【対策1-偽装メールを見破る】
送信元やリンク先をチェック
本文中のリンクはクリックしない
フィッシングは,メールでユーザーをおびき出すことから始まる。したがって,フィッシング対策の第一歩は,メールでの対策になる。
具体的な対策を解説する前に,フィッシング・メールの実物を見てみよう(図2-1)。 一見しただけでは,偽装しているとはわからない。
【クリックで拡大】
しかしこのメール,実際は偽装だらけである。例えば,送信者の「Verify」(確認)と件名の「UFJ」という表示は,フィッシング詐欺犯が銀行の人間になりすまして偽装した内容だ。
また,メール本体の画像は本物のサイトにある画像を勝手に拝借したもの。 HTMLメール(※1)を使って会社の名前やロゴの画像を貼り付け,本物を装っているのである。
さらに,本文中のリンクであるhttps://www.ufjbank.co.jp/~の表示も偽装されている。ここをクリックすると,このURLとはまったく関係ないWebサーバーへアクセスする。 本文の内容を読んでみると,フィッシング・サイトへ誘導する文言が書かれている。 「新しいシステムへ移行するために本人認証が必要」などと書かれており,ユーザーを誘っているわけだ。
(※1)HTMLメールWebページを記述するHTML(hypertextmarkup language)を使って画像などを貼り込んだメールのこと。
ユーザー編
まずは,誰にもできる対策から見ていこう。受信したメールを調べて,メールの送信者がウソをついている部分を見つける作業になる。
まずは送信元アドレスを精査
【クリックで拡大】
フィッシング詐欺犯は,ほぼ間違いなく送信元のメール・アドレスを偽装する。そこで,最初のチェック・ポイントはメール・アドレスである(図2-2のポイント1)
送信元メール・アドレスは,送信者欄に表示されないことが多い。図2-2の例のように「Verify」と書かれているだけだったりする。メール・アドレスを表示するには,「Verify」の部分をダブルクリックする(OutlookExpressの場合)。
ただし,このメール・アドレスを信じてはいけない。そもそもメール送信で使うプロトコルのSMTP(※2)は,メールを送る際に送信元アドレスを確認しない。このため,送信者の名前やメール・アドレスは簡単に偽装できる。
では,送信者が書き換えられない情報はどこか。それは,メールのヘッダーに記載されているReceivedレシーブド行にある(ポイント1 参照)。ここの情報は,メールを中継したメール・サーバーが書き加える。詐欺犯といえども,ここを勝手に改ざんすることは難しい。チェックすべきである。
Receivedヘッダーがいくつも書かれていたときは,一番下に書かれている情報を参照する。そこには,メール送信者のコンピュータのドメイン名やIPアドレスが記述されている(※3)。つまり,ここに書かれているドメイン名と,先ほど調べた送信者のメール・アドレスのドメイン名が異なっていたら,送元を偽っている可能性が高い。
(※2)SMTPsimple mail transfer protocolの略。IPネットワークでメールを送信するためのプロトコル。
(※3)記述されている
たいていの場合,「Received: from A (B[x.x.x.x]) by C」のように記述される。 Aにはメールを送ったコンピュータの名前やBと同じ内容が入る。x.x.x.xはメールを送ってきたコンピュータのIPアドレスで,Bにはx.x.x.xを逆引きしたドメイン名が入る。Cはメールを中継した(このReceived行を記述した)メール・サーバーのドメイン名になる。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
