
					Copyright © 2000-2005 eazyfox. All Rights Reserved.


HOME\| Firewall \| Security\| 製品紹介\| SecuTool\| Forest\| Hello\| Link\| 掲示板\| 雑談掲示板\| SiteMap\| Contact
Home > Security > フィッシング詐欺

フィッシング詐欺

英語表記ではFishingではなくPhishingとなるが、日本語ではフィッシングと同じ(発音も同じらしい)になる。いかにも「本物っぽい」内容のメールを送付して、Ｌｉｎｋされているアドレスへアクセスするように誘導しＩＤ、Password、カード番号などの情報を詐取するものである。その手口は

カード会社から「あなたの使用中のカードに新たな機能が加わりました。すぐにログインして使用開始登録をしてください」という内容のメールが到着。メール中にあるLinkには「xxxx-card.com/Newservice/login」と本物らしいアドレスが記載してある。
Linkをクリックするとログインには「カード番号」、「暗証番号」、「生年月日」を入力するような画面が表示された。
各項目を入力して「送信」ボタンをクリックしても「カード番号が違います」と表示される。
カード会社に連絡すると、そのようなメールを送ったことも、新たなサービスも存在しないことが判明
あなたのもとへ使った覚えの無いカードの請求書が到着する

怖い話です。半年以上前にJCBから似たようなメールが到着しましたが、無視しております(メールのヘッダ見れば本物らしいんですが用心のためです)。フィッシング詐欺は今後どんどん手口が巧妙化して、本物と見分けが付かなくなってきます。詐欺師はどうやったら見分けがつかないようになるのか日々考えているのです

左の図はある詐欺サイトで使われる例を示している。メールに記載されたリンクをクリックするとブラウザ上に本物のカード会社のサイトの一部(上枠)と詐欺サイトのカード番号やパスワードを入力する部分(下枠)が表示されます。このとき上枠に表示されている内容は本物のカード会社のサイト内容なので、一見ページ全体が本物のように見える。しかし実態は上半分は他から表示しているだけで、下半分が本来の詐欺サイトの姿なのだ。
これはフレーム分割を使った表示の方法で、1つのページに複数の内容を組み合わせて表示するための一般的なテクニックを悪用したものだ。
またこのようなフレーム分割の手口を使わず、カード会社のサイトの内容をそのままコピーして、一部だけを詐欺用に書き換えて表示するケースも多くある。

フレーム分割を用いずにポップアップ形式で詐欺サイトを表示するケースもある。
バックには本物のカード会社のサイトを表示させてるが、その前面に詐欺サイトを表示する。ポップアップなのでアドレスもステータスも表示しないようにするのは簡単だ。したがって見た目で判断するための情報が少なくだまされやすいケースだと思う。
このようなポップアップのケースでは「ページのプロパティ」を見るとアドレスバーが無くてもサイトの参照元URLが表示されるので、もしカード会社と異なるアドレスからの表示なら詐欺サイトと判断できる。

一見したところいかにも本物と思わせるところが詐欺師のテクニックなのだ。
本物のサイトと詐欺サイトの見分け方となるが下記の手順で確認していただきたい。これからは個人情報やカード番号などを入力するときには細心の注意を払い詐欺サイトと本物のサイトを区別することが求められる時代である。

まず対策の基本として

WindowsUpdateを実行して最新のセキュリティパッチの適用を行う。
htmlメールは必ずテキスト表示にする。
Internet Explorerのセキュリティ設定で「インターネットゾーン」は"高"レベルに設定する

次に怪しいメールが送られてきたときの対策として

メールのヘッダにある転送履歴を必ず確認する。送り元のアドレスは該当する会社のアドレスになっているか？(最近はメールヘッダの偽装も行われているのでヘッダだけで判断することは出来ない)
アドレスバーやステータスバーに表示されている内容はJavaScriptによって書き換えられている可能性があるので信用できない。こんなときはスクリプトは無効にする。
SSL(鍵マーク)が掛かっているか確認する。詐欺サイトがSSLの認証を取っているとは考えにくいのと、パスワードを入れるサイトがSSLでないのはいかにも怪しい
鍵マークが表示されていても安心せずに鍵マークをクリック(ブラウザによっては右クリック)して証明書の発行先のアドレスが正しいか確認する
フレーム間のドメイン変更は無効にする(警告する)。カード会社が他のドメインの内容を表示するのはあまり考えられない
ページ情報を確認する。カード番号やパスワードの入力項目が別フレームになっていることもあるのでフレームごとのURLを確認する
html形式のメール表示はやめて、かならずテキスト形式での表示にする。いまどきhtml形式で会社や団体から送られるメールはほとんど無視していいかもしれない

これはカード会社のJCBサイトでのSSLの情報である。Firefoxで表示される画面なのでIEでは表示される内容も項目名も異なるが、発行対象となっている情報をよく見てほしい。
組織名や一般名称(サイト)がメールで連絡してきた会社になっているか判断しなければならない。
もし一般名称がwww.hogehoe.tvというような怪しい名前になっていたときは、このサイトは信用できないと判断してよいだろう

IEでSSL証明書の確認は右下のステータスバーにある鍵マークをクリックする

表示される内容は発行先(証明される会社・サイト名)と発行者(証明を行う会社名)である。詳細タブではその他の事項も確認できるが、ここでは発行先が重要である。ここに表記されているサイト名が正規の会社の名前でなかったら詐欺サイトと判断できる。

最近ではブロードバンドが利用可能なお国も確実に増えてきている。詐欺師たちは自前でサーバを立ち上げて短時間のうちに情報を収集し跡形も無く消えていく傾向にある。今後ますます偽SSLサイトを使ったフィッシング詐欺が流行するものと予想される

メールのヘッダも紹介しておく

Return-Path: <jcbreturn@info.jcb.co.jp>
Delivered-To: xxxxxxx@softhome.net
Received: (qmail 19916 invoked　by uid 417); 20 Apr 2004 04:16:01 -0000
Received: from johml101.jcb.co.jp (HELO JOHML115.jcb.co.jp) (202.32.206.143)
by 192.168.0.5with SMTP; 20 Apr 2004 04:16:01 -0000
Received: (qmail 7856 invoked by uid 101);
20 Apr 2004 13:15:19 +0900
Date: 20 Apr 2004 13:15:19 +0900
Message-ID: <20040420041519.7855.qmail@JOHML115.jcb.co.jp>

メールのヘッダを見れば最初に送ったのが誰なのか判断できる。ここではjohml101.jcb.co.jpさんがメールを送ってきている。しかし最近ではメールヘッダの偽造も行われているので、ヘッダだけで真偽を判断することは難しい。しかし判断材料のひとつにはなる。

メールをテキスト形式にしたからといって油断してはいけない。あなたはYahooメール等のWebで使えるメールを利用していないだろうか？Webで使えるメール、つまりブラウザで見るメールはhtml形式なのかテキスト形式なのか区別が難しい。乱暴に言うとブラウザで見るのだからhtml形式なのである。
そうなると、このような「会員情報の変更のお知らせ」などのメールはWebメールから転送して、テキスト形式で改めて表示するのが安全だと思われる。

ここまではカード会社のフィッシング詐欺を取り上げてきたが、詐欺の対象となるものは

氏名
住所
電話番号
メールアドレス
ID
パスワード
生年月日

などの情報である。つまり「小学校の同窓会名簿作成のお知らせ」というメールが来て、現住所や勤務先を入力させるようなケースも考えられる。

またトロイの木馬(キーロガー)をセットにしたメールを送信して、本物のサイトへアクセスさせ、そのとき入力したカード番号やパスワードをトロイの木馬が送信するケースも出てきている。個人情報を入力する前には必ず前記のチェックを怠らないことだ。

もしものときの対応(後になって気がついた場合)

クレジットカード会社に至急連絡する。カード会社は24時間サポートを受け付けているので速やかにカードの無効と再発行を連絡する
銀行カード(キャッシュカード)でも同様に口座を持つ支店に連絡する
ISPのパスワードが漏れた場合はISPに連絡してログインユーザー名やパスワードの変更を連絡する
警察庁のフィッシング110番へ通報する→「警察庁フィッシング110番」

・Hostsファイルの書き換えについて

Hostsファイルと言うのをご存知だろうか？XPなどNT系のWindowsであれば「C:\WINDOWS\system32\drivers\etc」にあるが普段はまったく意識することが無いファイルである。
このファイルはIPアドレスとホスト名の関連付けを記述するものだ。こう書くとDNSと同じこと？という疑問をもたれた方は"正解"である。サイトへアクセスするときに

www.yahoo.co.jpとアドレスバーに入力するとDNSへ「www.yahoo.co.jpのIPアドレスは?」と問い合わせを行う
DNSからはwww.yahoo.co.jpは「xxx.xxx.xxx.xxxというアドレスですよ」と回答が得られる
回答されたxxx.xxx.xxx.xxxへアクセスするとwww.yahoo.co.jpのコンテンツが表示される

というのが通常の方法だが、Hostsファイルに記載があると

www.yahoo.co.jpとアドレスバーに入力するとHostsファイルを参照する
Hostsファイルに記述があれば、そのIPアドレスを渡す
Hostsファイルに記述が無ければDNSへ「www.yahoo.co.jpのIPアドレスは?」と問い合わせを行う
DNSからはwww.yahoo.co.jpは「xxx.xxx.xxx.xxxというアドレスですよ」と回答が得られる
得られたIPアドレスxxx.xxx.xxx.xxxへアクセスするとwww.yahoo.co.jpのコンテンツが表示される

のようにIPアドレスの問い合わせはHostsファイル→DNSの順番と決まっている。つまりHostsファイルにwww.yahoo.co.jpと詐欺サイトのアドレスを記述しておくと、本人が知らないうちにYahooだと思ってアクセスしたら詐欺サイトだったということになる。ページの内容も同じであればほとんど気づくことも無いだろう。

# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
202.232.58.50　　　yahoo.co.jp

本来www.yahoo.co.jpは211.xxx.xxx.xxxというアドレスだが、Hostsに記載することでアドレスバーにwww.yahoo.co.jpと設定すると202.232.58.50へアクセスさせることが出来る。

最近ではHostsファイルを利用することは稀になっているはずなので

Hostsファイルの内容を一度チェックする。127.0.0.1以外の記述があり身に覚えが無ければ削除する
Hostsファイルの書き込み・変更の権限を全部外してしまってもいいかもしれない

フィッシング詐欺についてAnti-Phishing Working Groupが発表している資料や詐欺手口の実例などを紹介したページもぜひ参照して欲しい。

・Anti-Phishing Working Groupのレポート紹介
・詐欺サイトの疑似体験と対策方法について
・フィッシング詐欺の実例(送られてきたメールとサイト)

・セキュリティのTOPに戻る