~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > NEWS LETTER No. 15:フィッシング対策ガイドライン 消費者が考慮すべき要件のご紹介

インタビュー

NEWS LETTER No. 15:フィッシング対策ガイドライン 消費者が考慮すべき要件のご紹介

2009年03月02日

フィッシング対策ガイドライン2008年度版の「消費者が考慮すべき要件」の中から、「怪しいメールを見分ける方法」として挙げている3つの要件をご紹介いたします。

 

newsletters.jpg

1.はじめに

フィッシング対策協議会では、サービス事業者と消費者のフィッシング対策に活用して頂くために、「フィッシング対策ガイドライン(以下、ガイド)」を策定しています[1]。ガイドでは、「サービス事業者が考慮すべき要件」として34項目、「消費者が考慮すべき要件」として13項目を挙げています。本稿では、ガイド2008年度版の「消費者が考慮すべき要件」の中から、「怪しいメールを見分ける方法」として挙げている3つの要件をご紹介したいと思います。

2.機微情報の入力を求めるメールを信用しない

1つ目の要件として、「機微情報の入力を求めるメールを信用しない」を挙げています。IDやパスワード等の機微情報を搾取する例として、ガイドでは、下記のメッセージを例示しています。

○貴方のアカウントは再認証が必要です、パスワードの入力をお願いします
○貴方のアカウントに怪しい操作が行われました、確認して下さい
○特別なプレゼントが貴方を待っています、サイトにログインしてお確かめ下さい

最近の事例で手口を見てみましょう。Yahoo! Japanをかたるフィッシング[2]は、「重要なお知らせです」という題名で、「お客様の会員情報の更新をお願いします。」という案内を行い、偽のWebサイトで個人情報を入力させる手口でした。
また、@niftyをかたるフィッシング[3]は、@niftyのサイトを装ってパスワード有効期限切れを理由に再確認を促し、@nifty ID、パスワードを入力させる手口でした。

メールで直接、ID/パスワード、銀行口座番号、クレジット番号等の機微情報を問い合わせることは怪しいとされています。メールが本物か否か判断付かない場合は、電話など別の手段を使って、メールの送信者に確認を取るようにしましょう。なお、電話をする場合、メールの本文やリンク先に書かれている電話番号も偽物かも知れませんので、注意してください。

3.メールに記載される差出人名称は信用しない

2つ目の要件として、「メールに記載される差出人名称は信用しない」を挙げています。メール本文に記載された差出人名称や、メールソフトの差出人欄に表示された名称、メールアドレスは、送信者が任意に指定できる情報であるため、偽った情報である可能性があります。それら外見上の情報のみで安易に判断しないようにしましょう。

前記、Yahoo! Japanをかたるフィッシング[2]の事例では、差出人が「lkhjgdf3@yahoo.co.jp」となっており、yahooドメインから送信されたように装っていました。

なお、ガイドでは、特定の組織や担当者を狙った「標的型攻撃」に言及しています。「標的型攻撃」は、差出人に実在する関係者の氏名が使われるなど、騙すためにより巧妙な手口が使われています。

4.怪しいメールの判断基準を知る

3つ目の要件として、「怪しいメールの判断基準を知る」を挙げています。ガイドでは、怪しいメールの判断基準として、下記を例示しています。

○「緊急、今すぐ、明日まで」等、対応を急がせる文面
○「素晴らしい、あなただけに、特別な」等、欲望を掻き立てるフレーズ
○なんらかの秘密情報を聞き出そうとする
○日本語として妙なところがある(外国人が作成したもの)
○電子署名が付与されていない(現状は、ほとんど付与されていないので効果がない)

前記、Yahoo! Japanをかたるフィッシング[2]の事例では、更新を行わない場合に不具合を起こす可能性があると、不安を煽るような内容になっていました。

冷静に判断、対応するとともに、少しでも「怪しい」と感じたら、他の人に相談したり、電話など別の手段を使って確認するといった行動を取りましょう。繰り返しになりますが、電話をする場合、メールの本文やリンク先に書かれている電話番号も偽物かも知れませんので、注意してください。また、怪しいメールを受け取った際に、メールヘッダをもとに調査する方法を、NEWS LETTER No. 10:フィッシングメールのヘッダ解析[4]で紹介していますので、参考にしてください。

5.まとめ

本稿では、フィッシング対策ガイドライン 2008年度版の「消費者が考慮すべき要件」の中から、「怪しいメールを見分ける方法」として挙げている3つの要件をご紹介しました。怪しいメールを「怪しい」と感じるよう注意を払うことと、少しでも「怪しい」と感じたら確認するということを励行し、フィッシング詐欺から自分の身を守りましょう。

6.参考文献

[1] フィッシング対策ガイドラインの公表について(フィッシング対策協議会)
 http://www.antiphishing.jp/report/guideline/wg821.html
 [2] Yahoo! Japanをかたるフィッシング(2009/2/9) (フィッシング対策協議会)
 http://www.antiphishing.jp/news/database/yahoo_japan200929.html
 [3] @niftyをかたるフィッシング(フィッシング対策協議会)
 http://www.antiphishing.jp/news/database/nifty.html
 [4] NEWS LETTER No. 10:フィッシングメールのヘッダ解析(フィッシング対策協議会)
 http://www.antiphishing.jp/news/interview/news_letter_no_10.html