expressの場合は「ツール」→「オプション」→「読み取り」→「メッセージはすべてテキスト形式で読み取る」にチェックを入れればOKです。

サイト・メールのフィッシング診断

メールに書かれたサイトへのリンクや送られてきたメールがちょっと怪しいと思う場合は、aguse.jpで詳しい情報を調べることができます。

aguse.jpでサイトのURLを入力すると、自分がそのサイトに訪れることなくサイトのスクリーンショットから内容を見ることができ、そのサイトがフィッシングなどの悪質サイトのブラックリストに登録されていないかなどを調べてくれます。

送られてきたメールアドレスのメールヘッダを入力すると、そのメールの身元などを調べられるので本当の企業から送られてきたのかを判断でき、メールの送信を行ったサーバーがブラックリストに登録されているかもわかります。メールヘッダを調べる方法はaguse.jpの「メールソフト別メールヘッダーの表示方法」を参照してください。

またゲートウェイ機能を使うと自分のPCと相手のサーバーが直接通信せず、スクリーンショットを通してサイトを閲覧することができます。ちょっと怪しいなと思うリンクやメールはaguse.jpの各機能を使って事前に調べてみるといいでしょう。

パソコンのセキュリティを高める

正しいURLからホームページに飛ぶことがフィッシング対策には大切ですが、正しいURLを入力しても偽のページに飛ぶようにする悪質なウィルスを使ったフィッシングも存在します。自分のパソコンにそういった悪質なプログラムが仕込まれていないか、ウィルス対策ソフトやスパイウェア対策ソフトを使って定期的に検査をしましょう。

フィッシング詐欺はパソコンのあらゆるセキュリティの穴を付いてきます。WINDOWSのアップデートはもちろんのこと、ブラウザ、ウィルス対策ソフト・スパイウェア対策ソフトなどを常に最新のデータに保つことが大切です。

URLが本物か確かめよう

ネット銀行、クレジット会社、オークション、オンラインゲームなど、フィッシング詐欺の多い重要なデータがあるホームページでは、そのページが本物かどうかを警戒する必要があります。

フィッシング詐欺のページは偽物なので、本物のホームページとURLが違います。そこでURLを確認して、偽ページなのかどうか見分けたいところですが、問題点もあります。

一つは本物のホームページのURLを知っていないと駄目なこと、そしてURLが偽装されている可能性があることです。

偽装されていない正しいURLを確認するには、インターネットエクスプローラならホームページの上で右クリックを押し、「プロパティ」を選択します。そこに書かれているURLは本物なので、正規のURLかどうか確認できます。この方法はアドレスバーのないポップアップでも使えます。

もし本物のホームページのURLがわからない場合はGoogleやYahoo!などの検索エンジンで、企業名を入力して探してください。この場合は判明したURLが本物かどうか、さらに検索エンジンで調べましょう。

鍵マーク(SSL)の有無を確認する

ブラウザの右下などに表示される鍵マークはSSLという暗号化技術をそのページで使用していることを表すマークです。SSLは暗号化だけではなく電子証明書という身分を証明する機能も備わっています。ネット銀行など重要な情報を扱うホームページの、IDやパスワードを入力する画面ではほとんどこのマークが付いています。

SSL表示

SSLの技術は企業の登記簿謄本や印鑑証明を登録する必要があるため、架空の企業がこの技術を使うことはできません。そのためフィッシング詐欺のホームページがこの鍵マークを使う可能性は低いのです。

また鍵マークをクリックすると電子証明書が確認できます。万が一フィッシング詐欺のページがSSLを使っていたとしても、電子証明書の発行者や発行対象を検索エンジンなどで調べることで本物かどうか判断できます。

気をつけたいのは、本物のホームページと偽のポップアップページを組み合わせたフィッシング詐欺です。ポップアップページはURLの書かれたアドレスバーを無くすことが出来るので、フィッシング詐欺でよく使われます。この場合本物のホームページのほうにSSLが使われていても、実際の情報を入力するのがSSLのない偽ポップアップページということもあります。

その場合はポップアップ画面を右クリック→プロパティから証明書を確認することでSSLが使われているかどうか、SSLが正規のものであるか確認できます。