フィッシング詐欺に注意!偽サイトを見破ろう

2017年10月3日(火) ノウハウ

フィッシング詐欺という言葉をご存知ですか?
フィッシング詐欺とは、スパムメールや偽装メールでいかにもそれらしい偽物のサイトへ誘導し、情報を搾取する行為を指します。
最近は手段が巧妙化し、パッと見偽装メールであることに気がつかなければ、訪問したサイトが偽物であるかもわからないことがあります。
今回はフィッシング詐欺の例とその対策について解説して参りましょう。

フィッシング詐欺サイトの例

①Apple IDの情報を確認ことをうたった偽サイトへの誘導

拝啓、

私たちは、あなたのアカウント情報の一部が誤っていることをお知らせしたいと思います。
私たちは、あなたのアカウントを維持するためにお使いのApple ID情報を確認する必要があります。
下のリンクをクリックしてアカウント情報を確認してください。

マイアカウント確認 >(偽サイトへのリンク)

私たちは24時間以内にあなたからの応答を受信しない場合は、アカウントがロックされます。

Appleチーム
拝啓、

あなたのApple IDは完全にロックされています。

お客様のアカウント情報の一部が間違っていることをお知らせいたします。
Appleはアカウントを維持するためにAppleを使用します ID情報を確認する必要があります。
以下のリンクをクリックしてアカウント情報を確認してください。

マイアカウント確認 >(偽サイトへのリンク)

私たちは24時間以内にあなたからの応答を受信しない場合は、アカウントがロックされます。

Appleチーム

メール内のリンクには、「Apple Storeにサインイン」というApple IDの偽サイトが埋め込まれています。
アクセスしてログインすると、請求先住所、クレジットカード情報を入力する画面に遷移するようになっています。
このようにして、Apple IDに関連する情報が窃取されることになります。

②マイクロソフトライセンス認証の偽サイトへの誘導

セキュリティ警告!!

お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!

日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。

攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。

検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。

今すぐ認証(偽サイトへのリンク)

*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正コピーを防止するための技術で、手続きは、短時間で簡単に実行できます。
また、この手続きは匿名で行われるので、お客様の個人情報は保護されております。

緊急性の高い内容でユーザーを油断させることで、偽サイトへ誘導する巧妙な手口です。
ここに記されているリンクをクリックすることで、偽サイトへ到達し乗っ取りや情報の搾取をします。
驚くことにこういった偽サイトは本物のサイトURLと酷似したURLで作成されていることが多いのです。

それでは、偽サイトへのリンクを開く前に確認するべきことは何でしょうか。

フィッシング詐欺の被害にあわないためにはどうすればいいの?

WHOIS検索をする

メール内にリンクが貼り付けられている場合、安易にリンクをクリックするのではなく、そこに埋め込まれているURLを確認しましょう。
例えば
https://www.○○○.co.jp/
URLの「○○○.co.jp」の部分をWHOIS検索しましょう。
WHOIS検索とは、インターネット資源の登録情報を参照するサービスです。
登録されているIPアドレス、ドメインの利用者名を調べることができます。
JPSRが提供するWHOISサービス http://whois.jprs.jp/
このような検索サービスで該当のURLを検索した際に、本来のサイトとは全く異なる情報が表示された場合は
フィッシング詐欺用のサイトだと考えてよいでしょう。

SSL証明書を確認する

万一電子メールのリンクからWebページを開いてしまった場合、それが本物のページかを確認する方法があります。
そのためには、表示されたブラウザのURL欄にある鍵マークをクリックします。すると、証明書の内容を表示するボタンやメニューが表示されます。

そこで証明書の内容を確認しましょう。本物の場合、該当の会社名や組織名の記載があります。
なお、証明書の内容は証明書を発行した認証局が確認済みのものとなります。
そもそもSSL証明書が発行されていない場合はセキュリティの対策が甘いサイトの場合が多いです。
クレジットカードやアカウント情報の変更などといった個人情報の入力を促すような内容であるにも関わらず、https表記でない場合は速やかにWebサイトから離脱しましょう。

いかがでしたでしょうか?
皆さんもフィッシング詐欺には十分注意して、自身の情報を守りましょう。

Writer:SecurityTIMES編集部