IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。フィンシング詐欺について注意喚起するとともに、改正となった不正アクセス禁止法の影響で、自身が加害者となる危険性についても紹介している。

今も続くインターネット上の脅威-フィッシング詐欺

フィッシング詐欺は、以前から存在するインターネット上の脅威で、本物のWebサイトを装い、IDやパスワードを奪取するものだ。その手口は大きく分けて2つある(図1)。

図1 フィッシング詐欺の手口(今月の呼びかけより)

偽のWebサイトへ誘導するもの(サイト構築型)、メールや添付ファイルにIDとパスワードを入力させる仕掛けが仕組まれたもの(メール送信型)である。いかにも、本物と騙すための罠が仕込まれている。その実例は、フィッシング対策協議会のページなどを見ていただきたい(図2)。

図2 フィッシング対策協議会での報告例(Gmailを騙る事例)

このようにして、IDやパスワードが攻撃者に奪取される。具体的な被害は、なりすましなどが予想される。もし、フィッシング詐欺を発見、もしくは被害に遭ってしまった場合、フィッシング110番などにすみやかに連絡をとってほしい。

図3 フィッシング110番

フィッシング詐欺対策

さて、フィッシング詐欺対策であるが、IPAでは、以下をあげている。

  • IDとパスワードの使い回しを避ける
  • 添付ファイルに注意する
  • URLやドメイン名などに注意する

最初の2つは、フィッシング詐欺だけでなくても、よくいわれることだ。最後のURLとドメイン名について、具体的に紹介しよう。IDやパスワードを入力する必要なWebサイトでは、ほとんどがSSLによる安全な通信を行っている。通信経路を暗号化し、さらに接続するWebサーバーに証明書が付与され、ユーザー側で確認できる。URLが「https:」で始まるサイトといえば思い当たる人も多いであろう。これを確認することで、フィッシング詐欺から守ることができる。まずは、Internet Explorerの場合である。パスワードを入力する際には、アドレスバーを確認する。図4のように青の場合は、通常のサーバー証明書があるサーバーを意味する。鍵のアイコンをクリックすると証明書のドメイン名が表示される。

図4 青の場合、ドメイン名を確認

証明書とアドレスバーのドメイン名が一致しているかを確認すればよい。緑になっている場合には、さらに安全なExtended Validation(EV) SSL証明書(より厳しい身元の検証が行われている)を使用している場合である。図5のように会社名や団体名なども表示される。

図5 緑の場合、会社名や団体名を確認

Firefoxでも同じ確認を行える。ただし、FirefoxではSSLで保護されていない一般のWebサイトでは、「http:」やトップページの最後の「/」が表示されない。これはアドレスバーを見やすくするための機能だ(図6)。

図6 認証保護のないWebページ

SSLで保護されたWebページでは、図7のようにアドレスバーが青になり、サイト認証ボタン(アドレスバーの左側)をクリックすると、ドメイン名などが表示される(図7)。

図7 基本的な認証情報のあるWebページ

Extended Validation(EV) SSL証明書が使用されていると、IE同様に緑になり、サイト運営者も表示される(図8)

図8 完全な認証情報からサイト運営者を確認

このように、パスワードを入力する場合やオンライン決済を行う場合には、アドレスバーの色やURLと証明書の内容が同じかを確認するようにすべきである。

不正アクセス禁止法の改正、自分も加害者に!?

2012年3月に不正アクセス禁止法の改正が行われ、5月から施行された。結果

  • パスワードを不正に取得・保管・提供する行為
  • 騙してパスワードを窃取しようとする行為(フィッシング)

なども取り締りの対象となった。もちろんこれが、フィッシング詐欺対策であることは、理解しやすいであろう。その一方で、IDやパスワードの扱いによっては、この法律によって罰せられる可能性もある。IPAでは、以下のような行為は避けるべきとしている。

  • 不正アクセス行為を目的とし、他人のIDやパスワードを紙やUSBメモリなどで受け取る行為こと
  • 不正アクセス行為を目的とし、掲示板で公開された他人のIDやパスワードを、PC内に保存する行為
  • 不正アクセス行為を目的とし、掲示板で公開された他人のIDやパスワードを自分のブログや他の掲示板に転載したり、メールで他者に送付したりする行為

あくまでも「不正アクセス行為を目的」という前提がつく。逆に、以下の行為は違反とならないとしている。

  • インターネット検索中に偶然他人のIDやパスワードが表示された場合
  • 他人のIDやパスワードを一方的に電子メールで送りつけられた場合

しかし、会社や組織などでユーザー管理のために、IDやパスワードを管理することもある。また、オンラインショップや会員制のWebサイトの運営などでも同様の可能性がある。本人には「不正アクセス目的」といった意識はなくとも、結果的に好ましからざる行為に繋がる可能性もあるだろう。サーバー管理者やユーザー管理を行う者は、セキュリティ対策も重要であるが、こういった法制度の改正などにも注意を払い、適切な運用がよりいっそう求められるといえよう。