- 2019年3月15日
- セキュリティについて
「三井住友カード」を装ったフィッシング詐欺が発生しました。
2019年2月19日にフィッシング対策協議会が、三井住友カードをかたるフィッシング詐欺の報告を受けていると発表しました。
確認されたのは、「【重要】三井住友カード緊急のご連絡」の件名のメールで、本文に記載されている偽のサイトへと誘導する手口です。
本文には、「第三者によって不正にログインされた可能性がある」「三井住友カード会員登録のパスワードをリセットいたしました」と記載されており、「ユーザーIDの確認パスワードの設定ページ」として外部サイトのURLが記載されています。
記載されているURLのページでは、クレジットカード情報や電話番号、暗証番号などの入力が求められており、SSL/TLSによる暗号化にも対応していたようです。
【参考】三井住友カードをかたるフィッシング (2019/02/19)
HTTPSに対応しているフィッシングサイトが普及している
従来のフィッシングサイトと正規のサイトの見分け方は、WebサイトがSSLに対応していないか、しているかの違いで判断するという方法が一般的でした。
しかし、最近のフィッシングサイトはSSLによる暗号化に対応しているケースも多く、単純にSSLの対応状況で、フィシングサイトであるかどうか判断は難しくなってきています。
これは無料独自SSLの普及などによって、WebサイトをSSLに対応させるためのコストが低くなったことが要因の一つとして考えられます。
そこで、指定されたWebサイトのプロトコルがHTTPSであることに加えて、Webサイトのドメインの文字列や、SSL証明書の中身のチェックが重要になってきています。
SSL証明書にはいくつかの種類があります。
「ドメイン認証型」「企業認証型」「EV SSL」です。
ネットバンクやECサイトのように強固なセキュリティが求められるWebサイトでは、SSLの中でも最も信頼性が高いEV SSLを導入していることがほとんどです。
EV SSLを導入しているWebサイトでは、ブラウザのアドレスバーの左側にWebサイトを運営している組織名が表示されます。
いつも使っているネットバンクやECサイトがEV SSLに対応しているか、確認してみてください。
企業がEV SSLを取得するためには、単純に申請するだけでなく、企業認証の審査や、組織が物理的・法的に実在することを確認されます。コストも非常にかかるため、フィッシングサイトがEV SSLを導入していることは、まずあり得ないでしょう。
例えば、いつも使っているネットバンクやECサイトを名乗るフィッシングメールらしきメールを受信したします。
そこに記載されているURLをよく確認して、もし正規のサイトとは少しだけ異なっている文字列でしたら、それはフィッシングサイトのURLである確率が高いです。
万が一、正しいURLかどうかわからず、受信したメールに記載されていたURLにブラウザでアクセスしてしまったとしましょう。
そこで「ブラウザのアドレスバーがいつもと違う。組織名が表示されていない」と、気づくことができれば、そのWebサイトはフィッシングサイトであると判断できます。
フィッシングサイトに個人情報やクレジットカード情報を入力してしまったときの対処法
しかし、上記で解説したような知識を持っておらず、フィッシングサイトにクレジットカード番号やパスワードなどを入力してしまったらどうしたらよいのでしょうか。
もしクレジットカード番号を入力してしまったら、すぐにクレジットカード会社に連絡しましょう。素早く連絡してカードを停止しておけば、不正利用を防げます。
もしカードが不正に利用されてしまっても、カード会社が不正な利用であることを認めれば、損害が補填されることもあります。
またパスワードなどを入力してしまった場合は、アカウントが乗っ取られる可能性があります。速やかに正規のWebサイトにてパスワードの再設定処理を行うことが重要です。
フィッシングメールと思われるメールを受信したら、まずはメールの中身をよく確認して、本文に記載されているURLを安易にクリックしないようにしましょう。
もし受信したメールがフィッシングメールであるとわかったら、フィッシング対策協議会に連絡し、情報を提供するとよいでしょう。
【参考】フィッシング対策協議会