Webサイト利用者を詐欺から守るポイント:企業責任としてのフィッシング対策(3/3 ページ)
Webサイト側での対策
次に、Webサイトの開発/運営側にできる対策を説明する。
●個人情報を尋ねるメールは送らない
フィッシングの目的は個人情報を詐取することであり、フィッシャーの送るメールには個人情報の入力を促したり、尋ねたりする文面が多い。もし、サービス提供者が普段から個人情報の入力、確認を促すメールをWebサイトから送っていると、利用者の感覚がまひしてしまい、フィッシャーのメールに対しても何の疑いも持たなくなってしまう可能性がある。そのため、個人情報を尋ねるメールは出さないようにするのはもちろん、逆に「当社では個人情報を尋ねるメールは一切出していない」旨を利用者に通知することをお勧めする。
●Webサイトにアドレスバーとステータスバーを表示する
「利用者側の対策」で説明したように、WebサイトのURLや鍵マークの確認は、利用者が偽サイトを見破るための重要な手段となる。そのため、デザイン上の見た目よりも、アドレスバーやステータスバーを常時表示させておくことを優先すべきだ。アドレスバーやステータスバーを非表示にしてしまうと、利用者の確認手段を奪うだけでなく、Webサイトに対する不信感を増すことになる。
●検証ができる証明書を使う
「信頼できる認証局?」の項で説明したように、電子証明書は信頼できる認証局から発行されなければ、その用をなさない(関連記事)。
検証できない(=エラーが表示される)電子証明書を使っているWebサイトが増えると、利用者は警告メッセージに慣れてしまうという危険性が出てくる。「警告が出てるけど、まあいつものことだ」という考えを持ち、「はい」を押す習慣ができてしまうだろう。こういった状況が続くと、警告の内容など読みもしなくなり、せっかくの電子証明書も役に立たなくなってしまう。Webサイトを運営する方々はこのことをよく理解し、常に信頼できる認証局から発行された電子証明書を使用していただきたい。
●Webアプリケーションの脆弱性をなくす
いくら信頼できる電子証明書を使用していたとしても、Webアプリケーションに脆弱性があり、それを悪用されては元も子もない。
ここでは、クロスサイトスクリプティングの脆弱性を例にとって説明しよう。クロスサイトスクリプティングとは、利用者の入力値を画面に表示する際に、HTMLエンコーディングがされていないためHTMLタグやスクリプトが動作するという脆弱性である(参考:「クロスサイトスクリプティングの基本」)。
Webアプリケーションにこの脆弱性が存在すると、攻撃者が入力フォームの送信先を変更したり偽のコンテンツを追加することが可能となる。しかしこの場合、表示されているページ自体は正規のサイトであるため、利用者には見分けがつかない。そのため、Webアプリケーションを開発する際には、開発初期段階からセキュリティを考慮し、Webアプリケーションの脆弱性が存在しないよう作業を進めていくべきだろう。
フィッシング対策ツール
最後に、こうした基本的な対策を補完する手段として、幾つかのフィッシング対策ツールの種類を紹介する。
フィッシングの手口は日々高度化し、一方でそれに対抗するためさまざまな対策が考えられている。フィッシング対策ツールの導入を考えている方は、常に新しい情報をチェックしておくとよいだろう。
●スパムメールフィルタ
偽サイトへ誘導する手段の多くとして、電子メールが利用されているため、フィッシャーのメールをブロックするのは非常に効果的な対応策といえる。これには、スパムメールフィルタの技術を利用できるであろう。
スパムメールの判定方法は日々進化しており、ブラックリスト/ホワイトリストによるフィルタリングから、キーワードを解析するベイジアンフィルタ、ヒューリステックフィルタ、送信元の信頼度を評価するレピュテーション(評判)サービスといったさまざまな方法が考えられている。
また、メール送信元の認証を行うことでスパムメールを防止するアプローチもあり、Sender ID、DomainKeysなどの技術も登場してきている(関連記事)。
●URLフィルタリング
アクセスを許可するサイト、もしくはアクセスを禁止するサイトが登録されたデータベースを用意し、これに基づいて接続先をフィルタリングする。アクセスの可否はカスタマイズ可能で、基本となるデータベースは、ウイルス定義ファイルのように日々更新されていく。フィッシング対策だけでなく、有害情報や業務に無関係なページへのアクセスを禁じ、スパイウェアやウイルスへの感染を防止するなどの効果が期待できるだろう。
また、URLデータベースを参照するだけでなく、アクセス先のWebサイトの証明書の内容を確認したり、あらかじめ独自の方式で交換した認証情報をチェックすることにより、フィッシングサイトかどうかを判断するツールも提供されている。
●将来のツール
Internet Explorer 7(IE7)には、アクセスしているWebサイトの証明書の検証結果を警告ウィンドウで示すだけでなく、色で分かりやすく状態を示す「フィッシングフィルタ」が搭載される予定だ。この機能では、既知のフィッシングサイトにアクセスすると「赤色」、フィッシングサイトの疑いがあるサイトでは「黄色」が表示される仕組みだ(関連記事)。また、詳細は未定ながらFirefox 2も同様に、フィッシング対策機能を提供する計画という。
以上、フィッシングへの対策を例に、Webサイトの開発者、利用者の注意点をそれぞれ説明してきた。特にWebサイトを開発する方々は、本稿で説明したことに留意しながら、利用者にとって安全かつ利便性に優れたサイトを構築していただければと思う。またもちろん、利用者側も必要最低限の知識を身に付け、フィッシングの被害に遭わないよう心がけてほしい。
■日高和夫
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。