SSLを過信していませんか――ネットバンキングに潜む誤解とは:ハギーが解説 目からウロコの情報セキュリティ事情(1/2 ページ)
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。
数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、IT初心者の日常生活に潜む情報セキュリティの危険や対策を毎週土曜日に解説しています。
過去の連載記事はこちらで読めます!
今日はネットバンキングとネット決済の利用について、初心者が注意すべき点を紹介しましょう。必要と思われる点をすべて網羅するのは大変ですが、ここでは特筆すべき点と実際に初心者が被害にあったケースを解説します。
「フィッシング詐欺」はもう知っていますか?
ネットバンキングやネット決済の分野で、世界的に相当な件数の被害が発生しているのが「フィッシング」と呼ばれる行為です。日本は漢字圏(2バイトコードの文化)という特殊性があり、いまだに一般にはなじみの少ない行為ですが、英語圏など海外では深刻な問題に発展している国もあります。
フィッシング詐欺の仕組みはさまざまですが、一般的なものとしては、まずユーザーに電子メールが届きます。メール本文には「ネットバンキングのセキュリティ対策強化のため」や「ネット通販の決済に利用したクレジットカードの有効期限の確認したい」などの文言が記載されています。電子メールにはURLが記載され、クリックすると本物そっくりの(要するに偽物)のWebサイトに誘導されます。そこでユーザーにID、パスワード、暗証番号などの個人情報を入力するように仕向け、第三者が盗み取って情報で利用者に「なりすまし」を行い、現金や商品を搾取します。フィッシング詐欺犯罪の典型的な手口のこのような内容ですが、最近ではこの仕組みが多種多様に広がりつつあります。
わたしは以前に行われたセキュリティ関連のカンファレンス「ネットワーク・セキュリティ・ワークショップ in 越後湯沢2004」でフィッシング詐欺の仕組みと種類や防止策を発表しました。当時は専門家の間でもあまり知られていなかったのですが、今では想像もつかないほどです。近年多発したアドレスバーの偽造やDNSキャッシュポイズニング、Hostsファイルの改ざんといった攻撃のほとんどがフィッシング詐欺につながっています。
フィッシング詐欺の対策もさまざまなものが登場しましたが、基本的には「今見ているWebサイトは正真正銘本当のサイトである」という確認を必ずすることです。一見すると簡単なように思えますが、論理的にはかなり難しいものです。まず、一番簡単な対応策は不審なメールを開封しないことになります。そして対策ツールを活用しつつ、必ずユーザー自身がそのWebサイトの安全性を確認します。主な確認方法は次の通りです。
アドレスバーの確認
確認のためには、正規サイトのURLを知る必要があります。フィッシング詐欺では、正規サイトと似たようなデザインのサイトを構築し、正規サイトに類似したURLも利用して、ユーザーが正規サイトだと思い込ませるようにしています。今、あなたの訪れたサイトは本当にあなたが訪れたいと思った正規サイトでしょうか? URLも含めて細部まで確認しなくてはいけません。
SSL証明書の確認
ネットバンキングやネット決済のサービスには、ほぼ例外なくSSL証明書が発行されています。まず、この証明書の有無を確認しましょう。確認方法は、Webブラウザの隅などに表示される「鍵マーク」が施錠されているかどうかです。このマークが施錠されたデザインなら、SSL通信が行われている証拠になります。しかし、これだけでは十分ではありません。実際にあった例では、フィッシング詐欺の偽サイトがSSLを利用していました。この場合、一見すると施錠された鍵マークが出ているので正規サイトと見分けがつきません。
この場合、鍵マークをクリックしてSSL証明書の内容を確認する必要があります。そこにURLの会社名が表示されておらず、聞いたこともないような会社名であればまず疑ってみます。そして、その会社の代表番号に電話をし、サイトと証明書が同じ会社であるかを確認します。ユーザーを大事にしている企業では、トップページなどに「当サイトのSSL証明書には次の様に記載されております」といった形で、内容が掲示されていることもあります。しかし、国内ではこのような対応をしている企業は少ないのが実状です。
フィッシング詐欺への対策は、基本的にこの2種類となります。その他の対応策を加味することができますが、対策ソフトウェアに依存し過ぎるとユーザー自身の判断ができなくなる恐れがあります。自己判断ができないという初心者の方は、対策ツールに頼り切ることがかえって危険であるということを理解してください。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。