メールやSMSのメッセージを悪用したフィッシングサイトによる被害が発生しています。正規のWebサイトに似せた偽のWebサイトにアクセスさせて、ユーザーの個人情報やクレジットカード番号などを奪う悪質な攻撃ですが、どのようにすれば被害を防げるのでしょうか。この記事ではフィッシングサイトの概要と注意点、そして対策方法について詳しくご紹介します。
フィッシングサイトとは
フィッシングサイトとは、身元を偽った送信者が、不正なWebサイトのURLが含まれているメールやSMSを送信し、受信者にクリックさせて不正なWebサイトにアクセスさせ、個人情報などを盗み出す詐欺行為を目的としたWebサイトのことです。
これまでに有名企業や有名人を装った、もっともらしい文面のメールを受信したことがある方もいるかもしれません。そのようなメールの中に記載されているURLをクリックすると、有名な金融機関やショッピングサイトに似せた偽のWebサイトにアクセスさせられます。本物のWebサイトと区別ができないほど作り込まれていることも多く、メールを受信したユーザーの中には、偽のWebサイトにてユーザー名やパスワードを入力してしまう方もいます。フィッシングサイトの狙いは、まさにそこにあります。
フィッシングサイトの手口
フィッシングサイトの手口には、大きく分けて以下の2つがあります。
電子メールでフィッシングサイトに誘導
クレジットカード会社や銀行などからの連絡を装ったメールを送信し、メッセージに含まれているリンクをクリックさせる手法です。リンク先のWebサイトは、本物のWebサイトに似せてある偽サイトであり、そこでユーザーにクレジットカード番号や口座番号を入力するように促して、入力させた情報を盗み取ります。
電子掲示板やSNSなどからフィッシングサイトに誘導
電子掲示板やSNSなどの投稿サイトにフッシングサイトのURLを記載してアクセスさせる手法もあります。記載するURLは実在する本物のWebサイトのURLに見間違えるような内容にさせてあることが多く、例えば、アルファベットの「o(オー)」を数字の「0」にするなどにごまかされていることがあります。
フィッシングサイトに対する注意点
フィッシングサイトに対する注意点を3つご紹介します。
SSL化していてもフィッシングサイトでないとは限らない
WebサイトがSSL化されていても、そのサイトがフィッシングサイトでないとは限りません。SSLはWebサーバーとクライアント間の通信経路を暗号化するだけの技術です。SSLに対応しているWebサイトを開くとブラウザのアドレス欄に鍵マークがつきますが、だからと言って安全なWebサイトであるとは限らないのです。
最近では、SSLをレンタルサーバーの無料オプションとして提供されていることが多く、悪意を持つ者が公開しているフィッシングサイトをSSLに対応させるのは容易だからです。
ドメインはあてにならない
WebサイトのURLのドメインについても、絶対に安心できると言い切れるドメインはありません。例えば、「.com」や「.jp」のトップレベルドメインは誰でも取得できます。「.jp」は日本のドメインだからと言って、安全なわけではありません。
サイトが乗っ取られるとフィッシングは回避できない
最悪なケースですが、正規のWebサイトが乗っ取られてしまうこともあります。Webサーバーに不正アクセスして、編集権限を悪意のある第三者によって奪われてしまい、コンテンツが書き換えられてしまった場合、正規のURLで、見た目も本物のフィッシングサイトのできあがりです。こうなってしまうと、そのWebサイトがフィッシングサイトであることを見分けるのは困難です。
フィッシングサイトの事例
実際に存在したフィッシングサイトの事例を3つご紹介します。
楽天をかたるフィッシングサイト
大手ECサイトの楽天をかたるフィッシングサイトが確認されました。「【楽天市場】障害解消: 複数サービスダウン復旧のお知らせ」の件名が使われているメールが送信されており、メール内には「https:// ●●●●-rakuten.site/」や「https://rakuten-●●●●.work/」などの楽天のドメインに似せた、偽のドメインのWebサイトのURLが記載されていました。
MyJCB をかたるフィッシング
クレジットカード会社のMyJCBをかたるフィッシングサイトが確認されました。「【重要なお知らせ】【MyJCB】ご利用確認のお願い 】」や「【重要】JCB 緊急のご連絡」「<重要>【My JCB】ご利用確認のお願い」などの緊急を装った件名のメールが届き、メッセージ中にフィッシングサイトへのURLが記載されていました。
記載されていたURLとして「http://my-jcb.●●●●.top/」や「http://my-jcb.●●●●.bar/」などの正規のWebサイトのURLに似せてあるドメインが使われているのが特徴です。
北海道銀行をかたるフィッシング
北海道銀行をかたるフィッシングサイトも確認されています。「北海道銀行重要なお知らせ」という件名のメールが届き、メッセージ中に「https://hokkaidobank●●●●.com/」というドメインのURLが記載されており、クリックするとフィッシングサイトへアクセスさせられます。
フィッシングサイトの対策
フィッシングサイトへの具体的な対策方法を3つご紹介します。
メールのリンクはクリックしない
メールやSMSなどに含まれているリンクをクリックしないようにしましょう。正規のWebサイトへのアクセスは、Webブラウザに保存されているブックマークからアクセスすれば安全です。
フィッシングサイトのURLは、正規のWebサイトのアドレスに似ていますが、少し異なる部分があるのが特徴です。言い方を変えると、正規のWebサイトのURLに似ているが、少し異なる文字列のURLは、フィッシングサイトのURLである可能性が非常に高いです。
またフィッシングサイトへ誘導するメールは電子署名が添付されていないものがほとんどです。そのため電子署名が添付されていないメールで、もっともらしいメッセージと怪しいURLが記載されているものは、まずは疑ってかかるのが賢明です。
サポート対象のOSやWebブラウザを使う
パソコンのOSやWebブラウザは、販売元のサポート対象となっているバージョンのものを使いましょう。例えばWindowsであれば、現在はWindows10がサポート対象ですし、ブラウザはEdgeやGoogle Chromeなどの最新バージョンが開発元のサポートを受けられます。
サポートが切れたOSやWebブラウザは、脆弱性が発見されても修正されない可能性が高く、セキュリティ対策されないことが一般的です。もしそのようなOSやWebブラウザを使い続けていると、脆弱性を利用されて、より深刻な攻撃を受ける可能性があります。
本物のサイトが改ざんされている可能性も
本物のWebサイトが改ざんされて、フィッシングサイトになっている可能性もあります。この場合、ドメインも本物で、見た目も本物となってしまい、一般のユーザーが見分けるのは、かなり困難です。セキュリティ対策ソフトのフィッシングサイト対策機能も働きませんし、SSLによるサーバーの証明書も正規のものなので、検証もできません。ユーザーとしては、このように本物のWebサイトが改ざんされてしまうこともある、ということを覚えておくしかありません。
まとめ:
フィッシングサイトは非常に悪質なサイバー攻撃ですが、不正なWebサイトへのアクセスさえしなければ、被害を防げる攻撃です。攻撃者はメールやSMSを駆使して、あの手この手でフィッシングサイトへのアクセスを誘導します。
しかし、誘導先のWebサイトのURLの文字列をしっかりと確認することと、正規のWebサイトへのアクセスは、ブラウザに保存されているブックマークを使うことを徹底することで、フィッシングサイトへのアクセスを回避し、被害を防ぐことは可能です。
