PR

 クレジットカード会社や銀行など実在する企業のWebサイトに見せかけたサイトへ電子メールを使ってユーザーを誘導し、クレジットカード番号やユーザー名、パスワードなどを入力させてだまし取る詐欺行為。

 「あなたのクレジットカード番号があと3日で失効します。次のWebページで確認下さい」といったメッセージのメールを送り、偽のWebサイトに誘導して、個人情報を詐取する。送信元メール・アドレスのドメイン名がその企業と思えるものや、メールの文面がもっともらしいものがあり、だまされる危険性が高い。消費者だけではなく、社名を使われた企業も信用を失うことがあり、問題が深刻化している。

 フィッシングが横行する背景には電子メールの送信元が簡単に偽れることがある。電子メールの送信プロトコルであるSMTP(Simple Mail Transfer Protocol)ではメール受信の際、送信元のSMTPサーバーやメール・アドレスを認証しない。「私はAです」といえば、実際は「X」であってもAとしてメールを受け取る。

 対策は、クライアント側とサーバー側とで大きく分かれる。

 クライアント側では専用ソフトでフィッシングと思われるメールをフィルタリングする。ウイルス対策ソフトの多くが対応し、フィッシングでよく使われる言葉やフォーマット、リンク先URLなどを検査してフィッシングと思われるメールのタイトルに「Phishing」という文字を入れる。最近ではアクセスしようとするURLを検査し、フィッシングに使われたものならブロックする製品もある。

 サーバー側ではクライアントと同じ手法ほか、フィッシングに使われたサーバーのIPアドレスのブラックリストへの登録や相手先メール・サーバーの認証によってフィルタリングする方法がある。