知らなきゃコワくて使えない ネット銀行安心の新常識(前編)
詐欺師のメールに御用心
もう一つ警戒すべきは、フィッシング詐欺などメールを使った詐欺だ。図3は2005年3月に流布した詐欺メールの実物である。フィッシング詐欺は、実在する金融機関などをかたってユーザーに偽のメールを送り付けるところから始まる。偽メールの本文にはリンクがあり、「このリンク先で個人情報を入力しないとアカウントが失効する」などの脅し文句が同居。あわててリンク先を開くと、当該金融機関の正規Webサイトそっくりの偽サイトに誘導され、個人情報の入力を促される。
図3 これが銀行を装ったフィッシング詐欺の実物だ
3-1 2005年3月に出回ったフィッシング詐欺メール(実物)。送信元アドレスを詐称し、HTML形式でロゴを貼り付けるなどして本当に銀行から来たメールのように装っている
3-2 メール本文のURLをクリックすると正規の銀行そっくりのWebサイトに導かれ、IDとパスワードを要求される。よく見るとURL欄のIPアドレスから怪しいと分かるが、多くのフィッシング詐欺サイトでは、URLも本物サイトと同じ外見に偽装されている
3-3 ログインすると、クレジットカード番号などさらに詳細な情報を入力させる。ボタンを押すとフィッシング詐欺犯の元に情報が送信されてしまう 【クリックで拡大】
フィッシング詐欺には取り立てて高度な技術は必要ない。むしろ、画面デザインや文面からいかに本物らしく見せるかという心理的な“だまし”のテクニックが厄介なのである。
例はまだ少ないものの、フィッシング詐欺の進化形ともいえる、ファーミング詐欺という手口も登場している。ファーミングでは攻撃者があらかじめコンピューターに不正行為の種を仕込む。具体的にはパソコンに不正プログラムを送り込んでhostsファイルを書き換えるか、DNSサーバーのキャッシュを書き換える。要するにURLとIPアドレスを対応させるDNS(Domain Name System)に細工をするわけだ。するとユーザーがアドレスバーに本物サイトのURLを打ち込んでも、偽サイトにアクセスしてしまう。偽メールで釣り上げる(fishing → phishing)どころか、急所のDNSに種をまく農業(farming→pharming)のようなものだ。
個人でできるファーミング対策はhostsファイルの書き換え防止、すなわち不正プログラムの侵入やパソコン不正利用の防止である。DNSサーバー側については、管理者のセキュリティ対策次第となる。
だがパスワード流出で相変わらず多いのは、「盗み見」などの古典的な手口だ。表1は警察庁が公開している2005年度上半期のパスワード流出原因の一覧。不正プログラムなどよりも管理ミスによる事件の方が多いことが分かる。
表1 パスワード流出原因の一番は管理ミス
誕生日など推測しやすいパスワードを避けるのはもちろん、パスワードをメモしてパソコンに貼り付けたり、他人にパスワードを教えるのは御法度だ。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
