えきねっとの偽サイトが公式サイトと見分けが付かないデザインの上、公式サイトよりもGoogleの検索上位にくるという問題が発生しました。私だったら何も考えず、サイトにアクセスしてしまうと思います。
現在のフィッシング詐欺は大変巧妙になっており、被害数も今年の6月は88,250件になります。
さらにフィッシング詐欺のURL件数は今年の6月は27,217件、4月と比べると約2.5倍増加しています。参考:フィッシング詐欺評議会
いつ詐欺にあってもおかしくない状況で私達はどうやって自分を守ればいいのでしょうか?
今回はフィッシング詐欺の見破り方などをご紹介したいと思います。
偽サイトを見抜くためにはどうすればいいの?
URLを確認する癖をつけることです。
URLはアドレスとも呼ばれており、そのサイトの住所を表すものになります。
URLをチェックするポイントは一番うしろにあるトップレベルドメインです。
今回の偽えきねっとのURLと本物のえきねっとのURLを比べてみると、本物が「.com」で終わっているのに対して偽物は「.ru」で終わっています。
「.ru」はロシアのことなのでJR東日本の公式サイトがロシアなのはおかしいというのが分かります。
ちなみに他の国は・・・
- アメリカ・・.us
- イギリス・.uk
- フランス・・.fr
- ドイツ・・.de
- 中国・・.cn
- 韓国・・.kr
などなど・・・
日本の場合は「.jp」です。そのため「.jp」は日本にいる人ではないと使うことができません。
日本で登録されている企業ならば「co.jp」
日本の教育機関として登録されているならならば「ac.jp]
日本の政府機関ならば「go.jp」
日本の法人組織として登録されているならば「or.jp」
が使用することが可能になり、登録されていない場合は使用することができません。
日本の会社のサイトなのに外国の国別ドメインがある場合は近寄らないようにしましょう。
それでは正式サイトのURLに記載されている「.com」は何のことでしょうか。
「.com」とはcommercial (コマーシャル)の略で企業や商業用に使われるものです。
こちらのトップレベルドメインは国などは関係なく、サイトの目的を表しています。
他にもネットサ−ビスに使われる「.net」などがあります。
一般的に使われるトップレベルドメインは先程紹介した「.jp」「.com」「.net」です。
外国のトップレベルドメインが使われてる以外にも以下のように余り見慣れないものが使われている場合は注意が必要です。
「.xyz」、「.online」、「.fun」、「.asia」、「.shop」、「.icu」、「.top」
(全てが偽サイトというわけではありません)
特に「.xyz」は愛知県に寄せられた偽サイトや詐欺サイトの35%になります。参考:愛知県警本部サイバー犯罪対策課
URLにこんな意味があるとは初めて知りました。これからはしっかりとチェックしていきたいと思います。
しかし自分で見ても自信がない時もあるはずです。
そんな時はURLが安全かどうかチェックしてくれるサービスもあります。
ウイルスや詐欺の危険がないかチェックできます。
サーバーの所在地やブラックリストに記載されていないかなど運営情報を知ることができます。
安全性を「安全」「危険」「不審」「未評価」の4段階で評価してくれます。
どれも無料でURLを入力するだけですぐに確認することができます。
ぜひ参考にしてみて下さい。
SSL化していても安全ではない?
よくhttp://は危険でhttps://は安全と聞いたことはありませんか。
httpとはウェブで通信するときの仕組みなりますが、この時の通信内容は暗号化されていないため悪意がある第三者が覗き見されたら丸見えの状態で大変危険です。
そこでそのhttpにSSL/TLSを加えて通信内容を暗号化して悪意がある第三者が覗いてもわからないようにしているのがhttps://です。
しかしこれは途中で悪意がある第三者に情報を悪用されないようにするシステムで、サイト自体が本物だという証明にはなりません。
実際にフィッシング詐欺で使われているURLはほとんどこのhttps://です。
今回のえきねっと偽サイトもhttps:// がちゃんと付いていました。
ではどうれすばいいのでしょうか。
その時はSSL証明書をみてみるのも一つの手です。
SSL証明書はそのWebサイトを運営する身元証明でもあるため、個人情報を入力する時やクレジットを使う時は確認してみて下さい。
確認方法をご紹介します。
Google Chromeの場合
- URLの横の鍵マークをクリック
- 「この接続は保護されています」をクリック
- 「証明書を有効です」をクリック
- 詳細をクリック
- サブジェクトをクリック(私のパソコンでは件名をクリックすると出ました。)
そうするとWebサイトを運営元の細かな情報をみることができます。
見方は次の通りです。
CN=ドメイン名
O=組織名、会社名
L=市町村名
ST=都道府県・州
C=国名
ここに書かれている内容は証明書を発行した認証局が確認したもののみになります。
そのため全て記載されているサイトやドメイン名しかないものなどサイトによって様々です。
楽天市場とAmazonで調べてみると楽天市場は全ての情報がのっていましたが、Amazonはドメイン名しかのっていませんでした。
こちらも完璧に確認できるとは限らないようです。
そのため最初にご紹介したトップレベルドメインの確認と合わせてチェックすることが大切です。
フィッシング詐欺にあってしまったらどうすればいいの?
IDやパスワードの場合
アカウントを乗っ取られる危険があります。特にAmazonや楽天市場などのアカウントは住所やクレジットカードの情報まで悪用される場合も。
すぐに正式のサイトでIDとパスワードの変更をして下さい。
すでに乗っ取られている時は相手がパスワードやIDを変更しておりログインできない場合もありますが、その時は「パスワードを忘れた場合はこちら」を押して変更をして下さい。
クレジット番号情報を入力してしまった場合
直ちにクレジットカード会社に連絡をして下さい。
もしも明細書で気づいた場合も必ずクレジットカード会社に連絡を。
クレジットカードの会社によっては補償してくれることもあります。
銀行の情報を入力してしまった場合
クレジット同様直ちに銀行に連絡して下さい。
どの場合でも偽サイトに個人情報を入力してしまった場合は、フィシング110番に連絡をしましょう。
各都道府県の窓口はこちらで確認することができます。
まとめ
いかがでしょうか。今回調べることでインターネットは私たちの生活に必要不可欠のものですが、危険も沢山あることを再確認することができました。
これからはGoogleの検索の一番上にあるから公式という考えは捨て、開く前にURLを見ることを習慣にしていきたいと思います。