こんにちは。
しなもんです!
本日は「フィッシングの見分け方」についてお話します!
といっても、フィッシングを見破るのは案外難しいのです。
なぜ難しいのかを一つ一つ説明しますね。
今回は大ボリュームです!!
- はじめに
- フィッシングメールは日本語がおかしかったり、簡体字が混じっていたりする?
- フィッシングサイトはレイアウトがおかしかったり、細部に不自然な箇所がある?
- VirusTotal などの評価サイトの評価がクリーンなら安全?
- トップレベルドメインが「.com」「.jp」のサイトは安全?
- リンク付きの URL にカーソルを合わせたとき、表示される URL が元の URL と同じなら、リンク先のサイトは安全?
- URL をきちんと見れば、正規のサイトと偽サイトは区別できる?
- ブラウザに「鍵マーク」が出るサイトは安全?
- URL が https: で始まるサイトは安全?
- EV 証明書を使用しているサイトは安全?
- Google 検索で出てきたサイトは安全?
- フィッシングサイトは適当な情報を入力しても先へ進める?
- 何となく怪しいな、という感じのするメール・サイトは危ない?
- まとめ
はじめに
「フィッシングって何?」という方はこちらへどうぞ。
「フィッシング (に限らず怪しいサイト・メール*1 )の見分け方」とされる情報は世の中にいくつも出回っています。
しかし、それらのほとんどに、それだけチェックすれば OK!というような確実性がないのが現状です。
この理由にはいくつかあって、
- 間違った情報である
- 有効なこともあるが、例外も多い
- 有効なこともあるが、理屈が難しかったり手間がかかったりする
テレビ番組などで専門家 (とされる方) が間違った情報や確実とはいえない情報を紹介する例も、残念ながらゼロとは言えません……(ー''ー)。
そこで本記事では、それら世間に出回っている情報 (「〇〇なサイトは安全?」など) を一つ一つ紹介し、それらが間違いなのか本当なのか、本当だとしてどの程度信頼できるのかを説明していきます。
ちょっと長くなってしまいますが、ぜひ目を通してくださいね!
フィッシングメールは日本語がおかしかったり、簡体字が混じっていたりする?
間違いです!
実際にはそういうフィッシングメールもあるとは思いますが、見るからに怪しいメールはすぐわかりますし引っかかる方もほとんどいないでしょうから、あまり真剣に考える必要がありません。
問題は、一見まともなフィッシングメールがたくさん出回っているということです。
試しにフィッシング対策協議会のページで緊急情報 (「〇〇をかたるフィッシング」) をいくつか見てみてください。
掲載されているメール本文は、ほとんど違和感がありませんよね。
きれいな日本語で、サービスによってはロゴなどの細部もちゃんとしています。
個人的な想像ですが、詐欺師たちは正規のサービスから届く本物のメールを研究して、そっくりに似せてきているのではないかと思います。
「怪しいメールはわかるから大丈夫!」という方ほど危ないです。
最近のフィッシングメールは非常に巧妙です!
フィッシングサイトはレイアウトがおかしかったり、細部に不自然な箇所がある?
間違いです!
メール文と理由は同じです。
最近のフィッシングサイトは驚くほど精巧で、中には並べて比べてもまったく見分けがつかないレベルのものも存在します。
個人的には、偽サイトを見てから怪しいと気づくのは、メールの段階で気づくより難しいのではないかと思います。
それだけそっくりだからです。
どこかでちょっとでも怪しいと感じたらそれが正解です。
絶対にリンクを開いてはいけません!
VirusTotal などの評価サイトの評価がクリーンなら安全?
(2020年6月28日追記)
間違いです!
サイトの安全性を評価して教えてくれる便利なサイトがインターネット上に存在しています。
例えば「VirusTotal」「aguse」「gred」などが有名です。
VirusTotal については、その使い方について記事を書きましたので、あわせてご参照ください。
さて、これらのサイトは便利に使えるのですが、世の中に存在する危険なサイトをすべてカバーできるわけではないということに注意が必要です。
特に新しいサイトについては正しく評価できないことが多いようです。
つまり、評価サイトできれいな評価だからと言って、必ずしも安全であるとは言えません。
時間をおいて再度調べると悪性判定に変わっていることもあるようです。
逆に、こうした評価サイトで危険とされているサイトは、かなりの確度で本当に危険と判断して、基本的に触らない方がいいです。
トップレベルドメインが「.com」「.jp」のサイトは安全?
間違いです!
2019年12月放送のある番組で、この手法が紹介されていたとされています。
参考:長山一石氏の Twitter
.com や .jp も個人で取得できるし、 .co も正規のドメインなので、この説明はミスリード pic.twitter.com/SmEVN8Wvzh
— Kazushi Nagayama 🗿 長山一石 (@KazushiNagayama) 2019年12月2日
しなもんはこの番組を視聴していないため、番組の意図や登場された識者の方について何か申し上げる立場にはありません。
ただ、この手法が間違いであり、決して信じてはいけないことは断言できます。
ドメイン名というのはネットワーク上の住所を表す名前で、午前7時のしなもんぶろぐの場合は「am7cinnamon.hatenablog.com」がそれにあたります。
(ブラウザのアドレスバーでの表示は am7cinnamon.hatenablog.com/entry/~~などとなっていることもありますが、/ 以降はドメイン名ではありません。ちょっとややこしいですが……^^;)
ドメイン名は階層構造になっており、一番上の階層を表すのがトップレベルドメインで、ドメイン名の一番最後に付きます。
午前7時のしなもんぶろぐの場合は「.com」ですね。
これが「.com」「.jp」のサイトは安全で、「.co」などのサイトは注意が必要……という主張なのですが、実は「.com」「.jp」は個人でも取得することができます。
そのため、「.com」「.jp」のドメイン名だけで、そのサイトがあなたが思い浮かべている「〇〇銀行」や「Amazon」などの正規サービスかどうかなど、まったくわかりません。
また、実際にこれらのドメインはフィッシングサイトに悪用されています。
フィッシング対策協議会のページで、最近の緊急情報 (「〇〇をかたるフィッシング」) をいくつか見てみてください。
確認されたフィッシングサイトの中に、「.com」「.jp」のものがたくさんあるのがわかります。
実際に攻撃に使われているのですから、安全なわけがありません……。
トップレベルドメインだけで安全性を判断するのは無理です。
これだけ覚えておいてください。
リンク付きの URL にカーソルを合わせたとき、表示される URL が元の URL と同じなら、リンク先のサイトは安全?
(2020年1月20日追記)
間違いです!
2020年1月放送のある番組で、この手法が紹介されたとされています。
参考:イチ氏の Twitter
フィッシング詐欺を見破る方法
— イチ (@u_1ch1) 2020年1月18日
カーソルを合わせて表示されるURLが同じかどうか確認する
なるほどぉおぉお‼︎ pic.twitter.com/bVS7arxUYn
※イチ氏はきちんと理解された上でボケてらっしゃるのであって、この手法をうのみにされているわけではありません。
しなもんはこの番組も視聴していないため、番組や出演されていた方々については何も申し上げられません。
この手法が間違っているということ以外は。
URL とリンクについて
クリック (タップ) するだけでサイトにジャンプできる、便利なリンク。
リンクが設定された URL が書かれたメールはよく届きますよね。こんな風に。
(リンク先はフィッシング対策協議会)
ところで、本文に書きこまれた URL (の文字列) と、実際のリンク先の URL とは、実は必ず一体一対応しているわけではありません。
例を見てみましょう。
(記載されている URL はフィッシング対策協議会ですが、リンク先は午前7時のしなもんぶろぐ TOP)
この場合、文字列として書かれている URL とリンク先の URL とはまったく関係ありません。
リンクはしなもんぶろぐはこちらのような URL 以外の文字列にも設定できますから、当たり前といえば当たり前のことですね。
これを悪用して、本文には怪しくない正規の URL を書いておき、実際のリンク先を偽サイトにして騙すという手口があります。
上で見たように、リンク先の URL は本文の文字列とは関係なく自由に設定できてしまうのですが、善良な組織は通常、わざわざ別の URL を設定しません。
誤解を生むだけでいいことがないですからね。
そのため、本文の URL とリンク先をわざわざ別にしている場合は、わざと騙そうとしている=危険なサイト、と判断できるのです。
これは本当です。
しかし、それでもこの手法で偽サイトを見分けようとすることはおすすめできません。
次のような理由があるからです。
リンクを偽装していない偽サイトがある
危険サイト、フィッシングサイトへのリンクのすべてが、リンク先を偽装しているわけではありません。
特に最近のフィッシングサイトは手がこんでいて、一見正規のドメイン名に見えるドメイン名を取得していることが多いです (フィッシング対策協議会の緊急情報をいくつか見ればわかると思います)。
そうしたサイトの場合、URL をそのまま本文に書いても十分騙せるので、わざわざリンクで小細工しないことも多いと考えられます。
偽装していれば危ないのは本当ですが、偽装していなければ安全ということにはなりません。
そもそもリンク先の確認ができない場合が多い
リンク上にカーソルを置いたときに、リンク先の URL が表示されるかどうかは、閲覧しているソフトなどの設定によります*2
スマートフォンやタブレットなどの場合はほとんどの場合見ることができないと思います。
見られなければ意味がないですね……。
誤ってクリックしてしまう危険がある
リンク先の URL を読み取るためにはマウスカーソルをリンクの上に置く必要があります。
ちょっと手が滑ったらクリックしてしまうということです。
単なるフィッシングサイトならまだいいですが、問答無用でマルウェア*3を仕掛けてくる危険極まりないサイトもあります。
リンクは触らないようにしましょう。
(追記終わり)
URL をきちんと見れば、正規のサイトと偽サイトは区別できる?
正しいのですが、実際には難しいことがあります。
トップレベルドメインだけでは何もわかりませんが、ドメイン名には、既存サイトと寸分たがわず同じドメインを取得することができないという性質があります。
そのため、正規のサイトの URL (ドメイン名) を知っていれば、それとドメイン名が一致するサイトは正規サイト、一致しないサイトは偽サイト、と判断できます*4。
ですから、「URL をよく見れば偽サイトは見破れる」という主張は事実ではあります。
事実なんですが、実際にやろうとするとちょっと難しい面もあります。
事前に調べておく必要がある
ところで皆さん、自分の利用している Web サービスの正確なドメイン名を覚えていますか?
全部覚えているという方は少ないのではないかと思います。
では、いざリンクをたどって開いたサイトが本物かどうか、どうやって比べればいいのでしょうか。
あらかじめ正規サイト*5のブックマークを作っておくなり、URL をメモしておくなりの準備が必要になり、やや面倒です (やる価値は十分あるのですが)。
目視での確認の難しさ
(この例のアイデアはデータハウス刊、中村行宏著「サイバー攻撃の教科書」P.168 によります。画像はしなもんが作成しました。)
下の4つの画像はすべて別の URL なのですが、見分けがつくでしょうか。
いかがでしょうか。
しなもんは見分けられる自信がまったくありません。
全部「正規の amazon.com だ!」と判断してしまうでしょう……。
こうした偽装をきちんと見分けようとすると、「アドレスバーをしっかり見る」という手法では不十分です。
データハウス刊、中村行宏著「サイバー攻撃の教科書」によれば、このような目視で判断しにくい偽 URL を作成するツールが存在しているそうです。
ブラウザに「鍵マーク」が出るサイトは安全?
間違いです!
ブラウザに鍵マーク (下の画像) が出ていれば安全だと勘違いしている方はよくいるみたいです。
(※各ブラウザのバージョンアップにより、最新版での表示は上の画像とは異なる場合があります。)
上の画像で「〇〇証明書」の列は、どのブラウザでも南京錠のマークが表示されているのがわかります。
だから安全!と早合点してはいけません。
ちょっと難しいのですがじっくり説明します。
HTTPS 通信のしくみ
この鍵マークが出るサイト (の Web サーバ) とあなたの端末 (ブラウザ) との間では、HTTPS というプロトコル (通信を行う上での決まりごと) を使って通信をしています。
HTTPS は、Web サーバとやりとりするためのプロトコルである HTTP を、SSL/TLS*6 という方式*7で暗号化したものです。
つまりあなたのブラウザと Web サーバとの情報のやり取りは暗号化されていて、ほかの誰かに見られたり、不正に書き換えられたりする心配はありません*8
SSL/TLS による暗号化を行うためには、Web サーバ側は「SSL/TLS サーバ証明書」*9を認証局と呼ばれる機関から発行してもらわなければなりません。
第三者機関が証明書を発行してくれると聞くと、なんとなく安心感がありますね。いかにもきちんとしたサイトっぽいです。
証明書がある=本物?
ところが、SSL/TLS サーバ証明書の取得は実は簡単です。
SSL/TLS サーバ証明書にもいろいろあり、最もシンプルな「ドメイン認証」 (DV) 型の証明書は、申請してきた会社などが実在するかどうか、どんな会社かなどを審査しません。
最近では無料で簡単に証明書を発行してくれる認証局 (Let's Encrypt という認証局が特に有名です) もあります*10。
実在するかどうかすら確かでないのですから、あなたが思い浮かべている相手 (「〇〇銀行」や「Amazon」などの正規サービス) かどうかなどますますわかりません。
HTTPS は通信を暗号化して、経路上での盗聴・改ざんから守ってくれますが、通信している相手が本当は誰なのか、法を守る善良な相手なのかは教えてくれないと覚えておきましょう。
鍵マークの出るフィッシングサイト
フィッシング対策協議会によれば、2019年7月から9月に同協議会が発信したフィッシング緊急情報の約 30% に DV サーバ証明書が使われていた (=鍵マークが出る) そうです。
正規のウェブサイトに酷似した(一部の文字を変えたり足したりする等の)ドメイン名でも取得できてしまい、フィッシングに悪用されているようです。
実際の攻撃にこれだけ使われているということが、「鍵マーク=安全」ではない何よりの証拠です。
鍵マークの確認は無意味なの?
誤解してほしくないのは、鍵マークを確かめること自体は無駄ではないということです。
というのは、鍵マークが正しく出てこないサイトは危険だと判断できるからです。
鍵マークが出てこないサイトが詐欺師・犯罪者のサイトというわけではありません。
しかし、相手が誰であれ、鍵マークの出てこないサイト (Web サーバ) との通信は暗号化されていないので、経路上で見られたり書き換えられる恐れがあるのです。
そんなサイトで個人情報やパスワードなどを入力してはいけません。
鍵マークは「あれば安全」という使い方ではなく、「なければ (重要な情報を入力するのは) 危険」という使い方をするものなのです。
URL が https: で始まるサイトは安全?
間違いです!
理由は鍵マークと同じです。
HTTPS で接続している場合、URL の先頭部分 (スキームといいます) が「http:」ではなく「https:」になります。
HTTPS 通信をしているからといって、通信相手の身元までは保証されないという理屈はまったく一緒です。
EV 証明書を使用しているサイトは安全?
今のところ正しいです。ただ不安材料があるほか、実際には難しいこともあります。
SSL/TLS サーバ証明書を発行してもらうのは簡単と言いましたが、SSL/TLS サーバ証明書には大きく分けて3種類あります。
- ドメイン認証型 (Domain Validation, DV)
- 組織認証型 (Organization Validation, OV)
- EV 認証 (Extended Validation)
簡単にすぐ取れるのは DV 証明書です。
3種類のなかで最も厳しい EV 証明書*11の発行にあたっては、電話による在籍確認や書類審査、第三者機関のデータ確認など、厳格な審査が行われます。
その分詐欺師が取得するのが難しく、安全性が高いといわれています。
また、ブラウザ上で証明書の発行を受けた組織名を閲覧できるので、なりすましが難しく、利用者も確認ができます。
フィッシング対策協議会によれば、2019年5月時点で EV 証明書がフィッシングサイトに使用されている例は見つかっていないそうです。
ただ、EV 証明書を用いる方法にもいくつか問題があります。
不正取得が完全にできないわけではない
今のところ安全性が高いとされているものの、不正に取得することが不可能なわけではないようです。
ここでは、実際に研究者が EV 証明書を取得した例を紹介しておきます。
すべての Web サービスが EV 証明書を使用しているわけではない
Web 上でパスワードなどの入力を要求するようなサイトや課金コンテンツのあるサイト、通販サイトなどにおいても、すべてのサイトが EV 証明書を導入しているわけではありません (はてなブログも導入していません)。
金融機関はさすがに気を使っているところが多いようですが、それでも全部とは断言できません。
(2020年1月20日追記)
こちらの記事によれば、日本の上場企業のうちサイトで EV 証明書を使用していた企業は 9.1% ということです。
www.megamouth.info(追記終わり)
EV 証明書は安全性 (通信相手がなりすましでない正規の相手であるという意味で) を高めるための手段の一つであって、使用していないから危険とか、使用していないサイトが必ず偽サイト、というようなものではありません。
そのため SSL/TLS そのものとは違って、「EV 証明書を使ってないサイトからは距離を置く!」というわけにもいかないのです。
確認が面倒
ブラウザやバージョンによるのですが、EV 証明書の発行先組織名を見るには、ワンクリック必要なブラウザが多いです。
それはまあいいとしても、証明書発行先として表示される組織名が、利用者の思っていたのと違う場合があります。
これは改ざんやなりすましではなく、ちゃんとした正規の現象なのですが、自分では〇〇という名前が出ると思っていたのに××という名前が出てきた、これって正しいの?となることがあるのです。
例を挙げて説明します。
上の画像はフィッシング対策協議会のサイトで、アドレスバーの鍵マークをクリックしたところです (閲覧方法はブラウザにより異なります。図は Firefox の場合です)。
サイトが EV 証明書を使用している場合このように「証明書の発行先」として組織名が表示されます*12。
さて、証明書の発行先には「Japan Computer Emergency Responce Team Coordination Center (以下、JPCERT/CC)」とあります。
フィッシング対策協議会の英名は「Council of Anti-Phishing Japan」です。
全然違う名前です。誰かがフィッシング対策協議会になりすましているのでしょうか?
そうではありません。
実は、フィッシング対策協議会の事務局は JPCERT/CC に置かれているのです (「フィッシング対策協議会について」のページに記載されています)。
そのため、JPCERT/CC と同じ Web サーバを使っていても不自然ではないのです。
不自然ではないのですが、これはあらかじめ知っているか、ある程度調べないとわからないことです。
民間企業でも同様で、別の名前を持つ親会社や関連会社の名前が出てくる場合があるようです。
この点まで含めて、本当にしっかり確認するのは大変な場合があります。
参考:JPCERT/CC
参考:フィッシング対策協議会
www.antiphishing.jp(いずれも役立つセキュリティ情報を発信しているサイトです。ぜひご参照ください。)
Google 検索で出てきたサイトは安全?
間違いです!
SEO を使用して不正サイトの表示順位を上げる「SEO ポイズニング」という攻撃手法があります。
大規模なサイトに対して効果を出すことは難しそうですが、中小規模のサイトの場合、正規サイトより偽サイトの方が上に表示されてしまうこともあり得ないとはいえません。
今のところ悪用例は偽 EC (ネット通販) サイトが多いようですが、金融機関やその他の Web サービスが狙われることもあるかもしれません。
Google 検索を使ってもいいと思いますが、出てきたサイトが正規サイトかどうかは、URL を確認するなどの方法で確かめることをお勧めします。
(URL 確認が万能じゃないのは前述の通りですが……)
フィッシングサイトは適当な情報を入力しても先へ進める?
(2020年6月28日追記)
間違いです!
そういうフィッシングサイトもたくさんありますが、いつでも通用するわけではないので、それで判断するのはやめた方がいいです。
確かに、通常なら存在しないはずのでっち上げの ID やパスワードを入力してもその後の手続きに進めるタイプのフィッシングサイトは存在します。
正規なサイトならば該当する ID が存在するかどうかのチェックを行うはずなので、正規の処理ではない=偽物である、と断定できることになります。
しかし、フィッシングサイトによっては、「どんな情報が入力されても先へ進める」ではなく「どんな情報を入力してもエラーになる」ものもあります。
そういうフィッシングサイトの目的は、最初の画面で入力した情報を盗むことだと考えられます。
こうしたフィッシングサイトの場合、正規の処理ではないと確信できるのは、「確実に有効なはずの ID を入力しているのにエラーになった」場合だけであり、これはすなわち詐欺師に本当の情報を取られた状態ということなので、安全に検証することはできません。
また、主に 2段階認証を突破する目的で実施される「中間者攻撃」においては、背後で攻撃者が実際にログインを試みています。
そのため、無効な ID やパスワードを入力した場合には、攻撃者側でそれを検知し、再入力を促すことができます。
こうした理由から、わざと適当な入力を行って安全性を検証するのは確実性がありません。
仕事で、あるいは趣味で、フィッシングサイトを確認すること自体を目的としている人なら、挙動を観察するために実際に入力してみることもあると思われますが、一般の方なら怪しいサイト自体に近づかない方が賢明です。
何となく怪しいな、という感じのするメール・サイトは危ない?
ある意味、正しいです。
デザインや言葉の使い方に違和感はないけれど、「なんか怪しいな……」というメールやサイトを見ることもあるでしょう。
こうしたメール・サイトはすべて危ないと判断して距離を置いた方が無難です。
何となくというのも乱暴なので例を挙げると、「銀行がメールで個人情報を聞いてくるっておかしくないか?」とか「パスワードの初期化にこんなにいろいろな情報が必要かな?」とか、「見ず知らずの人にお金をくれるわけないじゃん」とかですね。
(最近は本当に見ず知らずの人にお金をくれる人もいるそうですが^^;)
ほかにも言葉にできないまでも、何となく変な感じがするということがあるでしょう。
その感覚はぜひ大事にしてください。
怪しいと感じた場合には落ち着いて、メール中のリンクではなくブックマークからアクセスしたり、メールの件名や本文で検索してみる、利用サービスが注意喚起を出していないか確かめる、などの方法をとりましょう。
まとめ
「フィッシングの見分け方」として流通している情報の中には、完全に間違っているものもあれば、正しいものの場合によって実施が難しかったり効果を発揮できないものもあります。
どんな場合にも 100% 通用する適当な方法は、実はないのが現状です。
フィッシングの被害を避ける確実な方法は一つ、メールなどで送られてきたリンク・連絡先にはアクセスしないことだけです。
無理に見分けようとしないことがポイントです。
現在のフィッシングは非常に精巧に仕組まれていて、セキュリティの専門家でもぱっと見ただけでは判断できないこともあります。
無視して触らないのが一番です。
完全無視以外にどんな方法があるかは、また改めてまとめたいと思います。
楽しみにしていてください!!
*1:電子メールのほか SMS や SNS でのメッセージなどもフィッシングに使われますが、冗長なので本記事中では「メール」と表現しています。
*2:しなもんもよくわかりませんが、どんな場合でも必ず見えるわけではないことは確かです。
*3:悪意のあるソフトウェアの総称です。「ウイルス」など。
*4:正規サイトが改ざんされて危険なサイトになってしまっていることがあり、これはドメイン名の比較では見破ることができないのですが、フィッシングとは別の話なので本記事では踏み込みません。正規サイトといえども、「何か怪しい、いつもと違う」と感じたら重要な情報を入力するのはやめた方が賢明です。また、ドメイン名と IP アドレスとの対応を操作し、偽サイトへ誘導する「ファーミング」という手口もあり、これも URL からは判別できませんが、やはりフィッシングとは対策が異なるので詳述しません。
*5:契約の書類や利用者カードなど、Web 以外の情報源を見るのが確実です。
*6:もともとあった SSL という規格の後継が TLS です。そのため現在普及しているのは実際には TLS なのですが、今でも単に SSL と呼ばれることも多いです。本記事ではまとめて SSL/TLS と表現しています。
*7:わかりやすさを優先して本文では「方式」と表現しましたが、実際には SSL/TLS 自体がプロトコルです。Web サーバとクライアントとの間でやり取りし、両方が対応可能な暗号化方式が選ばれ暗号化されます。ご関心をお持ちの方は調べてみてください。
*8:SSL/TLS の脆弱性を突く攻撃や、マン・イン・ザ・ブラウザ攻撃などの心配はありますが、それはまた別の話です。
*9:単にサーバ証明書とか SSL 証明書とだけ呼ばれる場合もあります。
*10:Let's Encrypt をはじめとする無料認証局が詐欺師に悪用されていることがあるのは事実ですが、これらの認証局自体はまっとうな目的をもって活動しているまともな団体です。ちなみにはてなブログの証明書も Let's Encrypt 発行です。
*11:一般には「EV-SSL 証明書」と呼ばれることが多いです。
*12:さらに操作すれば証明書の詳細な情報を見ることもできます。これは EV 証明書に限らず、DV 証明書や OV 証明書でも同様です。