特集:
徹底研究 フィッシングの手口と対策(前編)
文/半沢 智(日経NETWORK)
2005年7月21日
インターネットは私たちの生活を快適にしてくれるさまざまなサービスを家庭に届けてくれます。ただ、実際の社会がそうであるように、そこにはさまざまな危険も潜んでいます。今回取り上げる「フィッシング」はそうした危険の一つで、メールとWebサイトを使った詐欺行為のことです。フィッシングはあたかも本物のように見える偽のメールとWebサイトを組み合わせて、クレジットカード番号に代表される各種の個人情報をだまし取る行為です。残念なことですが、きっとあなたのメール・ボックスにもフィッシング目的の迷惑メールがときどき届いていることと思います。まずは、典型的なフィッシングの手口とはどのようなものかを見てみましょう。
(林哲史/日経NETWORK編集長)
【手口を知る】
メールで釣ってWebで盗む
でもメールもWebも偽物
最近,「フィッシング」と呼ばれる用語がニュースなどでよく聞かれるようになってきた。内容はわからなくても,フィッシングという言葉は,耳や目にしたことがあるだろう。このフィッシング,今後被害者が急増すると見られている,インターネット詐欺である。
フィッシングは,これまで海外の話というイメージが強かった。しかし2004年末には国内でも被害が確認され(※1),今年に入ってからは, U F J 銀行,VISA,NICOS(日本信販)など,国内の有名企業を装った日本語のフィッシング・メールが次々と出現して被害者も出た。インターネットを使っているユーザーにとって,フィッシングは他人事ではなくなっているのだ。
では,フィッシングとは,いったいどういった手口の詐欺なのか。今年3月にあったUFJ銀行を装ったフィッシングの実例を見てみよう。自分がUFJ銀行の顧客になったつもりで読んでほしい。
(※1)被害が確認され警察庁は,2004年12月24日に国内にフィッシングの被害者が出たことを発表した。http://www.npa.go.jp/cyber/policy/phishing/main.htm
実際にあったフィッシングを体験
いつものようにパソコンを起動し,メーラーを立ち上げて受信メールをチェックしていた。すると,見慣れた会社のロゴが目に入ってきた。件名は「UFJ」で送信者の部分には「Verify」(確認)とある。UFJ銀行からの何らかの確認メールのようだ(図1-1の(1))。
メール本文を読むと,「UFJ銀行のセキュリティ向上に伴いまして,オンライン上でのご本人確認が必要」と書かれている(同(2))。どうやら、銀行のシステム更新に伴う本人確認のお願いようだ。さらに読み進めると,「この手続きを怠ると今後のオンライン上での操作に支障をきたす」とある。このままでは,インターネット・バンキングが使えなくなる。すぐに手続きをしてしまおう。
メールに記載されていたhttps://www.ufjbank.co.jp/~のリンクをクリック。Webブラウザが起動して,UFJ銀行のWebページが表示された。いつものように,フォームに契約番号やパスワードなどの必要事項を入力してログインする(同(3))。
すると今度は,クレジットカードの番号や暗証番号などを入力するフォームが表示された(同(4))。「ここに情報を入力すればいいわけか。面倒だからさっさと済ませてしまおう」。すべての項目に情報を入力して送信ボタンを押した。すると,UFJ銀行のトップ・ページが表示された。手続きは無事に完了したようだ。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
