自分を守る

詐欺メールおよびフィッシング詐欺を見分ける方法

公開日: 2008年9月14日 | 最終更新日: 2008年12月25日
**
関連リンク
Internet Explorer 7 を入手する
フィッシング詐欺検出機能 : オンライン詐欺からの保護
疑わしい電子メールを取り扱う方法
フィッシング詐欺に返信してしまった場合の対処方法
**
ヒント

典型的なフィッシング詐欺の最新例およびフィッシング詐欺と思われるものの報告方法については、Anti-Phishing Working Group Web サイトのアーカイブを参照してください。

フィッシング

フィッシングとは、クレジット カード番号、Windows Live ID、その他のアカウント データおよびパスワードなど、ユーザーの身元情報を盗み出すことを目的とした詐欺の一種です。

フィッシング詐欺には、次のような方法が利用されます。

電子メール メッセージ (同僚や知人から送られてきたように見える場合を含む)

ソーシャル ネットワーキング Web サイト

慈善活動への寄付を受け付ける偽の Web サイト

ユーザーに気付かれないように、わずかに異なる Web アドレスを使用して、なじみのサイトになりすます Web サイト

インスタント メッセージ プログラム

携帯電話やその他のモバイル デバイス

フィッシング詐欺では、電子メール メッセージ、Web サイト、または、銀行、クレジット カード会社、ソーシャル ネットワーキング サイトなどの信頼するサービスから発信されたように見えるインスタント メッセージにリンクを張る方法を使用する場合があります。

フィッシング詐欺メールの外観の例

フィッシング詐欺で使用される電子メール メッセージはさまざまな形態をとります。 銀行または金融機関、マイクロソフトなど定期的に取引を行う会社、またはソーシャル ネットワーキング サイトから送信されてきたように見える場合があります。

米国では、最近の銀行の合併により詐欺師に新しい機会が生まれています。 詳細については、「FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A "Phish-erman’s Special"」を参照してください。

スピア フィッシングは、標的を絞った形態のフィッシングであり、電子メール メッセージは、雇用主または人事部や IT 部門の責任者など、社内の全員に電子メール メッセージを送信する可能性のある社内の人から送信されてきたように見えます。 詳細については、「スピア フィッシング : 小さく的を絞った詐欺」を参照してください。

多くの場合、フィッシング メールには、本物のように見えるロゴや正規の Web サイトから直接取得したその他の識別情報が使用されており、詐欺師がソーシャル ネットワーキングのページで見つけた個人情報に関する説得力ある詳細情報が含まれている場合もあります。

フィッシング詐欺で使用される電子メール メッセージに共通している主な点は、個人データを尋ねること、または個人データを提供するように要求する Web サイトや電話番号に誘導することです。

フィッシング詐欺メールの例を以下に示します。

フィッシング詐欺

偽の Web サイトにリンクする偽の Web アドレスが記載されたフィッシング詐欺メールの例

こういったフィッシング詐欺メールでは、さらに本物らしく見せるために正規の Web サイトにアクセスするように見せかけられたリンク (1) が記載されていることがあります。このリンクは実際には、正規のサイトにそっくりな偽のサイト (2) またはポップアップ ウィンドウにユーザーを誘導するようになっています。

電子メールがフィッシング詐欺メールと思われる場合、以下に挙げる言い回しが含まれていないか確認してください。

「アカウントの確認をお願いします。」

通常の企業が、パスワード、ログイン名、社会保障番号などの個人情報を電子メールで返信するよう要求することはありません。

マイクロソフトからクレジット カード情報の更新を求める電子メール メッセージが送られてきた場合は、絶対にそのメールの指示には従わないでください。 これはフィッシング詐欺です。 詳細については、「マイクロソフト ユーザーに送られてくる、クレジット カード情報を求める詐欺メール」を参照してください。

「宝くじに当選しました。」

宝くじ詐欺は、手数料詐欺として知られている一般的なフィッシング詐欺です。 手数料詐欺の最も一般的な形態に、多額の金銭が当選したと知らせたり、わずかな努力を払うか何もせずに多額の金銭が支払われると知らせたりする電子メール メッセージがあります。 宝くじ詐欺では、マイクロソフトなどの大会社に言及する場合があります。 Microsoft Lottery は存在しません

「48 時間以内に応答していただけない場合は、アカウントを閉鎖させていただきます。」

フィッシング詐欺メールは、ユーザーが考える暇もなくすぐに応答するように、緊急性が高いことを示す文面になっています。 中には、アカウントが侵害された可能性があるため対応が必要であるという文面の場合もあります。

フィッシング Web サイトやリンクの外観の例

偽の模倣 Web サイトは、"なりすまし" Web サイトとも呼ばれています。 なりすましサイトは、正規のサイトのグラフィックやフォントを使用するなどして、本物のサイトそっくりに見えるように設計されています。 Web アドレスが、ユーザーがよくアクセスする正規のサイトと非常によく似ている場合もあります (詳細については、「タイプミスによる代償」を参照してください)。

このようなサイトにアクセスすると、知らず知らずのうちに個人情報を詐欺師に送信してしまう可能性があります。 ログイン名、パスワード、またはその他の機密情報を入力すると、犯罪者はそのサイトから身元情報を盗み出すことができます。

フィッシング Web サイトに誘導する電子メール メッセージで見られる語句の例を以下に示します。

「以下のリンクをクリックして、お客様のアカウントにアクセスしてください。」

HTML 形式のメッセージには、リンクが含まれていたり、Web サイト上で入力するのと同様なフォームが含まれていることがあります。

電子メール メッセージ、Web サイト、インスタント メッセージに含まれる、クリックするように求められるリンクには、実際の会社名の全体または一部が含まれていることがあります。また、リンクは通常 "マスク" されているため、リンクをクリックすると、そこに表示されているアドレスではなく、別のアドレスにつながり、通常は非正規の Web サイトが表示されます。

下の例のようにリンクの上にマウス ポインタを合わせると (クリックはしない)、黄色の背景のボックスに実際の Web アドレスが表示されます。 この例の場合、表示されたアドレスは意味不明の一連の数字で、元の企業の Web アドレスとはまったく異なることから、疑わしいリンクと判断できます。

マスクされた Web アドレスの例

マスクされた Web アドレスの例

また、この種の詐欺では、知名度の高い企業名のように見えて実際には文字が一部追加、省略、または変更されている Web アドレスが使用されます。 たとえば、www.microsoft.com というアドレスによく似た、次のようなアドレスが使用されます。
www.micosoft.com
www.mircosoft.com
www.verify-microsoft.com

フィッシング詐欺から身を守る方法

オペレーティング システムを最新の状態に保ち、最新のウイルス対策ソフトウェアおよびスパイウェア対策ソフトウェアをインストールしてください。

フィッシング詐欺およびその他の悪意のある人間やソフトウェアに対する防御の第 1 段階は、コンピュータをセキュリティ保護することです。

一部のフィッシング詐欺メールには、操作履歴を追跡したり単にコンピュータの処理速度を遅くしたりする悪意のあるソフトウェアや迷惑なソフトウェアが含まれている場合があります。 Windows Live OneCare のような、ウイルス対策と包括的な PC 健全性チェックが含まれた新しいサービスをお試しください。 スパイウェアやその他の迷惑ソフトウェアを防止するには、Windows Defender を使用します。 Windows Defender は、Windows Vista に搭載されています。Windows XP SP2 をお使いの場合は、無償で使用できます。

詳細については、「コンピュータを守るための 4 つのステップ」を参照してください。

ソーシャル エンジニアリングの手口を見抜く方法を知るのが、コンピュータを保護する次のステップです。Windows Vista は、この点でユーザーをさらにサポートします。

Windows Vista で利用できる Internet Explorer 7 には、Web サイトをスキャンして、フィッシング サイトをユーザーに通知するフィッシング詐欺検出機能が組み込まれています。

Windows Vista の保護者による制限機能では、保護者が子供の利用を制限して、子供が不要なソフトウェアをダウンロードできないようにすることができます。

Windows Defender を使用すると、ソーシャル エンジニアリング詐欺の一部を成すスパイウェアやその他の悪意のあるソフトウェアをブロックすることができます。 Windows Defender は、Windows Vista に搭載されています。 Windows XP SP2 をお使いの場合は、Windows Defender を無料でダウンロードできます。

Windows Vista に組み込まれたユーザー アカウント制御を利用すると、潜在的に危険なプログラムを実行する前にユーザーの許可が求められます。 そのため、ソーシャル エンジニアリングで遭遇する可能性があるウイルス、スパイウェア、およびその他の脅威の影響を軽減できます。

Internet Explorer 7 およびマイクロソフトのフィッシング詐欺検出機能

Windows Vista を使用していなくても、Internet Explorer 7 の使用をお勧めします。Internet Explorer 7 は、マイクロソフトのフィッシング詐欺検出機能を備えており、既知のフィッシング Web サイトにアクセスしようとしたときに警告が表示されるかそのサイトがブロックされるため、ユーザーはオンライン詐欺や個人データを盗まれる危険から身を守ることができます。 詳細については、「フィッシング詐欺検出機能の入手方法」を参照してください。

Internet Explorer 7 を使用すれば、EV (Extended Validation) SSL 証明書を使用しているサイトにアクセスしたときに、さらにもう 1 つの防御層を利用できます。 Internet Explorer のアドレス バーの色が緑色に変わり、Web サイトについて参照できる情報がさらにあることを示します。 Web サイト所有者の識別情報もアドレス バーに表示されます。

緑色のアドレス バー

EV SSL 証明書は、Web サイトとの通信がセキュリティ保護されることを保証するだけでなく、SSL 証明書を発行する証明機関 (CA) によって識別済みの情報である、Web サイトの所有者情報も提供します。 詳細については、「Internet Explorer and Extended Validation SSL certificates」を参照してください。

Internet Explorer 7 を入手する