なお、本人確認などの問い合わせがメールで届いた場合、メールに記載されているリンクを安易にクリックせず、送信元に電話するなどの手段で真偽を確認するようにしましょう
<図1> これは、2004年11月に見つかった、あるカード会社を装ったフィッシングメールと偽のWebサイトです。 これ以前は、米国などの英語圏をターゲットとした英語の文面だったのですが、この時より、日本をターゲットとした日本語メールが確認されるようになりました。最初はまだ、機械翻訳したような日本語でしたが、2005年に見つかっている国内銀行を装ったメールなどは、一般的な日本語のメールも出てきているので、騙されないよう注意が必要です。 *国内での被害も発生しており、金融機関では様々な注意喚起を行っています。 またkのことは「タイポスクワッティング」=Typo(タイプミス)とSquatting(占有)を組み合わせた造語で、有名サイトに類似したドメインを取得し、URLを直接入力するユーザのタイプミスを狙い、偽サイトへ誘導する手口のことです。 http://www.antiphishing.jp/report-phishing-mail.html . タイポスクワッティング・サイト (正)www.aaaa.com (偽)wwwaaaa.com [例えば、悪意を持つ人が、www のドットが抜けているサイトを用意
慌てないで対応しましょう 中には紛らわしいサイト名にしているものもありますが、慌てないことが大切です。 メールの送信者欄(Fromアドレス)は偽装できます。なりすましメールに注意しましょう。 手口は巧妙化していますが、必要ならば、フィッシング対策ソフトなどの導入も検討しましょう。 メール中のリンクからアクセスするのではなく、お気に入りに登録したアドレスからホームページを見るようにしましょう。
ユーザが出来る対策として、重要な情報を入力する際は実際にアクセスしているサイトを確認するために、ブラウザのSSLの鍵マークを確認しましょう。偽サイトであれば、通信は暗号化されていないケースがほとんどです。 鍵マークをダブルクリックすると、その証明書の内容が表示され、本当にアクセスしているURLをチェックすることができます。
例えば、www.ipa.go.jp/ へアクセスしていれば、サイト名が //www.ipa.go.jp/ と表示されているはずです。 また、自分で発行している電子証明書ではなく、信頼のおける機関が発行している電子証明書であることも見極めるポイントです それで、電子証明書に含まれる代表的な情報h以下のとおりです 1 電子証明書が発行されたWebサイトのホスト名 2 認証局の名前 3 電子証明書の有効期限 4 Webサイトを運営する組織名 5 運営する組織の所在地 基本的に、電子証明書の検証はWebブラウザが自動的に行い、検証される項目は以下の通りである。 1 アクセスしているURLと証明書に書かれたURLは一致するか? 2 証明書の有効期限は切れていないか? 3 発行元の認証局は信頼できるか? これらの項目に問題がなければ、Webブラウザは警告が出ません。 ここで注意が必要となるのが、フィッシャーが正規のサイトと紛らわしいドメインを取得して偽サイトを作り、そのサイトに対して電子証明書を取得した場合だ。この場合、電子証明書自体には問題はないため、Webブラウザは警告を出さない為、Webブラウザが検証するのはあくまで「Webサイトのホスト名」「証明書の期限」「認証局の信頼」であり、「このWebサイトが本物である」ということを保証出来ていない、今後に期待したい。 |
- >
- コンピュータとインターネット
- >
- インターネット
- >
- ネットサービス
カナダでも大流行しています。気をつけなKれば。隔靴掻痒です。
2008/10/22(水) 午後 6:38 [ 彩帆好男 ]
なるほど、万国共通ですね。
便利の裏には、危険が潜んでますね
2008/10/22(水) 午後 10:33