PR

Part2とPart3では,フィッシングから身を守るための具体的な対策を紹介する。Part2では,ユーザー,サーバー管理者,メール配信担当者といった立場別に,メールでの具体的な対策方法について見ていこう。

 フィッシングは,メールでユーザーをおびき出すことから始まる。したがって,フィッシング対策の第一歩は,メールでの対策になる。

 具体的な対策を解説する前に,フィッシング・メールの実物を見てみよう(図1)。一見しただけでは,偽装しているとはわからない。

図1●フィッシング・メールの特徴<br>銀行やクレジットカード会社になりすましている。送信元のアドレスや本文中のURLを偽装している。
図1●フィッシング・メールの特徴
銀行やクレジットカード会社になりすましている。送信元のアドレスや本文中のURLを偽装している。
[画像のクリックで拡大表示]

 しかしこのメール,実際は偽装だらけである。例えば,送信者の「Verify」(確認)と件名の「UFJ」という表示は,フィッシング詐欺犯が銀行の人間になりすまして偽装した内容だ。

 また,メール本体の画像は本物のサイトにある画像を勝手に拝借したもの。HTMLメールを使って会社の名前やロゴの画像を貼り付け,本物を装っているのである。

 さらに,本文中のリンクであるhttps://www.ufjbank.co.jp/~の表示も偽装されている。ここをクリックすると,このURLとはまったく関係ないWebサーバーへアクセスする。

 本文の内容を読んでみると,フィッシング・サイトへ誘導する文言が書かれている。「新しいシステムへ移行するために本人認証が必要」などと書かれており,ユーザーを誘っているわけだ。

ユーザー編

 まずは,誰にもできる対策から見ていこう。受信したメールを調べて,メールの送信者がウソをついている部分を見つける作業になる。

まずは送信元アドレスを精査

 フィッシング詐欺犯は,ほぼ間違いなく送信元のメール・アドレスを偽装する。そこで,最初のチェック・ポイントはメール・アドレスである(図2のポイント1)。

図2●受信メールをチェックする方法<br>送信者のアドレス,ヘッダー情報,ステータス・バーなどをチェックする。根本的な対策としては,メールの本文にあるURLをクリックしないこと。
図2●受信メールをチェックする方法
送信者のアドレス,ヘッダー情報,ステータス・バーなどをチェックする。根本的な対策としては,メールの本文にあるURLをクリックしないこと。
[画像のクリックで拡大表示]

 送信元メール・アドレスは,送信者欄に表示されないことが多い。図2-2の例のように「Verify」と書かれているだけだったりする。メール・アドレスを表示するには,「Verify」の部分をダブルクリックする(OutlookExpressの場合)。

 ただし,このメール・アドレスを信じてはいけない。そもそもメール送信で使うプロトコルのSMTPは,メールを送る際に送信元アドレスを確認しない。このため,送信者の名前やメール・アドレスは簡単に偽装できる。

 では,送信者が書き換えられない情報はどこか。それは,メールのヘッダーに記載されているReceived(レシーブド)行にある(ポイント1参照)。ここの情報は,メールを中継したメール・サーバーが書き加える。詐欺犯といえども,ここを勝手に改ざんすることは難しい。

 Receivedヘッダーがいくつも書かれていたときは,一番下に書かれている情報を参照する。そこには,メール送信者のコンピュータのドメイン名やIPアドレスが記述されている。つまり,ここに書かれているドメイン名と,先ほど調べた送信者のメール・アドレスのドメイン名が異なっていたら,送信元を偽っている可能性が高い。

本当のリンク先をソースで確認

 メール本文に記載されているリンク先のURLが偽装されていないかもチェックすべきである。

 リンクの偽装を調べるには,本文中のリンク部分にマウス・ポインタを持っていき,ウインドウ下にあるステータス・バーの表示を確認する(ポイント2)。この表示が本文中の表示と違っていたら,リンク先を偽っている。

 ただし,ステータス・バーにメッセージを表示しないようにしたり,別のメッセージを表示するように作られているケースもある。そうした場合は,メッセージのソースを確認する。OutlookExpressの場合は,ファイル・メニューでプロパティを選び,詳細タブのウインドウにある「メッセージのソース」ボタンを押すとソースが表示される。そして,<a href="~">と書かれた部分を探し出す。その部分は,<a href="AAA">BBB</a>のようになっているはずだ。ここでAAAとBBBのURLが一致しないときは,リンク先を偽装している。

最後はメール以外の手段で確認

 こうしたテクニックを使い,怪しいメールはすべて削除する。しかし,それで手元に残ったメールが100%安全かというと,そうとも言い切れない。

 実際のところ,手元に残ったメールの中には,内容によってはWebサイトにアクセスしたくなるメールもあるだろう。そうした場合でも,メールに記載されているリンクは直接クリックしてはいけない。代わりに,そのWebサイトのドメイン名を手入力してトップ・ページを表示し,そこからリンクをたどって目的のページを探す。こうすれば,メールからフィッシング・サイトへ誘導されるのを防げる(ポイント3)。

 これでかなり安全性は高まるが,万全を期すならメールやWeb以外の手段でメール送信者に直接聞くべきである。

ウイルス対策ソフトを使う

 最近は,ウイルス対策ソフトも迷惑メール対策機能の一つとしてフィッシングに対応している。ウイルス対策ソフトのフィッシング対策機能は,コンピュータが受信したメールをメーラーに渡す前にいったん受け取り,内容をチェックする。そして,フィッシングと判断したメールを専用の保管場所に隔離する図3)。

図3●ウイルス対策ソフトのフィッシング対策機能<br>メールに記載されているURLとURLデータベースを照合し,一致したものはフィッシング・メールと判断して隔離する。
図3●ウイルス対策ソフトのフィッシング対策機能
メールに記載されているURLとURLデータベースを照合し,一致したものはフィッシング・メールと判断して隔離する。
[画像のクリックで拡大表示]

 受信したメールをフィッシング・メールと判断するしくみは二つある。

 一つは,本文中で使われている単語などをチェックする方法である。この手法は特に迷惑メールには有効だ。迷惑メールの本文には,宣伝目的のフレーズが入っているからだ。しかし,フィッシング・メールにはあまり役立たない。

 そこでもう一つの方法として,メール本文に記載されているURLをチェックする。対策ソフトがフィッシング・サイトのURLデータベースを持っていて,そのデータベースと照合して一致したURLが書かれたメールをフィッシング・メールと判定する

 既知のフィッシング・メールの多くはこれで対処できるが,ツールの検査をパスしたメールがすべてフィッシング・メールではないとは断定できない。とはいえ,前述の基本対策の手間を多少なりとも省く効果はある。