menu

フィッシングメールにご注意下さい ~あなたの個人情報や銀行口座が狙われています~

フィッシングメール(標的型攻撃メール)によるパスワード等の情報の窃取被害にご注意ください。
最近,メールに記されたURLに誘導することで情報(パスワード等)を窃取しようとする,いわゆるフィッシングメール(標的型攻撃メール)が学内に多数送信されています。

実際,本学でも一部の利用者がパスワード等を窃取され,本人になりすまされて連絡先にある知人等を含めた不特定多数にメール等の大量発信がなされるという事案が発生しています。この場合,パスワードを奪われた本人が被害を被るばかりでなく,その関係者に対する攻撃に加担してしまうことにもなりますので,社会的信用にかかわる大きな問題となり得ます。被害者/加担者になってしまわないよう十分にご注意ください。

フィッシングメール(標的型攻撃メール)についてまず言えることは,見分けるための万能の方法はない,ということです。攻撃者はありとあらゆる方法で,あたかも本物であるかのように見えるメールや Webサイト等を準備し,受信者を騙そうと巧妙に誘導します。そのため,標的型攻撃メールか否かは,内容およびあなたと送信者との関係性等から総合的に判 断願います。判断に迷う場合は,URLをクリックしたり添付ファイルを開いたりせず,別途,そのメールの差出人(とされている)本人に直接たずねて本物かどうかを判断してください。

情報社会基盤研究センターから,学外サイトにおいて本学のユーザ名とパスワードの入力するよう求めるアナウンスを行うことはありません。 JAISTサイトに似せた紛らわしいURLを使用して錯誤を誘う事例もあるため十分注意願います。万一,そのようなサイトにパスワードを入力してしまった場合は,被害を最小限にとどめるため,直ちにパスワードを変更してください。

なお,昨今非常に高い頻度でこのようなメールが届いていることから,情報社会基盤研究センターでは個別のメール毎に必ずしも注意喚起のアナウンスを行っておりません。各自で十分にご注意頂き,もし不審な点がありましたら当センターにお問い合わせ下さい。

 

[参考] 最近の動向,事例など
  フィッシング対策協議会 www.antiphishing.jp

 

フィッシング(標的型攻撃)の実例

ここではフィッシングメール(標的型攻撃メール)の実例をいくつか挙げ,それぞれの場合について本物と偽物の判別方法を示します。今後も届くであろうこの種のメールに騙されないための参考にしてください。 

事例その1 金融機関

概要
この事例は,金融機関を名乗った偽者が,
- 本物のサイトとそっくりな偽サイトに誘導するメールを送信し,
- 騙されてそこに誘導された人に暗証番号等を入力させてそれを詐取し,
- その人になりすまして本物の金融機関サイトにログインし,
- 不正に送金処理を行うことにより金銭を盗もうとするものです。

被害者になるまでの経過
この事例では,メール受信者は次のような段階を経て被害者となります。
(a)偽メールを受信した
(b)偽メールに記された偽サイトにアクセスした
(c)偽サイトで暗証番号等を入力した
(d)偽者に不正送金処理をされた

被害者にならないためには,できる限り(a)の段階で,遅くとも(b)の段階で気付く必要があります。
(c)に至ってから気付いた場合は,よほど早く対処すれば被害を防げるかもしれませんが,基本的には手遅れです。
(d)で気付いた場合(ATMでお金を下ろそうとしたら残高が0だった)は手遅れです。

各段階での判別方法

ここからは上の各段階で気付くための方法について記します。

(a)「偽メールを受信した」の段階で気付くために‥‥

このようなメールが届いたら次の点に注意してみてください。

- 差出人
  - その金融機関から連絡を受ける理由はあるか。
    → 理由がなければ偽メールと考えてよいでしょう。
  - 差出人情報はメールアドレスも含めて簡単に偽装できるので全く当てになりません。

- 宛先
  - その金融機関から「そのメールアドレスに」連絡を受ける理由はあるか。
    → 理由がなければ偽メールと考えてよいでしょう。

- 本文に記載のURL
  - (1)のようにマウスカーソルをURL上に置いたときに,左下に表示されるURL(2)と一致するか。
    - [参考] (1)のURLは単に表示上のもので,クリックして実際にアクセスされるのは(2)のURLです。
    → 相違する場合は似ている場合も含め,URLが偽装されているので,偽メールと考えてよいでしょう。
      - 今回のケースでは,5文字目で早くも相違があります。(1)はhttps:で,(2)はhttp:です。
  - そもそも(2)のURLのドメイン名は,本物サイトのドメイン名と同じか。
    - [参考] 本物サイトのドメイン名は検索サイトなどで別途調べます。メールのリンクを信じるのはNGです。
    → 相違がある場合は似ている場合も含め,偽メールと考えてよいでしょう。
      - 今回のケースでは,本物サイトは,http://www.bk.mufg.jp/ ですから,ドメイン名は mufg.jp です。
      - 同じく,メールの(2)のURLの最初の「/」の直前を見ると,ドメイン名は exxxxxx.com です。

- 本文
  - 言い回しや文法が変ではないか。
    → 誤字脱字程度を超えて,日本語としてあるいは常識的に変なら,偽メールと考えてよいでしょう。
      - 金融機関が顧客に 「こんにちは!」という書き出しのメールを送るだろうか。
      - 金融機関が顧客に文法的におかしな文章のメールを送るだろうか。

- ネットの情報
  - 本文をコピーして検索サイトで検索して,偽メールであることを示す情報があるか。
    → 見つかった場合には,偽メールと考えてよいでしょう。
  - 本物サイトに注意喚起の情報が掲載されているか。
    - [参考] 本物サイトのドメイン名は検索サイトなどで別途調べます。メールのリンクを信じるのはNGです。
    → 見つかった場合には,その注意喚起情報に沿って判断してください。

(b)「偽メールに記された偽サイトにアクセスした」の段階で気付くために‥‥


- 暗証番号やパスワード等を入力するページが表示された際のブラウザのURL欄
  - 本物サイトのドメイン名と同じか。
    - [参考] 本物サイトのドメインは検索サイトなどで別途調べます。
    → 相違がある場合は似ている場合も含め,偽サイトです。
  - https:// で始まらないURLか。
    → URLがhttps://で始まらない(http://等の)場合,偽サイトです。
    - [参考] 暗号化されていないページでパスワードを入力させるサイトはありません。
  - 証明書(サーバ証明書)が示されているか。
    → 有効な証明書が示されないサイトは,偽サイトと考えてよいでしょう。
    → 特に金融機関や通信販売等,金銭取引の発生するサイトの場合は,確実に偽サイトです。

- 一般に,偽サイトの画面は本物そっくりで,ほぼ見分けがつきません。

(c)「偽サイトで暗証番号等を入力した」 あとで気付いたら‥‥


- 「偽サイトに暗証番号等を入力した直後に,いつもと違う画面表示になり気付いた」といった場合がそうです。
  - 基本的には手遅れです。しかし,まだ被害を軽減できる可能性は残っているかもしれません。
  - 偽物があなたのアカウントにアクセスできないように一刻も早く対処してください。
    → パスワードの変更,その金融機関への連絡


(d)「偽者に不正送金処理をされた」 あとで気付いたら‥‥


- 「ATMでお金を下ろそうと思ったら残高が0になっていた」といった場合がそうです。
  - 手遅れです。ただし,するべきことはあります。
  - 偽物があなたのアカウントにそれ以上アクセスできないよう,必要な対処をしてください。
    → パスワードの変更,その金融機関への連絡
    → 同じパスワードを使っている他サービスのパスワード変更と被害確認
  - 可能性は低いかもしれませんが,何らかの救済措置がなされることを期待するしかありません。
    → 金融機関ならびに警察へ届け出る。
  - ここまで説明した内容に思い当たる事はないか,自分の行動を思い返しましょう。


本物かどうかの判断に悩む場合

以上のように注意深く見ても本物か偽物か判断がつかない場合は,無理に判断しようとせず,メールの差出人「とされている」金融機関に問い合わせてください。この際,決してメールに記載されている連絡先や返信先を使ってはいけません。
別途,検索サイト等で連絡先を必ず確認してから問い合わせてください。



事例その2 JAIST Webメール

概要
この事例は,JAISTのWebメールサーバ管理者を名乗った偽者が,
- 本物のサイトとそっくりな偽サイトに誘導するメールを送信し,
- 騙されてそこに誘導された人にユーザ名とパスワードを入力させてそれを詐取し,
- その人になりすまして本学のメールサーバにログインし,
- 学内外に大量の迷惑メールを不正に送信しようとするものです。

被害者かつ加担者になるまでの経過
この事例では,メール受信者は次のような段階を経て被害者かつ加担者となります。
(a)偽メールを受信した
(b)偽メールに記された偽サイトにアクセスした
(c)偽サイトでユーザ名とパスワードを入力した
(d)偽者に大量のメール不正送信を行わせた

被害者/加担者にならないためには,できる限り(a)の段階で,遅くとも(b)の段階で気付く必要があります。
(c)に至ってから気付いた場合は,よほど早く対処すれば被害を防げるかもしれませんが,基本的には手遅れです。
(d)に至ってから気付いた場合は手遅れですが,被害の拡大を防ぐ対処は必要です。

各段階での判別方法
ここからは上の各段階で気付くための方法について記します。

(a)「偽メールを受信した」の段階で気付くために‥‥

 このようなメールが届いたら次の点に注意してみてください。

- 本文に記載のURL
  - (1)のようにマウスカーソルをURL上に置いたときに,左下に表示されるURL(2)と一致するか。
    - [参考] (1)のURLは単に表示上のもので,クリックして実際にアクセスされるのは(2)のURLです。
    → 相違する場合は似ている場合も含め,URLが偽装されているので,偽メールと考えてよいでしょう。
      - 今回のケースでは同じですので,これだけでは判断できません。
  - そもそも(2)のURLのドメイン名は,JAISTのドメイン名と同じか。
    - [参考] JAISTのドメイン名はjaist.ac.jpです。
    → 相違がある場合は似ている場合も含め,偽メールと考えてよいでしょう。
      - JAISTのドメイン名に似せたURLで錯誤を誘う場合が見られるので十分に注意してください。
      - 今回のケースでは,本物サイトは,http://www.jaist.ac.jp/ ですから,ドメイン名は jaist.ac.jp です。
      - 同じく,メールの(2)のURLの最初の「/」の直前を見ると,ドメイン名は xxxxxxxte.com です。

- 本文
  - 言い回しや文法が変ではないか。
    → 誤字脱字程度を超えて,日本語としてあるいは常識的に変なら,偽メールと考えてよいでしょう。
      - JAISTは構成員に対してここまで文法的に変なメールは送信しません。

- ネットの情報
  - 本文をコピーして検索サイトで検索して,偽メールであることを示す情報があるか。
    → 見つかった場合には,偽メールと考えてよいでしょう。
  - 本物サイト(http://www.jaist.ac.jp/iscenter/)に注意喚起の情報が掲載されているか。
    → 見つかった場合には,その注意喚起情報に沿って判断してください。
    → 見つからない場合は,それをもって偽メールではないと短絡的に判断しないでください。

(b)「メールに記された偽サイトにアクセスした」の段階で気付くために‥‥

 このようなパスワード入力を求めるサイトに誘導されたら次の点に注意してみてください。

- パスワード等を入力するページが表示された際のブラウザのURL欄
  - 本物サイトのドメイン名と同じか。
    - [参考] JAISTのドメイン名は jaist.ac.jp です。
    - [参考] 情報社会基盤研究センターはJAISTのドメイン名以外のサイトでパスワード入力を求めることはありません。
    → 相違がある場合は似ている場合も含め,偽サイトです。
  - https:// で始まらないURLか。
    → URLがhttps://で始まらない(http://等の)場合,偽サイトです。
    - [参考] 暗号化されていないページでパスワードを入力させるJAISTサイトはありません。
  - 証明書(サーバ証明書)が示されているか。
    → 有効な証明書が示されないサイトは,偽サイトと考えてよいでしょう。

 

「(c)偽サイトでユーザ名とパスワードを入力した」 あとに気付いたら‥‥

「(d)偽者に大量のメール不正送信を行わせた」 あとに気付いたら‥‥


- 「偽サイトにパスワード等を入力した直後に,いつもと違う画面表示になり気付いた」とか,
- 「Webメールの設定が勝手に書き換えられている」といった場合がそうです。
  - これ以上被害を拡大させないために,直ちに対処を行ってください。
    → パスワードの変更,情報社会基盤研究センターへの連絡
    → 同じパスワードを使っている他サービスのパスワード変更と被害確認

本物かどうかの判断に悩む場合
以上のように注意深く見ても本物か偽物か判断がつかない場合は,無理に判断しようとせず,メールの差出人「とされている人」に直接に問い合わせてください。この際,決してメールに記載されている連絡先や返信先をそのまま信じて使ってはいけません。
別途,名簿等で連絡先を確認してから問い合わせてください。