インターネット セキュリティ 個人情報とか

いまだからこそネットで利用者情報を詐取する「フィッシング」の基本を学んでおこう。

更新日:

拝啓@odaijiです。

このエントリーの流し読みっ!

  • 油断しているとやられちゃう「フィッシング」
  • 対策は、怪しいものはアクセスしないこと、とにかく接続先を確認すること
  • 情報を集める有効サイトはこちら!
  • その昔、ダイヤルQ2という課金型電話システムが流行したときにはこれで料金を不当に稼ぐ輩がいらっしゃいました。
    インターネットが全盛になれば、詐欺的行為もこの技術を使ったものにシフトしていくわけで。今、犯罪者が一般市民に対してもっとも仕掛けやすい行為であるのが「フィッシング」なんですね。別に目新しいものでもなんでもないですが、啓蒙的にblogに書いておくことにします。

    このエントリーのあとに新たな手口ができるかもしれませんし、ここのエントリーで書いたことがすべてではありません。詳しくは文末にあるリンク集をよく読んでいただくことが、僕自身も一番安心できます(というか、リンク集をぜひ読んでいただきたい。このページだけでは語り切れない)。

    みなさん気を付けましょう。


    油断しているとやられる「フィッシング」

    フィッシングっていっても「釣り」じゃないです。英語のスペルは「Phishing」です。
    一見、正しいサイトへ誘導しているようで、実は別のサイトへ行くように偽装しているテクニックを使います。

    たとえば下の二つのリンクを見て、踏んでみてもらえますか?(危なくないよ!)



    http://www.yahoo.co.jp


    http://www.yahoo.co.jp

    さあどうでしょう。上の方のリンクは、Yahooへジャンプしたはずです。
    下の方のリンクは、一見Yahooへのリンクの様ですが、クリックするとGoogleにジャンプしますよね。

    これは大変わかりやすいです。だって別の検索エンジンに飛ばしているんですもの。

    でも、これが、飛ばし先が両方とも見た目そっくりな、銀行のサイトのデザインだったらどうですか?そして、片方は、一見銀行のサイトに見えるけれど、実は全然関係ない、パスワードを盗むために作られたサイトだった・・・。うっかり間違えてユーザー名とパスワードを入れてログインした瞬間、自分の情報を盗まれてしまうわけですね。


    偽のサイトでユーザー名とパスワードをうっかり入れてしまうという状況。これはパソコンがWindowsだろうがMacだろうが、スマホがiPhoneだろうがAndroidだろうが、ガラケーだろうが関係ありません。すべてのシステムで共通する危険なわけです。だからこそ厄介。


    対策は、怪しいものはアクセスしないこと、とにかく接続先を確認すること

    大まかな対策としては

    事前編
    1)そもそも危ないサイトに接続しないよう気を付ける

    事後編
    2)ログイン画面まで来てしまったときに確認する方法(つながったサイトが正常のものか確認する)

    が考えられますね。詳細は、本エントリーの後ろの方にある詳しいサイトへのリンクをたどっていただくとして、ここでは簡単にご紹介します。

    1)そもそも危ないサイトに接続しないよう気を付ける

    フィッシングの定番は、それらしいメールから、何らかの理由でユーザーIDとパスワードを入れて!と依頼が来るもの。
    金融機関は、そもそも電子メールでは本人の個人情報を問い合わせません
    問い合わせてくるメールがあれば、それは8割がた詐欺サイトです。

    メールの送信元は、悪い人の手にかかれば簡単に偽装できます。この手のメールの場合、安易に差出人を信用しちゃいかんのだ。

    まあ、メールでなくても、ツイッターなどでも当然一緒ですね。こういうのは疑ってかかりましょう。
    どうしても確認したければ、インターネットとは別の手段。つまり電話などで
    「こういうメール受け取ったけれど本当?」
    と聞いてみるといいです。

    また、最初の手続きの時にもらった資料などに記されているインターネットアドレスを、手打ちで入力して接続すると、正しいサイトにたどり着く可能性が高くなります。一度これでつないでおいて、ブックマークに保存して、そこから接続するように心がけましょう。
    メールのリンクを踏んで接続、という手順を取らないようにするだけで、ずいぶん安全になるんじゃないかと思いますよ。



    2)危ない、と思ったときに確認する方法(つながったサイトが正常のものか確認する)

    たとえば三井住友銀行のページで説明します。

    http://www.smbc.co.jp/

    というのが三井住友銀行のページです。上のURLはあえてリンクを張っていないので、ご自分で打って試してみてください。

    とても大事なのは、三井住友銀行のアドレスが「http://www.smbc.co.jp/」であることを覚えておくこと。これがなにか別のものに代わっていたら、すでにおかしいと思わないといかんのです。

    ▼Chrome編

    ▼ログインの画面に行きます。
    2013-01-05_20h57_47

    画像には「右クリック」って書いたけれど、左クリックでも大丈夫です。
    アドレスの部分が「https」で始まっていることを確認したうえで、南京錠のアイコンをクリックしてみましょう。

    ちなみに、ログイン画面がhttpsで始まっていないページなんて、すでに何かしら脆弱だと思ってていいと思いますよ。そのページの扱う情報次第ですが、金融機関でhttpsで始まっていないものは、もう「ありえない」レベルです。

    ▼こんな画面が出てくるので、「接続」をクリックします。
    2013-01-05_21h07_21

    ▼「証明書情報」をクリックします。
    2013-01-05_21h07_40

    ▼「詳細」のタブをクリックし、「サブジェクト」の行をクリックし、「O=」の行を確認します。
    2013-01-05_21h29_41

    ここに、三井住友銀行の英語名が書いてあれば、確認としてはOK。
    実際はログイン作業をしていないので、この時点では何も盗まれていないですけれど、最初にこの確認をしておくと安心できますね。

    他の金融機関の場合は、それぞれ置き換えて読んでみてくださいね。


    フィッシング対策のための情報サイトはこちら!

    リンク集みたいなもんです。一通り読まれると、理論武装としては行けるんじゃないかな。
    僕の今日のエントリーはかいつまんでいる感もあるので、真に安全・安心を求めるなら、これらのサイトを熟読されておく方が安心できると思います。

    ▼フィッシング対策協議会
    フィッシング対策協議会 Council of Anti-Phishing Japan

    ▼産業技術総合研究所  安全なWebサイト利用の鉄則
    産総研 RCIS: 安全なWebサイト利用の鉄則

    ▼I believe in technology
    I believe in technology

    個人のサイトなのですが、セキュリティに関する情報が豊富です。
    ここの検索ボックスに「フィッシング」などと入力しますと、フィッシングに関する情報がいろいろ出てきます。読んでみると良いでしょう。

    メルマガを読んでみませんか?

    メールアドレスだけ登録すれば、私をはじめ複数人のブロガー・情報発信者からのメルマガが届きます。完全無料!
    お申込みは↓↓下の画像をクリック!↓↓
    登録情報はメールアドレスだけ。解除も簡単です!

    どのようなメルマガなのか、概要は
    エッジの効いたブロガー9人で合同メルマガ「Edge Rank」を始めます!
    ↑↑こちら↑↑をご覧ください。

    -インターネット, セキュリティ, 個人情報とか