最近はログインIDやパスワード、カード番号などを盗むために、銀行、通販サイト、クレジットカード会社といった名前に偽って送信されるメールがとても増えています。
これらのメールはフィッシング(Phishing)メールと呼ばれ、出来が良くなってきています。つまり、手口がより巧妙になって、騙されやすくなっているのです。
手口としては、収集したメールアドレス宛てに偽のメールを送信、メール内のリンクから巧妙に作られた偽サイトに誘導し、そこでIDやパスワードなどを入力させ、情報を収集します。フィッシングメールはHTMLメールという、デザインが施されたメール形式が多いです。本文中に表示されているURLは本物ですが、実際に接続されるURLは偽サイトになっています。
多くのフィッシングメールは、上記のように差出人を詐称して送信されています。連載の第1回で説明しましたセキュリティ対策のSPFレコードやDKIMなどの照合で、メールの送信元を確認すれば、一定数ははじくことができます。ただ、全てには対応できず、すり抜けてしまうケースもあります。
一部の金融機関などは、電子署名(S/MIME)を付けるなどの対策を施していますが、その署名を確認するためには、受け手側のメールソフトが対応している必要があります。
個人情報、ログイン情報、カード情報などを入力する際は、URL欄を良く確認することが重要です。また、金融機関などは正規サイトを「お気に入り」などに入れておき、常にそのURLを使用するのも対策になります。メール内のリンクを使用しない方法が有効です。
