怪しいメールに記載されたサイトにはアクセスしない

これはフィッシング対策としてよく耳にするフレーズである。では、どのようなメールが「怪しい」のだろうか。ここでは、怪しいメールを見破るいくつかの方法を例示し、その効果を検討する。

○ 送信元アドレス

まず点検すべきはメール送信者欄だ。ここが正しいアドレスになっていない場合には簡単に見破れる。が、送信元アドレスは簡単に偽ることができるので、「本当の」送信元を知る必要がある。

それには電子メールのヘッダ情報を確認する。電子メールソフトウェアによって操作は異なるが、Outlook Expressならば、「ファイル」メニューから「プロパティ」を選択すれば、ヘッダ情報が表示される。ヘッダ情報中のReceivedと書かれた行は、そのメールがどんな経路をたどって送信されてきたのかが示されているが、最も下のReceived行に「本当の」送信元のIPアドレスとドメイン名が記載されている。このドメイン名が、メールの見た目の送信元と異なっている場合、怪しいと判断できる。

○ Webサイトへのリンク

フィッシングメールでは、本文中に埋め込まれたウェブサイトへのリンクが、以下の例のように、メール本文に表示されるURLと実際のリンク先とで異なっているのが一般的だ。

<a href="http://www.google.co.jp/"> http⁄/www.yahoo.co.jp/ </a>

これを見破るには、やはり先ほどと同じ「プロパティ」から「メッセージのソース」を選択する。

○ メールの文言

フィッシングメールの目的を思い出してもらいたい。被害者をフィッシングサイトへ誘導するのがその目的である以上、リンクをクリックさせようとする文言が散りばめられている。例えば「ご本人確認が必須」「この操作を行っていただけない場合、サービスが利用できなくなる場合があります」など、執拗にウェブサイトを訪問させようとする意図が見られる場合、メールの信憑性を疑ってかかって構わないだろう。

各レベルのフィッシング・ファーミングへの対応度
　レベル1　★★★☆☆
　レベル2　★★★☆☆
　レベル3　★☆☆☆☆
　レベル4　★☆☆☆☆
　レベル5　★☆☆☆☆

　導入の容易さ　★★☆☆☆
　使用しやすさ　★★☆☆☆
　価　　　　格　★★★★★

　総合評定　★★☆☆☆

◎ コメント

ここで述べた対策をしっかりとっていけば、フィッシングの被害に遭うことは少ないだろう。しかし、操作が面倒であり、ヘッダ情報やHTMLメールのソースを読み解くにはそれなりの専門知識を必要とする。したがって、だれにでも勧められる方法ではないし、ファーミングに対してはほぼ無力である。

信用できるURLからアクセスを開始する

これも個人でできるフィッシング対策としてはよく聞くフレーズである。メールの内容や、特に埋め込まれたリンクは信用せず、送信元とされる企業のトップページからアクセスする方法だ。

例えば、銀行から「ご本人確認が必要」と言うメールが届いたとする。その場合、その銀行のトップページにアクセスし、そこから「ご本人確認」のページを探すのだ。もし、メールがフィッシングメールであれば「ご本人確認」のページは見つからないだろうし、場合によっては銀行自身が「フィッシングに注意」といった警告を発しているのを見つけられるかもしれない。

この対策は、上述した電子メールの信憑性を確認する対策法の、「確認」の部分を省いたものと言い換えることができる。つまり、性悪説に基づき、全てのメールを信用できないものとして取り扱う。

各レベルのフィッシング・ファーミングへの対応度
　レベル1　★★★★★
　レベル2　★★★★★
　レベル3　★☆☆☆☆
　レベル4　★☆☆☆☆
　レベル5　★☆☆☆☆

　導入の容易さ　★★★★☆
　使用しやすさ　★★★★☆
　価　　　　格　★★★★★

　総合評定　★★★☆☆

◎ コメント

非常にシンプルな対策法であるため、メールの信憑性を確認する方法に比べてPCに詳しくないユーザでも十分に実践可能である。メールのリンクをクリックしないので、メールを使ったフィッシングに対する効果はほぼ100%と言えそうだ。ただし、ファーミングに対しては無力である。

アクセス先のSSL証明書を確認

銀行やクレジット会社をはじめとする個人情報を扱うウェブサイトでは、一般的にSSLと呼ばれる暗号化通信を利用している。SSL証明書をサーバにインストールして自らの正統性を証明し、なおかつブラウザ・サーバ間の通信を暗号化するする技術である。むしろ、SSLを用いていないようであれば、そのサイトは非常に怪しい。フィッシングサイトであるかどうかは別にして、そのようなサイトへの個人情報の入力は極力避けるべきである。

SSLで通信されていることの確認は、①ブラウザのアドレスバーで、URLが「https://」となっている、②Internet ExplorerやFirefoxであれば画面下ステータスバー内の右方に閉じた錠前の画像が表示されている、のどちらかで可能だ。しかし、フィッシングサイトではアドレスの偽装が行われていることが多いので、①より②の方が確実である。

では、SSL通信であれば安心してよいのだろうか。フィッシングサイト開設者が、証明書を取得して手の込んだ偽装サイトを作っている可能性も否定できないので、万が一に備えて証明書の内容も確認しておく。

SSL使用を明示している錠前の画像をダブルクリックすると、サーバにインストールされているSSL証明書の内容が表示される。証明書には、国名や会社名が記されているので、それらの情報がアクセス先のサイトの情報と食い違っていれば、そのサイトが「怪しい」と判別できる。

各レベルのフィッシング・ファーミングへの対応度
　レベル1　★★★★★
　レベル2　★★★★★
　レベル3　★★★★★
　レベル4　★★★★★
　レベル5　★☆☆☆☆

　導入の容易さ　★★★★★
　使用しやすさ　★★★☆☆
　価　　　　格　★★★★★

　総合評定　★★★★☆

◎ コメント

総合的に見ると、個人でできる対策としては最も信憑性が高い方法であろう。作業も「錠前の確認」と「証明書の内容の確認」のみで、比較的操作もわかりやすい。正規のサーバ乗っ取り以外のフィッシング・ファーミングには、非常に優れた対策法だ。

以上、3回にわたって製品を使った対策法、および個人の注意によって可能な対策法を検討してきた。どの方法にも一長一短があるが、注意すべき点は以下の2点に集約できる。

・個人情報を扱う際、常にサイトの信憑性に注意を払う
・日々新しい攻撃方法が開発されているので、情報収集を怠らない

突き詰めて考えると、フィッシング・ファーミングも、PCを扱う際のセキュリティの基本事項を遵守することでかなりの被害は防止できる。それをサポートするのが、前回までに紹介してきた対策製品群である。