【対策2-Webサイトを調べる】
本当のURLとSSLの有無を見る
サイトと連携するツールで補う
フィッシングの被害に遭わないための第2の対策は,Webアクセス時の対策である。 メール対策をしていても,うっかりフィッシング・サイトにアクセスしてしまうことがある。そんなとき,Webアクセスでの対策が生きてくる。
実際のフィッシング・サイトの例を見てみよう。これはV I S A をかたったフィッシングで使われた,実際のWebページを再現したものである。一見すると,別段怪しいところはない。いつも使っているクレジットカード会社のWebサイトのように見える(図3-1)
しかし,ウインドウ上部に表示されているURLは偽装されており,実際はこのURLとは異なるWebサイトにアクセスしている。Webページのロゴの画像は,本物サイトにある画像を勝手に使っていて本物を装っている。
また,Webページの内容を見ると,「このサイトは暗号技術を使っているので安心です」などとあり,ユーザーを安心させるような文面が書かれている。そして,その下には個人情報を入力するためのフォームが用意されている。これが典型的なフィッシング・サイトだ。
【クリックで拡大】
ユーザー編
最初に,Webブラウザの表示を確認することでできるフィッシング対策を見ていこう。
Webサイトの作者が偽装していそうな部分をチェックして,ウソがないかを調べるのだ。メール対策と同じく,これで完全にフィッシングを排除できるわけではないが,怪しいサイトかどうかを判断するための材料になる。
基本はアドレス・バーの確認
【クリックで拡大】
Webページでまずチェックしたい部分は,アドレス・バーに表示されるURLである。
今アクセス中の本当のURLは,ファイル・メニューのプロパティを選択したウインドウに表示されるURLで確認する。アドレス・バーのURLと,ここに表示されるURLが違ったら,URLを偽装している(図3-2のポイント1)。
また,URLにIPアドレスや本物と区別がつかないような別のURLを使っているフィッシング・サイトもある。例えば,example.jpに似せた,example-security.jpやexample-credit.jpといったドメイン名は誰でも取得できる。このような紛らわしいURLを使うサイトも怪しい。
アドレス・バーの表示を偽装するテクニックの一つに,アドレス・バーの部分に別の画像を貼り付ける方法がある。この偽装は,Webブラウザのアドレス・バーの上に,ほかのウインドウを重ねることで検証できる(ポイント2)。偽装している場合は,重ねたウインドウの前面にURLの画像が出る。
SSLを使っていないのは怪しい
このほかにチェックしておきたいのがSSL(※1)の有無である。銀行やクレジッ トカード会社のサイトは,個人情報を入力するページに必ずSSLを使う。したがって,個人情報を入力するWebページでSSLを使っていないサイトは,フィッシング・サイトの可能性が高い。
SSLを使っているかどうかは,Webブラウザの右下に出る鍵前マークでわかる(ポイント3)。図の偽Webページは,本文でSSLを使っていると書かれており,かつURLはhttps://~になっているにもかかわらず,鍵前マークが出ていない。
ただ,フィッシング詐欺犯が,SSLを使ったサイトを用意しているケースもある。そこで,SSLを使ったサイトの場合は,サーバー証明書の内容をチェックする(ポイント4)。サーバー証明書は,鍵前マークをダブルクリックすると表示される。表示された会社名が知らない名前だったり,国内の会社なのに住所が海外になっていたりする場合は怪しい。
(※1)SSL
secure sockets layerの略。主にWebアクセスで使われる暗号通信プロトコル。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
