第3話: フィッシング詐欺への対策は
できていますか?

新聞やウェブサイトなどで、個人情報の漏えいや迷惑メールなどに関する事件がさかんに取り上げられています。このような記事の中で、「フィッシング詐欺」という言葉を目にしたことはありますか?

フィッシング詐欺とは、悪意のあるハッカーが、実在する有名サイトや金融機関になりすまして、住所や氏名、クレジットカード番号などの個人情報を取得しようとするものです。2004 年頃からは日本の企業とユーザーを狙った事件がいくつか起こっており、実際に摘発されたケースもあります。発生件数は今後も増加していくことが懸念されています。

PKI Beginner's Guide

フィッシング詐欺の手口とは?

フィッシング詐欺は、メールの偽装とウェブサイトの偽装によって成り立っています。

悪意のあるハッカーは、著名な金融機関などのウェブサイトを装ったニセのウェブサイトをあらかじめ用意します。ニセのウェブサイトは、本物のウェブサイトで使われている画像やロゴなどを使って作られており、本物とほとんど見分けがつきません。

また、ウェブブラウザの上部に表示されるURLも、特殊な技術を使って本来の企業のURLを表示させる場合もあります。ニセのウェブサイトでは、”新しいサービスが利用できるようになる”などと偽って、住所や氏名、クレジットカード番号などの個人情報を入力させる内容がほとんどです。

次にハッカーは、このニセのウェブサイトを閲覧してもらうために、不特定多数の人に対して、送信元のメールアドレスを本来の企業であるかのように偽装したメールを送信します。メールを受け取った人は本来の企業からの案内だと思い込んでしまいます。

しかもメールには、ニセのウェブサイトにアクセスするよう誘導されるようなしくみになっているものもあります。HTML形式のメールであれば、メールに本来の企業のURLを書いておき、安心してこれをダブルクリックすると、まったく異なるウェブサイトをウェブブラウザに表示させることも可能なのです。

このような様々なトリックが組み合わされているために、メールを受け取った人は何の疑いもなくニセのウェブサイトに情報を入力してしまうのです。

PKI Beginner's Guide

ニセのウェブサイトかどうかは「電子証明書」でチェック!

電子証明書には、「このウェブサイトは本物の○○社が運営しており、正しいURLは△△△である」ことを裏付けるものがあります。この証明書のことを「サーバ証明書」あるいは「サーバID」と呼んでいます。サーバ証明書を用いると、ウェブサイトが偽装されているものかを調べることができます。

サーバ証明書は、そのウェブサイトを運営している会社ではなく、信頼できる第三者機関が発行します。この第三者機関のことを「第三者認証局(単に「認証局」や「CA」とも呼ばれる)」といいます。ウェブサイトにサーバ証明書を組み込めば、そのウェブサイトは信頼できる第三者によって本物であると証明されていることになります。ウェブサイトを閲覧する人はサーバ証明書を確認すれば、そのウェブサイトが本物であるかどうかがわかります。

サーバ証明書が発行されているウェブサイトのURLにhttpsでアクセスすると、ウェブブラウザのアドレスバーにカギのアイコンが表示されます。

このアイコンをクリックするとサーバ証明書情報を確認することができます。

また、サーバ証明書は通信の暗号化にも使うことができます。ウェブサイトを閲覧している人とウェブサーバ間の情報を暗号化すれば、もし通信をハッカーに盗聴されてしまっても、通信内容までハッカーに知られることは事実上不可能です。

「電子署名」があれば怪しいメールを見分けられる!

電子署名とは、電子データに「これは私が作ったものです」という情報を書き加えることです。まるで「メールに印鑑を押す」ようなものだとも言えるでしょう。

電子署名には暗号技術が用いられており、電子署名を偽造することは事実上不可能といえます。

では、電子署名がフィッシング詐欺に対してどのような効果があるかを見てみましょう。まず、ウェブサイトを運営する会社は、社員に電子証明書を発行します。この会社では、社外にメールを送信するときは、必ず電子署名をし、電子証明書をいっしょに送ることにします。

電子メールを受け取った人は、電子メールについている署名を、受け取った電子証明書を使って確認します。もし、ウェブサイトの運営会社の署名であれば、そのメールを送信したのは本物のウェブサイトの運営会社であることがわかります。もし署名がなかったり、別な会社の署名がついていれば、そのメールはウェブサイトの運営会社のふりをしている第三者によって送信された可能性がある・・・つまり、フィッシング詐欺の疑いがあることがわかるのです。

PKI Beginner's Guide

利用者への啓発でフィッシング詐欺の被害を防止しよう!

電子証明書や電子署名は安心して情報をやりとりするために非常に有効なものですが、それだけでは安全とは言い切れません。情報をやりとりする相手に「電子メールは偽装されやすいので、必ず電子署名を確認してください」、「ウェブサイトにアクセスしたら電子証明書をチェックしてください。チェックするポイントはここですよ」などと事前に知らせなければ安全とはいえな いのです。

第3話 まとめ

フィッシング詐欺の被害にあわないようにするために、電子メールやウェブサイトの情報を無条件に信用せず、怪しいところがないかを確認する習慣を持ちましょう。

電子メールには電子署名がついているか? ウェブサイトには電子証明書(サーバ証明書)があるか?これらの点をチェックすることで、本物とニセモノを見分けることができます。