Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

フィッシング詐欺をいかに見破り対策するか(前編)
〜国内銀行を騙る日本語フィッシングメールが出回る


ついに日本語で国内銀行を騙るフィッシングメールが

UFJダイレクトを騙る偽サイト。韓国他3カ国のサイトがクラックされ、偽の銀行サイトが作られた
 3月15日、UFJ銀行を騙る日本語のフィッシングメールが大量に送付され、ほぼ同時にみずほ銀行を騙る日本語のフィッシングメールも無差別に送付された。両銀行はフィッシング詐欺に注意するよう警告を出している。

 筆者が受け取ったUFJ銀行を騙るメールの場合は、「銀行のセキュリティーの向上に伴い」「オンライン上でのご本人確認」を促す内容で、3つのWebサイトへのリンクが記載されている。これらは全て、偽物のサイトだ。メール本文中のURLをクリックすると、「契約カード番号」と「ログインパスワード」を記入するよう促すページが表示された。

 これまでのところ、このフィッシング詐欺メールによる被害に関する報道はないが、アカウントとパスワードをこのサイトで入力しまったら、フィッシャーに追ってアカウントを奪取され、口座の悪用や銀行口座からの不正な金銭の引き出しが行なわれる可能性が高い。

 今回の件は、以下のような特徴から、従来のフィッシングよりも悪質であり、かつ万一被害にあった場合のダメージが大きくなることが予想される。

・被害に対する保証がなく、多くの金銭を預けているであろう銀行口座が狙われたこと

・明らかに日本人ユーザー向けで、送付メール数も相当に上ると推測されること

 ただし、幸いなことに、今回はフィッシングメールの作りがかなり稚拙であったことから、多くの人が偽物であることを見破ることができたと思われる。

 しかし、この手の犯罪においては、特に心理面を突くというソーシャルな方向でどんどん進化しており、次に来るときには今回よりずっと見分けるのが難しくなっている可能性が高い。

 フィッシング詐欺の被害はこれまでもいくつか報告されているが、実は、今までの被害は英語のものがメインだった

 先月、あるクレジットカード会社が、会員がフィッシング詐欺と思われる被害にあったことを公表した。筆者も取材などを行なったのだが、実は英語でのフィッシングメールのため、よくわからないままにクレジットカード番号を記入してしまい、悪用されたという人も多かったようだ。

 しかし、今回のメールに関しては、はっきり日本の日本人のユーザーをターゲットにしてきていることは、偽サイトの作りなどからしても明らかだ。これを機に、しっかりとフィッシングを知り、対策を立てておくべきだろう。

 フィッシングは金銭的被害に直結するため、これまでのコンピュータウイルスなどによる被害に比べて、受けるダメージはずっと大きいことを心しておくべきだ。


今回のフィッシングメールの内容

フィッシングメールのヘッダ表示。ufjbank.co.jpを名乗っているものの、メールそのものはフィンランドのメールサーバーを使って送られており、この点だけでも明らかに不審なメールだ
 今回のフィッシングメールは、フィッシングメールとしてはかなり稚拙なものだ。いかにも銀行から届きそうなメールの形はしているが、最近のフィッシングメールでは常套手段となっているアドレスバー偽装などは全く行なわれていない。このため、URLを確認するだけでも見破ることができる。

 今回送られたフィッシングメールはHTMLメールで、Outlook Expresなどで見ると、UFJダイレクトのホームページと同様の体裁を取っている。内容は前述のように、「銀行のセキュリティーの向上に伴い」「オンライン上でのご本人確認」を促すもので、3つのWebサイトへのリンクが記載されている。これらのサイトはすべて偽の銀行サイトだ。クリックすると、「契約カード番号」と「ログインパスワード」を記入するよう促すページが表示される。

 送り主は"Verify" となっていた。ただし、メールヘッダを参照すると、メールは国内からではなくフィンランドのサーバーを使って送られていることがわかる。


フィッシングメールを見破るには

whoisやIP Locatgorなどを利用することで、IPアドレスがどの国の誰が管理しているものなどが、おおまかにわかる。画面はサイバーエリアサーチの提供しているIPアドレス検索でフィッシングサイトのアドレスを調べたところ。韓国のものであることがわかる
 筆者が毎日受信するメールの中には、あからさまにおかしいと感じるメールがときどきある。フィッシング詐欺に遭わないためには、そうした不審なメールが詐欺メールであることを見抜いて、騙されないようにしなければならない。

 今回のフィッシングは、偽装のための工作をさほどしていなかったため、フィッシングサイトを見破るのは簡単だった。

 たとえば、メーラーで表示したメール本文中のリンクの上にマウスを置くと、ステータスバーにリンク先が表示される。今回のメールでは、メール中に「https://www.ufjbank…」となっていたのに、ブラウザのアドレスバーには「http://61.38.30.…」とIPアドレスが表示され、セキュアサイトの証である錠前アイコンも表示されない。かなり疑わしいメールであることがここでわかる。

 ちなみに、今回使われていた、61.38.30.……というIPアドレスは、韓国に割り当てられているものだ。メール本文中にはこのほか2つのURLが書かれていたが、これらも確認したところ、いずれも外国のIPアドレスが割り当てられていた。

 しかし、最近のフィッシングメールでは、Internet ExplorerやOutlookなどの脆弱性を利用したり、あるいはJavaスクリプトなどを使って、ステータスバーやアドレスバーを偽装し、あたかも真正のサイトにアクセスできるかのように振る舞う工作が施されている場合が多い。


フィッシングサイトはボロを出す

 さらに、フィッシングメール本文中のURLに実際にアクセスしてみると、フィッシングサイトはいろいろなボロを出す。

 まず最初に確認すべきは、個人情報の入力を促す場合、そこがセキュアなサイトになっており、アドレスが「https://〜」で始まっているかという点だ。これは、表示中のWebページのプロパティやブラウザのアドレスバーで確認することができる。

 また、正当なセキュアなサイトであれば、以下に挙げる条件は「全て」満たすはずだ。

・メール、ブラウザに表示されているアドレスを手入力しても同じページが表示される

 ブラウザのアドレスバーを非表示にしている場合は、アドレスバーを表示する設定にして、もう一度URLを手で入力し直してみれば確認できる。

・表示させるときにセキュリティの警告が表示されない。

 たとえば、あるセキュアなサイトの証明書を使って他のサイトでHTTPSで接続させようとすると、「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」という警告画面が表示される。

・アドレスバーに「https:〜」と表示されている。

 セキュアなサイトであれば、必ず表示される。ただし、偽サイトも真っ先に偽ろうとする部分なので、ここだけを確認して安心してしまうのは非常に危険だ。

・ステータスバーに錠マークが表示されている。

 こちらもセキュアなサイトであれば、必ず表示されるもので、偽サイトで表示される例は少ない。しかし、錠マークがあれば安心とは言い切れない。たとえば、サービスを提供しているサイトにセキュリティホールがあり、Iframeなどで他のサイトの内容を表示されてしまうようなセキュリティホールが使われている状態の場合には、偽サイトでも表示されてしまう可能性がある。

・証明書が正しい。

 開いたWebページのプロパティで、証明書を見る。この際に、「発行先が、開いたWebのドメイン名と一致する」かどうかを確認する。この手段は有効性が高い。

 錠マークやURLの確認だけでは、悪意のサイトが「他のセキュアなサイト」へ誘導し、なおかつアドレス詐称していた場合は「本来のサイトのアドレスが表示されて、なおかつ、ステータスバーの錠マーク」も表示されてしまう。

 以上の項目をひと通りチェックすれば、かなりの確度で、サイトが正当かそうでないかを確認することができる。

 今回の国内銀行を騙るフィッシングでは、アドレスが「https://〜」になっていないところで、まず怪しい。もし、これが本当に銀行のサイトだとしたら抗議されて当然の状態だ。そこで、UFJ銀行に「おかしいのではないか」とメールで確認すれば本物かどうか判断がつく。もし、アドレスバーの表示が「https://〜」となっていた場合は、他の項目も順に確認していくとよいだろう。

(明日の後編に続く)


関連記事
金融機関を騙ったフィッシングメールが続発、UFJ銀行やみずほ銀行を偽装(2005/03/15)
フィッシング詐欺をいかに見破り対策するか(後編)
〜国内銀行を騙る日本語フィッシングメールが出回る(2005/03/17)



( 大和 哲 )
2005/03/16 19:32

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.