フィッシング(詐欺)に注意

最近、「フィッシング」という言葉が、 新聞やニュースなどでとりあげられるようになってきました。 皆さんも、見たり聞いたりしたことがあるのではないでしょうか。

「フィッシング」と言うのは、本物と思わせる偽メールや偽WEBページを使って、 クレジットカード情報をはじめとする個人情報をだまし取る詐欺の一種です。 だまし取られたクレジットカード情報や各種パスワード等で、 クレジットカードを利用されたり、 銀行口座からお金を引き出されたりする被害にあうことになります。

(註) 「フィッシング」は、 「釣り」を意味する「fishing」が語源のようですが、 「phishing」と綴られます。

それでは、「フィッシング」とは実際にどんな手口なのでしょう？

まずは、緊急を要するようなメールが届きます。そこには、 メールに記載されている対処を早急に行わないと、 非常に大きな不利益を被るような文章が書かれています。 対処と言うのは、ほとんどWEBページにアクセスして、 パスワードやクレジット番号等の個人情報を入力しなさいというものです。

たとえば、下のメールが、その例です。
「クマクマカード会社」から、 メールにあるURIに至急アクセスして対処しないと、 カードを不正に利用されても知りませんよ、というものです。

(註) 上記のメールは、この講義用の架空のものです。

本物かな？と、少し疑ってみたものの、見馴れたURIだったので、 その部分をクリックしてみますよね。 すると、以下のようなWEBページへ接続されました。

そのページに現われた画像が、 見馴れた「クマクマカード会社」のロゴであれば、 本物であると信用してしまい、 要求されている情報をすべて入力して、「submit」ボタンをクリックしませんか。

すると、これがまっ赤な偽物で、 気づいたときには、 既にあなたのクレジットカードがだれかに使われてしまっていた、 ということになるのです。

「フィッシング」の手口を簡単にまとめると、

1. (本物と思わせる偽) メールで釣って
2. (本物と思わせる偽) WEBページで盗む

ということになります。 ということは、

1. 本物のメールであるかどうかをチェックする
2. 本物のWEBページであるかどうかをチェックする

という対策を行なうことで、被害にあわなくてすむことになります。

それでは、それぞれのチェックの方法を紹介しましょう。

1. メールヘッダを確認する。

   以前の講義の時間に説明しましたように、 電子メールには通常皆さんが読んでいる本文以外に、 ヘッダ部分とよばれる通信履歴等の詳細情報がついています。

   本学で開発した Seemit では、 ヘッダ情報がメール本文の上方に付いていますので、 スクロールするだけで、すぐ確認することができます。

   
   
   
   
   
   
   

   すると、上図のように、 発信者を表わす「From:」欄のドメイン名(＠の右側)は、
   「kumadai-i.com.com」となっているのに、 実際に発信されたメールサーバを表わす「Received:」欄のドメイン名は、 「hotmai.msn.com」になっています。

   前にも説明しましたように、電子メールの発信者を表わす 「From:」欄は自由に書き変えられる という性質を悪用して、 偽のメールを送っていることが確認できます。こんなメールであれば、 何の疑いも無くさっさと消しましょう。

   (註) Seemit以外のメールソフト
      Seemit以外のメールの場合、 ヘッダを表示するように設定を変更することで、 確認することができます。下の例は、 メジャーなメールソフトとなりつつある Thunderbird の例です。
   
   
   
   
   
   
   
   
   
   
   
   
   
2. 直接、銀行やカード会社等に問い合わせる
   

   メールヘッダを見ても、本物かどうか判断できなかったら、 送り元となっている銀行やカード会社に直接問い合わせてみましょう。

   ただし、問い合わせ先は、届いたメールに書いてあるものではなく、 通帳やカードに書いてあるものにして下さい。そうしないと、 偽の会社に問い合わせることになってしまうかも知れないからです。

1. メール本文中に表示されているURIと実際のリンク先が同じかどうかチェック

   「フィッシング」のメールの本文には、 必ず個人情報を入力させる WEBページのURIが書かれています。 そのURIをコピーしてWEBブラウザに貼り付けて開くか、 メールソフトの機能により、 そのURIをクリックすることで、自動的にWEBブラウザが起動し、 リンク先を表示します。

   ここで、「フィッシング」のメールの場合、 偽のWEBページへ誘い込むわけですので、 その偽のWEBページのURIが書かれているはず。ところが、 そうしてしまうと、多くの受信者がすぐ偽物とすぐ気づいてしまいますので、 メールに表示されているURIは、本物で、 そのURIをクリックして実際に表示するリンク先は、 偽物が書かれているというのが一般的です。

   例えば、下の例のメールソフト(Thunderbird)では、 メール本文中の URI の上にマウスポインタを置くと、 その URI が実際にリンクしている(本物の)URIをウィンドウの最下段に表示します。そこを確認することで、あやしいメールかどうか、判断できます。

   
   
   

   上の例では、実際のリンク先は、「http://get.secret.com/card/data-get.cgi」 という、いかにもあやしいページになっていますので、 すぐにおかしいと分りますね。

   (註) Seemitの場合
      Seemitの場合、本文中にURIがあり、かつ、 そのURIがリンクを持っている場合 (もっと正確には、HTMLメールと呼ばれるメールである必要がありますが、 ここでは説明を省略します)、マウスポインタを重ねなくても、 メールの本文にそのまま表示されます。
   
   
   
   
      上図の場合、２つのURIが異っていることがわかるので、 すぐあやしいと気づきますね。
   
   
2. ブラウザ上部に表示されている URI を確認する
   

   ブラウザ上部に表示されているURIが、 メールに本文書かれていた URI かどうか確認することで、 ある程度本物かどうか確認することができます。

   
   
   

   上図に示されているURIは、明らかにあやしいですね。

3. 直接、銀行やカード会社のホームページからリンクがあるか確認する
   

   本来のホームページから、 メールに掲載したページにリンクが張られているかたどってみます。 メールを送ってまで、緊急にWEBページを見て欲しいのなら、 当然、トップページに近いところにお知らせがあるはずです。 もし、そのようなお知らせが無いのであれば、 偽物である可能性が高いということになります。
   どうしても、本物かどうか確認したいときは、 トップページにある問い合わせ窓口から問い合わせてみましょう。 ただし、この窓口は、メールに書いてあったページからではなく、 本当の会社のページを自分で確認してから接続したWEBページで行って下さい。