12.3 フィッシング

フィッシング (phishing) とは,ユーザーを騙して個人情報を詐取する行為を指します.たとえば金融機関の人間を騙って口座の暗証番号を聞き出す行為がフィッシングです.この節では,フィッシングの手口と対策について述べます.

フィッシングの手口

フィッシングは主に電子メールなどのメッセージから始まります.たとえば「アカウントの有効期限が近づいてきたので,ID とパスワードを再登録してください」「接続が切断されました.ID とパスワードを入力して再接続してください」などと架空の理由を書いたメッセージを送り,フィッシング用のウェブサイトへのリンクをクリックさせます.フィッシングサイトは本物そっくりに作られており,それを見た人が本物だと錯覚するようになっています.そして情報を入力させることによって,不正に情報を詐取します.ECCS のメールアドレスにも度々フィッシングメールが届き,そのたびに externalECCS の広報 で注意喚起が為されています.

フィッシングの手口は時を追うにつれどんどん巧妙になっています.たとえば架空のオンラインショップの請求書をおくりつけ「もしあなたが注文したのでなければ,注文取り消しの手続きをしてください」というメッセージでリンクのクリックを誘導するなど,人間の心理の弱点を突いた巧みな方法が取られます.最低限このページに書いてある対策を読んでおいてください.

フィッシング対策

フィッシングはパスワードなどの重要な情報が送信される場面を狙って行われます.完全な対策というものは存在しませんが,日頃から以下のことに気をつけておくと,フィッシングに引っかかる可能性を減らすことができます.

パスワードや暗証番号は聞かれても絶対に教えてはいけません.
警察などの公的機関や銀行などのサービスを提供する機関が,あなたが普段使っているパスワードを聞いてくることはありません.
通信が暗号化されているか確かめましょう.
パスワードのような盗聴されて困る情報を送るときは通信を暗号化するのが普通ですから,暗号化されてなければフィッシングサイトの可能性が極めて高いと言えます.暗号化通信のときはアドレスが “https://” から始まり,アドレスバーに鍵のアイコンが現れます.この 2 点をチェックしましょう.
怪しいリンクはクリックしないようにしましょう.
特に Twitter などの SNS 系サイトの場合,フィッシングで乗っ取ったアカウントを踏み台にしてさらなるフィッシングが行われることがあります.友達からのメッセージだからと言って安易にクリックしてはいけません.
メールに添付された怪しいファイルを開かないようにしましょう.
ウイルスが入った添付ファイルに感染してしまうと,ウイルスを利用したフィッシングの恐れがあります.上の「怪しいリンク」のときと同様,たとえ友達や知人から送られてきたファイルであっても,怪しいと思ったら開くのをやめましょう.
アドレスのドメイン名を確認しましょう.
たとえば東京大学に関係するウェブサイトにログインする場合,アドレス中のドメイン名は普通 u-tokyo.ac.jp になっているはずです.フィッシングサイトは正規のサイトと違う場所にあるので,ドメイン名が食い違えばフィッシングの可能性が高いと言えます.
色々なソフトのフィッシング対策機能を活用しましょう.
世の中に出回っているセキュリティソフトの中にはフィッシング対策機能を持つものもあります.またブラウザによっては,フィッシングサイトを検出する機能がついていることがあります.こうした機能も合わせて使うと良いでしょう.

また,ウイルス対策をきちんと行うことも重要なフィッシング対策です.2012 年には,ウイルスがオンラインバンキングのサイトでのユーザの入力を監視し,ユーザが操作をしている裏側で自動送金を行うという詐欺手法が流行りました.どんなにフィッシングに注意してもウイルスに感染しては元も子もありません.ウイルス対策には万全を期しましょう.