本文へスキップ

ネットバンキングの安全、防犯セキュリティ

contents

フィッシング (詐欺)
フィッシング(英: phishing)は、インターネットのWWWやEメール等を使った詐欺の一種である。 フィッシング詐欺のうち、特定の個人、団体を標的としたものをスピアフィッシング(spear phishing)もしくはスピア型と呼ぶ。
語源については諸説ある。"fishing"(釣り)のハッカー的なスラング(Leet的言い換えと呼ばれる意図的な同音別表記)であるが、 fがphに変化しているのは"en:Phreaking"(フリーキング、音声によって電話網を意図的に誤作動させる不正行為)からの 類推であると欧米では考えられている。しかし、日本国内のメディアでは"sophisticated"(洗練された)との合成語であるとする見解が主流である。 このほか、"password harvesting fishing" の略とする説もある。
インターネット上で様々なサービスが提供されるにつれ、年々増加と高度化の傾向が顕著である。

この行為は、悪意の第三者が会員制ウェブサイトや有名企業を装い、 「ユーザーアカウントの有効期限が近づいています」や 「新規サービスへの移行のため、登録内容の再入力をお願いします」などと、本物のウェブサイトを装った偽のウェブサイトへの URLリンクを貼ったメールを送りつけ、クレジットカードの会員番号といった個人情報や、 銀行預金口座を含む各種サービスのIDやパスワードを獲得することを目的とする。

また、DNS書き換えなどにより、正しいURLを入力しているのに偽のウェブサイトに誘導されてしまうファーミングという類似手法もある。 その結果として架空請求詐欺や預金の引き下ろし・成り済ましなどに利用され、 多重に被害者となってしまう、または間接的に加害者になってしまうケースも目立ってきている。

フィッシング詐欺は、主にアメリカ国内を中心に被害が急増し、 例として10万ドルをフィッシングサイトに振り込んでしまった被害者がいる。 イギリスのメッセージラボ社の調査によれば、2003年9月には月間約280件の発見であったのが、 2004年3月には月間約22万件にまで増えているといい、迷惑メールの新たな形態としても目立つようになってきている。 日本でも2004年12月に国内初のフィッシング詐欺の被害が確認されたと警察庁が明らかにした。
日本でのフィッシング詐欺の例として、2005年11月に千葉銀行を騙り各企業へCD-ROMを郵送し、 そのCD-ROMをパソコンに入れるとフィッシングサイトに勝手に繋がり金を騙し取られるという事件が発生した。

近年ではYahoo!等のポータルサイトにおいて、インターネットオークション会員やウォレット等の様々なサービスが、 一つのIDとパスワードに集約されて提供されている事情もあり、日本国内でもこれらのアカウント乗っ取りを 目的としたフィッシング詐欺と見られる無差別送信のメールや、偽のサイトが報告されている。 この場合、アカウントが乗っ取られれば、自分の名前で嘘のオークション出品物が出されたり、 正当な出品者から出品物を騙し取るのに利用されたりといった、二次的にオークション詐欺の片棒を担がされる事態に陥る危険性がある。
なお、詐欺に至らなくとも(詐欺での摘発に至らなくとも)偽のサイトを作るという行為だけでも、著作権法や商標法などの違反となり処罰の対象となる可能性がある。


予防策
この詐欺行為の被害を防止する上で勧められる対策としては、以下の方法が挙げられる。 個人情報を入力する前に、本物であることの確認 クレジットカード番号や暗証番号、 パスワード、その他個人情報を入力するよう促されたら、自分が今アクセスしているサイトが偽サイトではないか、 本物であるかを今一度確認すること。

URLが本物であることの確認
なお、Webブラウザのセキュリティホールなどによりアドレス欄などに表示されるURLが偽装されている場合があるので、 アドレス欄だけで確認するのでは不十分である。
表示されているウェブページのプロパティを確認することがより有効である。 また、ウェブブラウザのセキュリティホールを改善するために利用しているウェブブラウザを最新版にする必要もある
(ただし、一部にはプロパティ表示の場合でも偽装の可能性があるセキュリティホールもある)。

なお最近では、正式なサイトも偽のサイトも、サブドメインとドメイン名が長く続いているために非常に紛らわしい物もあるため、 ぱっと見ただけでは即座に判断が付かないケースも発生している。これに対する予防策は、 正規のサイトのトップページからリンクを辿る方法が有効である。 利用しているWebブラウザやウイルス対策ソフトに 対策機能がある場合はそれを有効にすること 近年、一部のWebブラウザにはフィッシング詐欺対策機能が実装されるようになってきている。


利用しようとしているサービスのセキュリティーの仕組みを理解すること
これから利用しようとしているサービスのセキュリティーの仕組みを理解すること。 インターネットは基本的に性善説に基づいて設計されている仕組みである。 ウェブについては TLS などのセキュリティーを確保する仕組みが一般的になっているが、 これらの技術は後から拡張した技術であり、以前からあるセキュリティーを考慮しない仕組みと組み合わせると、 いとも簡単にセキュリティーが保障できなくなる。いずれかの箇所でセキュリティーが確認できない箇所があれば、 そこには詐欺を働く余地があることになり、擬装されている可能性がある。そのことを理解した上で利用するべきである。 以下に挙げられている確認方法は、そのうちのありがちな手口の一部に過ぎない。

また最近では SSL のセキュリティーを取得した新手のフィッシングサイトも出現しており、 見抜くのが難しくなっている。 メールヘッダーにて送信者情報の確認 なお メールのヘッダーにおける送信者情報を偽装するのは、技術的には比較的容易であり、 これだけを頼りにするのは危険である(Path: ヘッダのIPアドレスなど、 偽装しにくい物もある)。 メールに書かれているリンクを安易にクリックしない リンクによってはクリックした時点でメールアドレスが特定されてしまうことがある。

必要な場合は、ブラウザのアドレス欄やブックマークを利用して自ら該当するサイトにアクセスする。 その上で、該当サイト上にメールと同じ内容の告知が無いかを見て判断する。 また、サイトによっては、「そのようなメールを配信することはない」と明言していたり、 対策方法を公開している所もあるので、サイトの姿勢、セキュリティ対策などに着目することも予防策の一つとなる。

なお、不幸にもこのフィッシング詐欺が疑われる物に対して、IDやパスワード等を教えてしまった場合には、 電話やメール(早いほど良いので、電話の方が望ましい)でサービス提供元に相談し、 サービス停止およびパスワード変更といった対策を取るべきである。 信販会社や銀行が情報確認する場合は書面で行われ、ウェブで確認することはない。

出典: フリー百科事典『ウィキペディア(Wikipedia)』


ファーミング
ファーミングをローカルで再現したもの アドレスにはWikipedia日本語版のアドレスが書かれているが、表示されているのはGoogleの画面である ファーミング(Pharming)とはDomain Name System(DNS)の設定を書き換えインターネットの閲覧者を偽のウェブサイトに誘導することで不正に個人情報を得る、又は得ようとする行為のこと。「ネット詐欺」のひとつでフィッシング詐欺の類似手法。
DNSとはインターネット上のアドレスを、人間が読みやすい形式のURLから機械が扱いやすい形式のIPアドレスへと変換する仕組みで、 この設定を書き換えられると、偽のウェブサイトに導かれる。偽のDNSへの誘導という手口もある。

出典: フリー百科事典『ウィキペディア(Wikipedia)』



金融機関の安全対策情報-安全BANK-BLOG


ワンタイムパスワードも盗難、新ウイルスに注意

不正送金、既に引き出し=初の実害確認、ネットバンク事件―警視庁

<ネットバンキング不正>別の3口座にも送金 中国人名義か?

ネットバンク不正画面5件確認 新手のフィッシング?

ネットバンキング不正。ウイルス「スパイアイ」など検出

ネットバンキング、預金不正送金急増 偽サイト誘導・ウイルス侵入

サイバー攻撃, 参院議員会館も3人のパソコン感染

クレジットカードによる電子マネー取得も詐欺行為

『スパイウエア』で初摘発、スパイメールやCDを送りつける

千葉銀行の顧客、CD―ROMで勝手に数百万円が送金される

ワンクリ詐欺-支払い圧力を強める新たな手口が急増

スパイウエア侵入、ネットバンクで不正な預金引き出し

ネット競売で落札を偽装し320万円詐取-代金立て替え払いサービス悪用

ネットバンキング悪用-窃盗犯、事務所のパソコンから1億円をネット送金

外資系金融機関のカードの盗難(スキミング)

インターネットカフェで暗証番号盗み現金を引き出した男逮捕

ジャパンネット銀行、「全顧客にSecurID配布」

みずほ銀行、ネットで32ケタの暗証番号、芸能人名もOK

イーバンク銀行、カメラ付き携帯電話で口座開設OK

イーバンク銀、スパイウエア対策 暗証番号入力で暗号表

みずほ銀行、ソフトウェアキーボードの提供などでスパイウェア対策

ジャパンネット銀行、新セキュリティ強化策