釣りを見分ける
今日もまたフィッシングのメールが届きましたが、メールソフトの機能によって、一見、差出人が「三菱東京UFJ銀行」と表示されるので、本物のメールのようにも見えます。しかし、それは単にfromヘッダに書かれた文字列を表示しているだけなので、簡単に見破ることが可能でもあります。
どんな時代においても、詐欺に引っかからないようにするためには、本人の基本的な知識も必要です。別にインターネット云々ではなく、どんな時代でも詐欺は存在しているので、日頃使う道具に合わせて、詐欺を遠ざけて身を守る知識を身につける必要があります。パソコンやスマホを使うのなら、メールを使うのなら、それに合わせた知識を‥‥です。
フィッシングのメールを見分けるポイントは、フィッシングしようとする側の弱みを突けば良いのです。
弱みとは、
本家のメールサーバを使えない
本家のドメインを使えない
本家の申請による証明書が発行できない
‥‥あたりでしょうかね。
今日の深夜に届いたメールは、
MUFGカードWEBサービスご登録確認
いつも MUFGカードWEBサービスをご利用いただき、ありがとうございます。
この度、MUFGカードWEBサービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ttp://www.cr-mufg-jp.loan/selected/id
上記MUFGカードWEBサービスIDは弊社にて自動採番しているものですので、
弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、
大変お手数ではございますが、下記URLからログインいただき、
任意のIDへの再変更をお願いいたします。
なお、新たなID?パスワードは、セキュリティの観点より「10桁以上」のご登録を強くおすすめいたします。
ttp://www.cr-mufg-jp.loan/selected/id
*ID変更の際はこれまでご利用いただいておりましたIDのご利用はお控えいただきますようお願い申しあげます。
*他のサイトでも同じIDをご利用の場合には、念のため異なるIDへの変更をおすすめいたします。
-----------------------------------------------------------------------
本件に関するお問い合わせにつきましては、MUFGカード係まで
お電話いただきますようお願い申しあげます。
お問い合わせ・ご照会
<三菱東京UFJ銀行 BizSTATION>
受付時間 9:00〜19:00(土日・祝日・銀行休業日を除きます)
-----------------------------------------------------------------------
*誠に勝手ながら本メールは発信専用アドレスより配信しております。
本メールにご返信いただきましても、お答えすることができませんのでご了承ください。
*文中のURLは間違ってアクセスするのを防ぐために先頭の「h」を削っています。
‥‥という内容ですが、まず本文をみただけで、パスワード変更の重要な通信なのに、「https」ではなく「http」な点で「怪しさ確定」です。
httpsの末尾のsは、セキュアのSです。(‥‥たぶん)。つまり、HTTPによる通信を安全におこなうための仕組みです。‥‥で、その安全の確保・確立のために「SSLサーバ証明書」を発行するわけですが、これは自前で用意することもできますが(個人規模の場合)、正式な認証局(CA)によって発行された信頼できる証明書を用いてこその企業のWebコンテンツです。ゆえに、外部の人間が簡単に企業を騙った信頼できる証明書などゲットできるわけもないのです。
ちなみに、私は自前の証明書を使ってhttpsによる通信を自己使用することがあります。個人的な用途で、セキュアでhttpプロトコルで通信したい場合に‥‥です。その際は必ず「信頼できない証明書です」と警告表示がWebブラウザで表示されます。しかし、自分のローカルで証明書を取り回す分には、発行した人間も自分、使う人間も自分だけなので、「この証明書を信頼する」で使えば良いだけです。
しかし、企業を騙って人を騙す目的には、これがうまくいきません。詐欺目的でSSL証明書をオレオレ発行したところで、Webブラウザが認証局との通信で「この証明書は信頼できない」と警告してくれます。そこから先、企業のWebだと言うのに、信頼できない証明書を前にしてもなお先に進んでしまって、詐欺に引っかかる人は、それはもうネットで餌食になる人‥‥としか言いようがないですネ。
同じく、誘導のURLから読み取れるのはドメイン名です。
「cr-mufg-jp.loan」とは何。銀行がloanドメインを常用してるのか?‥‥と如何にも怪しいですネ。
‥‥で、やっぱりウソのドメインでした。銀行のアナウンスもご参考に。‥‥「注意喚起」の銀行本家のWebページも、アドレスをみれば、決してcr-mufg-jp.loanなんていうドメインではないのがわかりますネ。
このことから逆に考えると、企業がユーザに信頼されたいのなら、ドメイン名はホイホイと変えずに、一貫したドメインを使い続けて、ドメイン名を企業のロゴのように根付かせるのが重要だ‥‥とも言えそうです。
まあ、ドメインはどんな文字列を取得しているかなど、企業によってまちまちですが、日頃から銀行のWebやお知らせメールを受け取っている人なら、メールアドレスやWebのURLでドメイン名は見覚えがあるでしょうから、「似せてはいるけど、末尾のドメインが何か変」な場合は注意すべきですネ。
もっと決定的なのは、メールのヘッダに目を通した時です。今回のフィッシングメールの「リターンパス」と「フロム」はこんな感じです。
Return-path:
<xxxnolia@kne.biglobe.ne.jp>
From:
=?utf-8?Q?=E4=B8=89=E8=8F=B1=E6=9D=B1=E4=BA=AC=EF=BC=B5=EF=BC=A6?= =?utf-8?Q?=EF=BC=AA=E9=8A=80=E8=A1=8C?= <xxxxxx@kne.biglobe.ne.jp>
*メールアドレスは伏せています。もしかしたら、アカウントを乗っ取られて悪用されている可能性もあり、メールアドレス所有者も被害者である可能性も考えられます。悪事を働こうとする人間は、ごく普通に考えて、簡単に足がつく行動はせずに、色々と踏み台を使って動くでしょうしネ。
三菱東京UFJ銀行がビッグローブのメールアドレス? ‥‥これで完全にフィッシングであることが確定ですネ。自宅のメールアドレスみたいなのを、重要なお知らせで使う企業なんて存在しないですもんネ。呑みのお誘いじゃないんだから。
ちなみに、from欄にある「=?utf-8?Q?=E4=B8=89=E8=8F=B1=E6=9D=B1=E4=BA=AC=EF=BC=B5=EF=BC=A6?= =?utf-8?Q?=EF=BC=AA=E9=8A=80=E8=A1=8C?=」をデコードすると、「三菱東京UFJ銀行」になります。つまり、差出人の名義なんていくらでも送り手が詐称できるということです。
現実の手紙でも、差出人なんていくらでも好きなように書けますもんネ。郵便局で身分証明書を提出して局員が差出人欄に記入するわけじゃないですよネ。同じく、ネットのメールも、送り手側が悪意をもっていくらでも差出人名を偽って、その偽名がメールソフトに表示されてしまう‥‥ということです。
要は、メールを受け取った人間が、「メール本文を読んで、その中の不審点を見つける」「ヘッダを見て差出人のアドレスを検証する」くらいの初期動作があって、もしそれでも「不審な点が見つけられなかった」としても、あたふたと動揺してネットでコチョコチョと動き出すのではなく、営業時間に銀行に直接問い合わせるのが、冷静な対応というものです。
まんまと誘導アドレスにアクセスして、自分のアカウントとパスワードを入力して「まいどあり」なんて、最悪でしょ。
「うそ〜?」とか「えええ〜〜?」と思ったら、不思議だなと思ったら、危ういと思ったら、まずは動かないことですよネ。軽はずみな判断と行動は、傷口を広げるベクトルにしか作用しませんよネ。
基本的な知識を身につけて、パニックにならないように心がけたい‥‥ですネ。
とは言え‥‥です。
知識が高まってくると「知った風な口をたたきたくなる」のも人情。私もそんな中のひとりと言えましょう。
中途半端な知識が、かえってドツボにハマるキッカケとなることもあります。
知識がある人間ほど、「自分の知識が及ばないフィールド」に対する警戒感と謙虚さを持ち合わせているものです。そして、自分の知識が豊富なフィールドでも、何か知りえない盲点や死角があるかも‥‥と踏みとどまって見据えようとするものです。
不心得ものが、そうした知識の豊富な先達から学べるのは、「狼狽えない態度」でしょうかネ。戦国ドラマでよくある「戦場の喧騒の中、堂々と座したままじっと目を瞑って、対局を見据える」アレです。‥‥‥‥私もそうでありたいと思いますが、中々‥‥ネ。
まあ、料理を焦がしちゃった程度の被害なら、自分の不遜さを苦くて不味い料理で悔いれば良いだけですが、自分の生活を揺さぶるような銀行関連とかネットのアカウント関連は、軽はずみにジャッジせずに、謙虚に慎重に行動すべし‥‥ですネ。