フィッシング詐欺とは、クレジットカード会社や金融機関、オークション、オンラインゲームなどのホームページにそっくりな偽ページにユーザーを誘導し、本物のサイトだと思って入力したID・パスワードなどの重要情報を盗む詐欺の手口です。
この詐欺は海外に多いのですが、日本でも被害が増え始めています。

フィッシング詐欺については、以下の文書もご参照ください。

フィッシング詐欺について

フィッシング詐欺の被害として、具体的には以下のようなものが挙げられます。

■ インターネットバンキングにおける不正出金
ID、パスワードなどを盗まれ、取引銀行口座に入っていた預金が引き出されてしまう。

■ クレジットカード情報の不正利用
クレジットカード番号、暗証番号などが盗まれ、インターネットショピングされたり、偽造カードを作られてしまう。

■ インターネットオークションにおけるなりすまし
ID、パスワードなどを盗まれ、オークション詐欺などに利用されてしまう。

■ 個人情報の不正売買
重要な個人情報を盗まれ不正に売買された結果、不特定多数の犯罪者に悪用されてしまう。

フィッシングメールは、メールを受け取った人に銀行やクレジットカード会社からの本物のメールだと思わせるようなテクニックが散りばめられています。

�@ 送信元メールアドレス (From: 欄) を偽っていることが多い

フィッシングメールは多くの場合、送信者 (差出人、From: 欄）を詐称しています。例えば、Citibank のサイトを偽る手口が実際にありましたが、この場合は「info＠citi．com」のような、もっともらしいメールアドレスから送られてくるというわけです。



�Aクレジットカード番号やパスワードなどの個人情報を入力するよう求めてくる

通常の企業が、個人情報の登録・修正などをメールで求めてくることはありません。



�B 緊急性が高いことを示す文面

フィッシングメールは、ユーザーが考える暇もなくすぐに応答するように、至急の対応を要求するメール内容となっています。



�C 偽サイトへ誘導するリンク

HTML メールの場合、リンクは通常 "マスク" されているため、リンクをクリックするとそこに表示されているアドレスではなく別のアドレスにつながり、偽の Web サイトが表示されます。

ほとんどのメールソフトでは、リンクの部分にマウスカーソルを当てれば、ステータスバーなどにリンク先アドレスが表示されますが、このアドレスとメール中のアドレスが異なる場合には怪しいと判断してよいでしょう。

一方、テキストメールでは、リンク先のアドレスがヒントになります。

これは、IP アドレスによる URL です。
IP アドレスはインターネット上の住所にあたる数字ですが、わかりにくいので、通常は「http://prius.hitachi.co.jp」のような「ドメイン名」が使用されています。
著名な企業が IP アドレスの URL を使用することはまずありませんので、メール文中にこのような数字の URL があったら、フィッシングメールと判断して間違いありません。

氏名や住所、電話番号のほか、クレジットカード番号や暗証番号などを入力する必要のある Web サイトが、信頼できるものであるかどうかを判断できれば、フィッシング詐欺に遭う可能性は大幅に低くなります。

フィッシングサイトを見分けるために知っておきたいポイントを 4 つ紹介します。

■ 鍵マークを確認
Internet Explorer 6 ではブラウザ右下部のステータスバーに、Internet Explorer 7 ではアドレスバーの右横に、「鍵マーク」があるか確認します。
このマークは、SSL (Secure Sockets Layer) という暗号化技術が使用されていることを証明するものです。
SSL は暗号化だけではなく電子証明書という身分を証明する機能も備わっています。
インターネットバンキングなど重要な情報を扱うホームページの ID やパスワードを入力する画面では、ほとんどこのマークが付いています。
個人情報を入力する際は、このマークが表示されているかどうかを確認してください。

ただし、個人情報を入力する Web サイトであっても、鍵マークがない場合もあります。
必ずしもフィッシングサイトとは限りませんが、情報の暗号化が行われないため、悪意のある第三者が情報を盗み取る可能性は高くなってしまいます。

■ ブラウザのアドレスバーを確認�@
通常、前述の SSL による情報の暗号化を行っている Web サイトのアドレスは、「https:// 〜」で始まります。

フィッシングサイトの中には、アドレスが「http://XXX.XXX.XXX.XXX/〜」(X は 0 〜 9 までの数字 = IP アドレス) と表示されるものがあります。
IP アドレスが入っている Web サイトのすべてがフィッシングサイトというわけではありませんが、個人情報の入力には注意が必要です。

■ ブラウザのアドレスバーを確認�A
アドレスバーの画面に正しい URL を記載した画像を強制的に表示して、あたかもアドレスバーに正しい URL が表示されているように見せかける手口が発生しています。
これは、アドレスバーの上に別のウィンドウを重ねることで偽装しているかどうかを判別できます。

■ SSL 証明書で証明書の所有者情報を確認
最近では、SSL 証明書を持つフィッシングサイトもあり、鍵マークが出ているからといって、無条件に信用できない場合もあります。
SSL 証明書を持つフィッシングサイトを見分けるためには、SSL 証明書で証明書の所有者情報確認する必要があります。
鍵マークをダブルクリックし、表示された [証明書] 画面の [詳細] タブで [サブジェクト] を指定すると、証明書を取得した組織 (企業) の情報を参照できます。
例えば、「O (組織名)」フィールドには、その Web サイトを運営する組織・企業の英語名が表示されます。

確認方法の詳細については、以下の文書をご参照ください。

SSL 証明書で、証明書の所有者情報を確認する方法 (Windows XP)
SSL 証明書で、証明書の所有者情報を確認する方法 (Windows Vista)

フィッシング詐欺の被害に遭わないためにの基本姿勢を身につけておくだけで、被害に遭いにくくなります。

まず、怪しいメールには十分気をつけましょう。
銀行やクレジットカード会社が情報を確認する際には、必ず書面で行われます。
Web ページで確認することはありませんので、このような問いかけのメールには注意してください。

また、メールに記載された URL を不用意にクリックしないようにご注意ください。
もしメールの内容に不審な点があった場合には、該当メールに返信したり、記載されている URL をクリックするのではなく、該当企業のホームページを直接訪れて内容を確認するか、電話等で直接問い合わせるようにしましょう。

さらに、普段から以下の対策を心がけましょう。

■ Windows Update を実行して、最新のセキュリティバッチを適用する
Internet Explorer の脆弱性を利用すると、アドレスバーやステータスバーの表示を偽装することも可能です。
これを防ぐには、Windows Update を使った最新のセキュリティパッチの適用を日常的に行うことです。
Windows Update を実行する方法については、以下の文書をご参照ください。

Windows Update を実行する方法 (Windows XP)
Windows Updateの実行方法 (Windows Vista)

■ HTML メールはテキスト表示にする
HTML メールを使って、画面上に見えているリンクの表示と実際のリンク先アドレスを別のものにするのは、フィッシングの常套手段です。
メールの表示形式を、リンク先を偽装しやすい HTML 形式ではなく、テキスト形式にして安全性を高めましょう。
メールをテキスト形式で読み出す方法については、以下の文書をご参照ください。

Outlook Express で、HTML メールをテキスト形式で読み出す方法 (Windows XP)
Windows メール で、HTML メールをテキスト形式で読み出す方法 (Windows Vista)

■ フィッシング対策機能が付いたブラウザを使う
フィッシング詐欺には、ブラウザのセキュリティの穴を付いて偽装を行うものが多くあります。古いブラウザにはそういった穴が多いため、最新のブラウザを使用することが大切です。
Internet Explorer 7 には自動フィッシング詐欺検出機能が付いており、既知のフィッシングサイトにアクセスしようとすると警告が表示されるかそのサイトがブロックされるようになっています。

Windows XP に Internet Explorer 7 をインストールする方法については、以下の文書をご参照ください。

Internet Explorer 7 をインストールする方法 (Windows XP)

また、Internet Explorer 7 で、自動フィッシング詐欺検出機能を有効にする方法については、以下の文書をご参照ください。

Internet Explorer 7 で、自動フィッシング詐欺検出機能を有効/無効にする方法