インターネット24時
バックナンバー:

朝、会社に着いてメールボックスを開いてみると、一通のメールが目に止まった。
「●×クレジットから重要なお知らせ」
●×クレジット社は、いつも買い物やキャッシングに使っているカード会社だ。ときどき「使用状況のお知らせ」と称し、いかにも必要な情報のように装って送ってよこすサービス案内のメールには閉口していたが、このようなメールは初めてだったので、怪訝に思いながらも読んでみた。内容は、ざっとこんな感じだった。

・・・いつもご利用ありがとうございます。このたび弊社サーバーに、不正侵入が原因と思われる不具合が発生しました。あなたの情報が危険にさらされたという兆候はありませんが、念のためカードの暗証番号の変更をお願いします。近い将来までに変更されませんと、一時的にカードを停止させていただくことがありますので、必ずお手続きください。お手続きは、下記URLから行うことができます。お客様にはお手数をおかけしますが、何とぞご高配のほどお願い申し上げます云々・・・。

なんだい、面倒だな・・・そう思いながらも、たまたまその朝は時間があったので、手続きをしてしまうことにした。
記載されているURLをクリックする。以前にも見たことのある●×クレジット社のホームページが表示され、その上にポップアップウィンドウが開いた。カードナンバー、有効期限、暗証番号、住所氏名年齢・・・。必要事項を書き入れ、[送信]を押す。やれやれ、本当にお手数だったな。

仕事に戻り、それきり忘れていたが、その翌月、衝撃とともにこのことを思い出すハメになった。クレジット社から利用明細が届いたのだが、そこには、限度いっぱいまでの請求額が記されていたのである。並んでいる企業名/店名には心当たりはなく、もちろん自分が使った覚えはない。
あ、あれだ・・・!
そういえば、重要情報を送信するページなのに、“ログイン”や“送信確認”などの手順はあったか? 再度、住所氏名まで自分で記入するのはおかしくはなかったか? それは、本当に●×クレジット社からのメールだったのか?
疑念が、怒濤のように脳裏に流れ込んで来た。
この事例は、実際にあった“フィッシング”の事例を脚色、再構成したものです。


解説
巧妙化する「フィッシング」詐欺



フィッシング(phishing)とは、実在する企業からのメールやサイトを装って、銀行やクレジットの口座番号や暗証番号などの情報を詐取しようとする行為を言います。
例えば「●×クレジット・サービス社」と、あたかも関連会社のような差出人名を使ったり、リンク先を正規のURLに見せかけることのできるセキュリティホールを利用したり、わざわざ正規のページの上にポップアップ画面を開いたりと、どんどん巧妙になってきています。
(「オレオレ詐欺」が非常に巧妙になってきているのと、流れを一にしていると言ってもいいかも知れません)
こうした場合は、
・本当にその企業のサイトかどうか?
・セキュアなページか(ブラウザ内に「鍵」のアイコンが表示されているか)?
・メッセージにおかしな点がないか?
(今回の事例ですと、通常と微妙に異なるアドレスからのメールであること、暗証番号の変更をメールで促していること、「近い将来までに」など表現に曖昧な部分があること、など)
・認証などの手順に不審な点がないか?
・必要以上の情報記入が要求されていないか?
などに注意する必要があります。



事件の教訓

「送信」を押す前に、
おかしな点がないかどうかよく注意しよう!



(C) 2008 Symantec Corporation. All rights reserved.