IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。フィンシング詐欺について注意喚起するとともに、改正となった不正アクセス禁止法の影響で、自身が加害者となる危険性についても紹介している。
今も続くインターネット上の脅威-フィッシング詐欺
フィッシング詐欺は、以前から存在するインターネット上の脅威で、本物のWebサイトを装い、IDやパスワードを奪取するものだ。その手口は大きく分けて2つある(図1)。
偽のWebサイトへ誘導するもの(サイト構築型)、メールや添付ファイルにIDとパスワードを入力させる仕掛けが仕組まれたもの(メール送信型)である。いかにも、本物と騙すための罠が仕込まれている。その実例は、フィッシング対策協議会のページなどを見ていただきたい(図2)。
このようにして、IDやパスワードが攻撃者に奪取される。具体的な被害は、なりすましなどが予想される。もし、フィッシング詐欺を発見、もしくは被害に遭ってしまった場合、フィッシング110番などにすみやかに連絡をとってほしい。
フィッシング詐欺対策
さて、フィッシング詐欺対策であるが、IPAでは、以下をあげている。
- IDとパスワードの使い回しを避ける
- 添付ファイルに注意する
- URLやドメイン名などに注意する
最初の2つは、フィッシング詐欺だけでなくても、よくいわれることだ。最後のURLとドメイン名について、具体的に紹介しよう。IDやパスワードを入力する必要なWebサイトでは、ほとんどがSSLによる安全な通信を行っている。通信経路を暗号化し、さらに接続するWebサーバーに証明書が付与され、ユーザー側で確認できる。URLが「https:」で始まるサイトといえば思い当たる人も多いであろう。これを確認することで、フィッシング詐欺から守ることができる。まずは、Internet Explorerの場合である。パスワードを入力する際には、アドレスバーを確認する。図4のように青の場合は、通常のサーバー証明書があるサーバーを意味する。鍵のアイコンをクリックすると証明書のドメイン名が表示される。
証明書とアドレスバーのドメイン名が一致しているかを確認すればよい。緑になっている場合には、さらに安全なExtended Validation(EV) SSL証明書(より厳しい身元の検証が行われている)を使用している場合である。図5のように会社名や団体名なども表示される。
Firefoxでも同じ確認を行える。ただし、FirefoxではSSLで保護されていない一般のWebサイトでは、「http:」やトップページの最後の「/」が表示されない。これはアドレスバーを見やすくするための機能だ(図6)。
SSLで保護されたWebページでは、図7のようにアドレスバーが青になり、サイト認証ボタン(アドレスバーの左側)をクリックすると、ドメイン名などが表示される(図7)。
Extended Validation(EV) SSL証明書が使用されていると、IE同様に緑になり、サイト運営者も表示される(図8)
このように、パスワードを入力する場合やオンライン決済を行う場合には、アドレスバーの色やURLと証明書の内容が同じかを確認するようにすべきである。
不正アクセス禁止法の改正、自分も加害者に!?
2012年3月に不正アクセス禁止法の改正が行われ、5月から施行された。結果
- パスワードを不正に取得・保管・提供する行為
- 騙してパスワードを窃取しようとする行為(フィッシング)
なども取り締りの対象となった。もちろんこれが、フィッシング詐欺対策であることは、理解しやすいであろう。その一方で、IDやパスワードの扱いによっては、この法律によって罰せられる可能性もある。IPAでは、以下のような行為は避けるべきとしている。
- 不正アクセス行為を目的とし、他人のIDやパスワードを紙やUSBメモリなどで受け取る行為こと
- 不正アクセス行為を目的とし、掲示板で公開された他人のIDやパスワードを、PC内に保存する行為
- 不正アクセス行為を目的とし、掲示板で公開された他人のIDやパスワードを自分のブログや他の掲示板に転載したり、メールで他者に送付したりする行為
あくまでも「不正アクセス行為を目的」という前提がつく。逆に、以下の行為は違反とならないとしている。
- インターネット検索中に偶然他人のIDやパスワードが表示された場合
- 他人のIDやパスワードを一方的に電子メールで送りつけられた場合
しかし、会社や組織などでユーザー管理のために、IDやパスワードを管理することもある。また、オンラインショップや会員制のWebサイトの運営などでも同様の可能性がある。本人には「不正アクセス目的」といった意識はなくとも、結果的に好ましからざる行為に繋がる可能性もあるだろう。サーバー管理者やユーザー管理を行う者は、セキュリティ対策も重要であるが、こういった法制度の改正などにも注意を払い、適切な運用がよりいっそう求められるといえよう。