情報システム課TOP >利用ガイド >セキュリティの基礎知識 >フィッシングの基礎知識

フィッシングの基礎知識

フィッシングとは  フィッシングを見分ける方法  防止策  参考資料

フィッシングとは
「フィッシング (Phishing)」 とは、正規の金融機関(銀行や保険、クレジットカード会社)などを装った電子メールを送り、
「住所、氏名、銀行口座番号、クレジットカード番号」などの個人情報を盗み取る行為です。
電子メールのリンクから偽サイトに誘導し、そこで個人情報を入力させる手口が一般的に使われています。

    

※新手のフィッシングとしてメール以外の電話やFAXによるフィッシング被害も出ています。
 所定の用紙に必要事項を記入してFAXで送信してほしいと指示する内容のものや、カスタマ サポートに電話するように
 指示し、個人情報を盗み取るものです。

フィッシングを見分ける方法
企業がメールにて「ID、パスワード、口座番号や暗証番号、本人の個人情報」を問い合わせる事は、まず行っていません。
しかし非常に巧妙に作成されているので、正規のメールと見分けがつきにくいものです。
慎重に信頼できるものかどうか判断してください。基本的な判断ポイントを是非確認してください。

 ● リンク安易にをクリックしない
  メールに記載してあるリンク先をつい、クリックしてしまいたくなりますが、記載してあるURLは直接ブラウザの
  アドレスバーに入力しましょう。
  リンク先を偽装する手口はよくあることです。正規のホームページのメニューから操作を行うようにしましょう。

 ● セキュアサイトの確認
  個人情報を入力する画面を表示すると、大抵の場合アドレスが「https」から始まります。Internet Explorerの
  場合、“錠”のアイコンが下のバーに表示されます。この錠は、情報が暗号化され第三者認証機関から信頼
  できるサイトだという与信証明の証です。
  鍵の絵をダブルクリックして内容を確認しましょう。ダブルクリックできない場合は、偽サイトの可能性があります。
 アドレスバー
 鍵

  ページ上で右クリックしページの『プロパティ』で本物のURLを確認するのも大事です。
 Webページのプロパティ

 ● ポップアップウィンドウには入力しない
  リンクをクリックすると偽のポップアップ ウィンドウが表示されるという手口があります。
  ポップアップ ウィンドウの信憑性を高めるために、本物のサイトをバックグラウンドにし、偽サイトをポップアップ
  ウィンドウで表示する巧妙なフィッシングです。
  本物のように見えても、「セキュリティ保護されている」と表示されていても、実際のセキュリティ証明書を確認
  する方法がないため、メールのリンクからのポップアップウィンドウには重要な情報は入力しないでください。

防止策
フィッシングは昨今流行の「オレオレ詐欺」と似たところが多くあります。引っかからないためにはちょっとした心がけが重要です。

● 日常の対策
 ・メールはすぐに信用しない、不審なメールは開かないようにしましょう。
 ・金融機関などの過去の請求書や明細書などに記載されている正規の連絡先に照会してみましょう。
 ・定期的にパスワードを変更するようにしましょう。
 ・Windows Updateを行ったり、アンチウィルスソフトを常に最新の状態にしましょう。
  (メールにウィルスやスパイウェアが添付してある場合もあれば、リンク先のホームページから感染する場合もあります。)

参考資料
 フィッシング事例 (Anti-Phishing Working Group(APWG))
 フィッシング対策協議会
 電話によるフィッシング (Microsoft)
 フィッシング110番 (警視庁)
情報システム課TOPへ