« 先輩の悩み!?昼休みのつぶやき | トップページ | 神戸市小学校理科・生活作品展 »

2004年9月18日 (土)

フィッシング詐欺

よく訪問するCosさんのところで、未登録アドレス最近はやりのウイルス最近はやりのメールなどの記事が掲載されています。
次々、新手のスパムメールや詐欺行為が出てくる中、「フィッシング詐欺」なるものの通告が、夫の会社全社に出されました。

「フィッシング詐欺」に注意通知!
本社 ○○より下記注意がなされました。貴職場に紹介いただき、注意喚起をお願いいたします。
フィッシング詐欺は2003年ごろから米国で流行し始め、被害が急増しています。日本では、「フィッシング型の迷惑メール」は米国ほど話題になっていませんが、今後増加してくると予想されます。
というようなメールが流れてきたらしいのですが、「貴職場に紹介いただき」なんて、これ自体が、スパムメールやチェーンメールのやり口みたいで、どうかと思うところありますが・・・(^^;)

魚釣り(fishing)ではなく、「Phishing」とつづるそうです。
フィッシング詐欺とは、実在の銀行・クレジットカード会社やショッピングサイトなどを装ったメールを送付し、そこにリンクを貼り付けて、その銀行・ショッピングサイトに見せかけた「罠のサイト」にユーザーを呼び込み、クレジットカード番号やパスワードなどを入力させてそれを盗むという新手の詐欺です。オレオレ詐欺のインターネット版ともいえます。
手口等
1.有名銀行、会社等の名を語り「あなたの口座番号が盗まれた可能性があるため、次の指定箇所をクリックして示された所定フォームに口座番号(またはカード番号)、パスワード、氏名等の情報を変更入力して欲しい」や「マルチ高額被害者の方に返済金を振り込んでいるので銀行口座番号(またはカード番号)、パスワード、氏名等の情報を入力してほしい」などの内容のメールが着信。
2.指定の箇所をクリックすると実在の銀行、会社をかたったページがあらわれ、それを信用して新旧の変更情報を入力後、送信ボタンを押すと関係のない第三者に情報が転送される。(その後被害につながる)

【フィッシング詐欺の特徴】
(1)送信者を詐称し、信頼できるメールアドレスを装う フィッシング詐欺のメールは多くの場合、送信者(差出人、From)を詐称しています。フィッシングに使われる企業としては、米eBayや米Citibankなどが多いようですが、たとえばCitibankのサイトを偽る手口の場合は「info@citi.com」のような、もっともらしいメールアドレスから送られてくるというわけです。
(2)必ず個人の金融情報(「クレジットカード番号」、「パスワード」)を入力するよう求めてくる、これが「フィッシャー(フィッシング詐欺を仕掛けた詐欺師)」の狙いです。このような情報を安易に入力しては絶対にいけません。
(3)アンチウィルスソフト(コンピュータウィルスを除去するソフト)に検出されない
フィッシング詐欺のきっかけになるのは、何の変哲もないただのメールです。添付ファイルなどもありません。何らかの仕掛けがあるファイルを添付したり、脆弱性(ソフトウェアのバグや仕様上の欠陥など)を攻撃するようなHTMLメールを使うと、多くの場合はアンチウィルスソフトが検出してこれを排除します。しかしフィッシング詐欺で使われるのは本当にただのメールでしかなく、アンチウィルスソフトは何もすることができません。当然、リンクからジャンプした先のサイトも単なるWebページであり、アンチウィルスソフトが検出できるような「悪意ある攻撃コード」は何もありません。
(4)Webサイトを作る技術以外、特別な技術は何も必要ない フィッシング詐欺を行う手順は、偽のWebサイトを作ってメールを送る、たったこれだけです。必要なのはWebサイトを作成する技術だけであり、この技術があれば誰でも簡単にできるということです。したがって日本でも同様のフィッシング詐欺が行われる恐れは十分にあるのです。
<参考テクニック>
これで完全に防げるというわけではありませんが、以下の点に注意してみるのもひとつの方法です。
(1) メールヘッダを確認する
「メールヘッダ」とは、すべてのメールの先頭に付加されている各種の情報です。<「To」(宛先)、「From」(送信元)、「Subject」(題名)など、電子メールの送信に必要な情報>普段メールソフトを使っているとあまり目にすることはありませんが、メールヘッダを読むと「送信者詐称」を見破ることができる可能性があります。(必ず、ではありません) メールヘッダには送信者名(自称)を示す「From:」項目のほかに、経由したSMTPサーバが何であるかを示す「Received from:」という項目があります。これも詐称可能ではありますが「From:」ほど簡単ではないので、安易なスパム・ウィルスメール・フィッシングメールであれば送信者詐称を見破ることができます。
(2) アドレスバーで「本物のサイト」かどうかを確認する
もし罠のサイトに誘導されてしまった場合でも、ウィンドウ上部の「アドレスバー」を見れば罠のサイトかどうか確認できます。「http://www.nifty.com/」にアクセスしたはずなのに、アドレスバーが「http://123.123.123.xxx/…」のような怪しいアドレスになっていたら、それは罠のサイトである可能性が大です。

|

« 先輩の悩み!?昼休みのつぶやき | トップページ | 神戸市小学校理科・生活作品展 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/23990/1454848

この記事へのトラックバック一覧です: フィッシング詐欺:

« 先輩の悩み!?昼休みのつぶやき | トップページ | 神戸市小学校理科・生活作品展 »