Amazon の偽サイトに誘導し、そこでアカウント情報を盗むという、所謂フィッシングサイトが話題になっています。フィッシングサイト自体は別に珍しくないと思いますが、今回のは日本の Amazon (amazon.co.jp) を騙っているということで、引っかかる人が多そうという予感はします。
とは言っても、各銀行のネットバンキングへの不正アクセスを狙ったフィッシングサイト (もちろん日本語) は以前からたくさんありますし、フィッシングの脅威自体は常に我々の周りに存在しているわけです。
で、そんな状況で何を今さらこんなこと書くかというとですね、どうも今回の Amazon 偽サイト騒ぎに関連して、朝の某情報番組で、フィッシングサイトに引っかからないようにっていう解説がされたらしいんですが (私はその番組自体は見てないです)、その内容について突っ込んだツイートがリツイートで回ってきたから。
Amazonフィッシングサイト、そこで区別はできねぇよ...。SSL証明書で確認しろよ... pic.twitter.com/UOBfMMRhNZ
— かない (@kanai6274) 2016, 2月 2
番組の内容を細かく見ていないので、番組画面のキャプチャだけで判断するのはどうかとも思いますが、もし上記ツイートで突っ込まれているように 「Web サイト画面上における、本物と偽物の差異で判断しろ」 みたいな話だったとするとちょっと筋が悪いというか、明らかに間違いないので、もっと確実な方法を下記に。
アドレスバーを見ろ
フィッシング被害を防ぐ最も確実な方法は、まず 「今自分がアクセスしている Web サイトの URL (主にドメイン) を確認すること」 です。
アドレスバーっていうのは下記のような URL が表示される箇所ですね。下記の例は、上から Firefox、iOS Safari、iOS Google Chrome の例です。
Firefox での例
iOS Safari だとこんな感じ
iOS 版の Chrome だとこんな感じ。多分 Android もこんな感じだと思います。
基本的に現行のブラウザには必ずアドレスバーがありますし、セキュリティの関係上、現在の Web ブラウザは (フルスクリーンモード時は除くとして) アドレスバーを非表示にできない仕様になっているものがほとんどです。
余談ですがちょっと昔は JavaScript で簡単にアドレスバーなどを消せましたので一般的な Web サイトでも別窓開く時にアドレスバーを消すなんてことが普通に行われていました。
で、当時はフィッシング対策にアドレスバーを確認しましょうという啓蒙を逆手にとって、アドレスバーを非表示にした上でフィッシングサイト側が作ったニセアドレスバーを表示させて騙すなんて手口もあったわけです。
現在のブラウザはそういうアドレスバー偽装に対してはきちんと対策が取られていますので、安心してアドレスバーの表示を信じても大丈夫な状態になりました。とはいってもたまに脆弱性が発見されたりするわけですが (下記記事参照)。
話を戻しましょう。
例えば今回話題になっている Amazon の偽サイトは .co ドメイン (コロンビアの ccTLD) を使用していたとのことです。正しい Amazon のドメインは .co.jp ですから、アドレスバーをきちんと見れば、
amazon.co.jp/hogehoge
ではなく、
am***n.co/hogehoge (フィッシングサイトにリンク張ったらまずいので一部伏せ字)
になっていると思います。きちんとアドレスバーを確認すれば、この時点で、「あれ? 何かおかしいぞ」 と気がつくはず。
まぁこの辺は詐欺サイトも巧妙で、ぱっと見ではわかりにくい感じにしてくるので注意が必要ですけどね。例えば、
amazon.co.jp.example.com
みたいに実際のドメインは example.com なんだけど、ホスト名を使って、アドレスの先頭だけみたら amazon.co.jp にアクセスしてるように錯覚させようとしたりと色々知恵を絞ってきたりとか......
メールに記載のアドレスをクリックしたりする際は特に注意を
ブラウザに登録したブックマークなどから Web サイトに再訪する分にはほぼ問題ないですが、はじめてアクセスする Web サイトや、今回のように偽メールが送られてきて、それに書かれたリンクをクリックするという経路で Web サイトにアクセスしたりする時に、フィッシングに引っかかる場合がありますので、特に注意しましょう。
メールのヘッダ情報を確認して...... なんてのは一般の人にはわかりにくいと思いますので、せめてブラウザのアドレスバーだけは確認するように最低限徹底するとよいと思います。
また、最近は Google など、検索エンジンで検索した際に、オーガニックな検索結果の上に表示される広告枠を使って、ニセのサイトに誘導する手口もあります。検索結果から移動する場合も、広告を避けたり、移動した先でアドレスバーに表示されているドメインを確認することは重要です。
SSL 証明書の確認もあわせて
例えば銀行のオンラインバンキングであれば、必ず HTTPS で接続するようになっていますし、EV SSL 証明書 (下記記事参照) を使用していますので、アドレスバーに組織情報が表示されるはずです (下記は三井住友銀行さんの例)。
アドレスバーのドメインを確認するのと同時に、EV SSL 証明書の表示も確認すると、より確実です。
Amazon さんは HTTPS で接続できますが、EV SSL 証明書は使用していないため、このような表示は出ませんが、HTTPS で接続している際は、主要なブラウザではアドレスバー横に鍵アイコンが出ますので、それをクリックすることで証明書の情報が確認できます。
繰り返しになりますが、「アドレスバーのドメインを確認するのが最優先」 です。その上で、上記のように SSL 証明書の情報も確認すると、より確実ですという話なので、アドレスバーをまずは確認しましょう。
なぜかと言えば、ニセのドメインでも SSL 証明書は取得できるし、HTTPS で接続させること自体は簡単だからです。「SSL 証明書の有無や有効期限だけ」 をみて、ドメインが正しいかを確認しなければ意味がないということになります。
一方で、ログイン情報など重要な情報を入力するページが、HTTPS でアクセスするようになっていない場合は怪しいと思いましょう。悪意のない Web サイトでもそういうところがたまにありますが、別の意味でセキュリティ的に問題があるため、正直利用しない方がよいです。
アドレスバーの確認だけでは防げない例外
これは、例えば攻撃対象となる Web サイトに XSS (クロスサイトスクリプティング) などの脆弱性があった場合に、外部から悪意のあるスクリプトを注入されることで正しい Web サイトにアクセスしていながらニセのログインフォームなどを使って情報が盗まれる場合などが該当します。
この場合はアドレスバーは正しいドメインが表示されるので、アドレスバーの表示を確認だけでは防ぎようがありません。とはいえこれについて利用者ができることはブラウザや OS を常に最新の状態にアップデートしておくことと、ブラウザから何か警告的なものが出たときに、無闇にスルーしないくらいですので、そこだけ怠らずにやっておきましょう。
Amazon をスマホで使うならアプリがいいかも
ちなみにですが、Amazon さんは iOS や Android 向けに買い物アプリをリリースしています。スマートフォンで Amazon を利用することが多いという方であれば、アプリを必ず使用するようにすることで、フィッシング被害にあう確率を減らすこともできるかもしれません。
もちろん、インストール時はそれが正規のアプリかだけは確認しましょう。ニセのアプリをインストールさせる手口もありますので。
お父さんお母さんにもわかりやすい解説
例えば下記の Web ページなどは、インターネットや Web に詳しい人以外にもわかりやすくフィッシング被害にあわない方法を解説しています。参考までに読んでみるとよいと思います。
関連エントリー
- Google Japan 公式 Twitter、セキュリティ月間で問題を出すも、正解とは別のところで突っ込まれる
- パスワードの使い回しは危ないよっていうお話
- パスワードを使い回されても大丈夫なパスワード登録フォームを考えてみる
- 本当は怖い Gmail (アドレス間違いに気を付けろっていうお話)
- Google、5分でできる強固なパスワード設定方法をアドバイス
- iOS 7 で Safari のパスワードが丸見え以前にパスワードロックしよう
- iOS で添付ファイルが暗号化されていないからメールが危険とか言われている件について
- Chrome などで保存したパスワードが丸見えだから危険とか言われている件について
