午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

フィッシングの見分け方って本当なの? 危ないサイトを見抜くのはこんなに大変!!

こんにちは。

しなもんです!

 

本日は「フィッシングの見分け方」についてお話します!

といっても、フィッシングを見破るのは案外難しいのです。

なぜ難しいのかを一つ一つ説明しますね。

 

今回は大ボリュームです!!

 

 

はじめに

「フィッシングって何?」という方はこちらへどうぞ。

am7cinnamon.hatenablog.com

 

「フィッシング (に限らず怪しいサイト・メール*1 )の見分け方」とされる情報は世の中にいくつも出回っています。

 

しかし、それらのほとんどに、それだけチェックすれば OK!というような確実性がないのが現状です。

 

この理由にはいくつかあって、

  • 間違った情報である
  • 有効なこともあるが、例外も多い
  • 有効なこともあるが、理屈が難しかったり手間がかかったりする

 

テレビ番組などで専門家 (とされる方) が間違った情報や確実とはいえない情報を紹介する例も、残念ながらゼロとは言えません……(ー''ー)。

f:id:am7cinnamon:20200113182150p:plain

 

そこで本記事では、それら世間に出回っている情報 (「〇〇なサイトは安全?」など) を一つ一つ紹介し、それらが間違いなのか本当なのか、本当だとしてどの程度信頼できるのかを説明していきます。

 

ちょっと長くなってしまいますが、ぜひ目を通してくださいね!

 

フィッシングメールは日本語がおかしかったり、簡体字が混じっていたりする?

間違いです!

 

実際にはそういうフィッシングメールもあるとは思いますが、見るからに怪しいメールはすぐわかりますし引っかかる方もほとんどいないでしょうから、あまり真剣に考える必要がありません。

 

問題は、一見まともなフィッシングメールがたくさん出回っているということです。

 

試しにフィッシング対策協議会のページで緊急情報 (「〇〇をかたるフィッシング」) をいくつか見てみてください。

www.antiphishing.jp

掲載されているメール本文は、ほとんど違和感がありませんよね。

 

きれいな日本語で、サービスによってはロゴなどの細部もちゃんとしています。

 

個人的な想像ですが、詐欺師たちは正規のサービスから届く本物のメールを研究して、そっくりに似せてきているのではないかと思います。

 

「怪しいメールはわかるから大丈夫!」という方ほど危ないです

 

最近のフィッシングメールは非常に巧妙です!

 

フィッシングサイトはレイアウトがおかしかったり、細部に不自然な箇所がある?

間違いです!

 

メール文と理由は同じです。

 

最近のフィッシングサイトは驚くほど精巧で、中には並べて比べてもまったく見分けがつかないレベルのものも存在します

 

個人的には、偽サイトを見てから怪しいと気づくのは、メールの段階で気づくより難しいのではないかと思います。

 

それだけそっくりだからです。

 

どこかでちょっとでも怪しいと感じたらそれが正解です。

 

絶対にリンクを開いてはいけません!

 

トップレベルドメインが「.com」「.jp」のサイトは安全?

間違いです!

 

2019年12月放送のある番組で、この手法が紹介されていたとされています。

参考:長山一石氏の Twitter

 しなもんはこの番組を視聴していないため、番組の意図や登場された識者の方について何か申し上げる立場にはありません。

 

ただ、この手法が間違いであり、決して信じてはいけないことは断言できます。

 

ドメインというのはネットワーク上の住所を表す名前で、午前7時のしなもんぶろぐの場合は「am7cinnamon.hatenablog.com」がそれにあたります。

 

(ブラウザのアドレスバーでの表示は am7cinnamon.hatenablog.com/entry/~~などとなっていることもありますが、/ 以降はドメイン名ではありません。ちょっとややこしいですが……^^;)

 

ドメイン名は階層構造になっており、一番上の階層を表すのがトップレベルドメインで、ドメイン名の一番最後に付きます。

 

午前7時のしなもんぶろぐの場合は「.com」ですね。

 

これが「.com」「.jp」のサイトは安全で、「.co」などのサイトは注意が必要……という主張なのですが、実は「.com」「.jp」は個人でも取得することができます

 

そのため、「.com」「.jp」のドメイン名だけで、そのサイトがあなたが思い浮かべている「〇〇銀行」や「Amazon」などの正規サービスかどうかなど、まったくわかりません。

 

また、実際にこれらのドメインはフィッシングサイトに悪用されています。

 

フィッシング対策協議会のページで、最近の緊急情報 (「〇〇をかたるフィッシング」) をいくつか見てみてください。

 

確認されたフィッシングサイトの中に、「.com」「.jp」のものがたくさんあるのがわかります。

 

 実際に攻撃に使われているのですから、安全なわけがありません……。

 

トップレベルドメインだけで安全性を判断するのは無理です

 

これだけ覚えておいてください。

 

 URL をきちんと見れば、正規のサイトと偽サイトは区別できる?

正しいのですが、実際には難しいことがあります。

 

トップレベルドメインだけでは何もわかりませんが、ドメイン名には、既存サイトと寸分たがわず同じドメインを取得することができないという性質があります

 

そのため、正規のサイトの URL (ドメイン名) を知っていれば、それとドメイン名が一致するサイトは正規サイト、一致しないサイトは偽サイト、と判断できます*2

 

ですから、「URL をよく見れば偽サイトは見破れる」という主張は事実ではあります。

 

事実なんですが、実際にやろうとするとちょっと難しい面もあります。

 

事前に調べておく必要がある

ところで皆さん、自分の利用している Web サービスの正確なドメイン名を覚えていますか?

 

全部覚えているという方は少ないのではないかと思います。

 

では、いざリンクをたどって開いたサイトが本物かどうか、どうやって比べればいいのでしょうか。

 

あらかじめ正規サイト*3のブックマークを作っておくなり、URL をメモしておくなりの準備が必要になり、やや面倒です (やる価値は十分あるのですが)。

 

 目視での確認の難しさ

(この例のアイデアデータハウス刊、中村行宏著「サイバー攻撃の教科書」P.168 によります。画像はしなもんが作成しました。)

 

下の4つの画像はすべて別の URL なのですが、見分けがつくでしょうか。

 

f:id:am7cinnamon:20200113211018p:plain

amazon.com の正規の URL

f:id:am7cinnamon:20200113211052p:plain

「a」の代わりにキリル文字の「а」を使用

f:id:am7cinnamon:20200113211131p:plain

「o」の代わりにキリル文字の「о」を使用

f:id:am7cinnamon:20200113211241p:plain

「a」「o」の代わりにキリル文字の「а」「о」を使用

いかがでしょうか。

 

しなもんは見分けられる自信がまったくありません。

 

全部「正規の amazon.com だ!」と判断してしまうでしょう……。

 

こうした偽装をきちんと見分けようとすると、「アドレスバーをしっかり見る」という手法では不十分です

 

データハウス刊、中村行宏著「サイバー攻撃の教科書」によれば、このような目視で判断しにくい偽 URL を作成するツールが存在しているそうです。

 

サイバー攻撃の教科書 (ハッカーの学校)

サイバー攻撃の教科書 (ハッカーの学校)

 

 

ブラウザに「鍵マーク」が出るサイトは安全?

間違いです!

 

 ブラウザに鍵マーク (下の画像) が出ていれば安全だと勘違いしている方はよくいるみたいです。

f:id:am7cinnamon:20200113193125p:plain

出典:フィッシング対策協議会 [更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/10/21)

(※各ブラウザのバージョンアップにより、最新版での表示は上の画像とは異なる場合があります。)

 

上の画像で「〇〇証明書」の列は、どのブラウザでも南京錠のマークが表示されているのがわかります。

 

だから安全!と早合点してはいけません。

 

ちょっと難しいのですがじっくり説明します。

 

HTTPS 通信のしくみ

この鍵マークが出るサイト (の Web サーバ) とあなたの端末 (ブラウザ) との間では、HTTPS というプロトコル (通信を行う上での決まりごと) を使って通信をしています。

 

HTTPS は、Web サーバとやりとりするためのプロトコルである HTTP を、SSL/TLS*4 という方式*5で暗号化したものです。

 

つまりあなたのブラウザと Web サーバとの情報のやり取りは暗号化されていて、ほかの誰かに見られたり、不正に書き換えられたりする心配はありません*6

 

 SSL/TLS による暗号化を行うためには、Web サーバ側は「SSL/TLS サーバ証明書*7認証局と呼ばれる機関から発行してもらわなければなりません

 

三者機関が証明書を発行してくれると聞くと、なんとなく安心感がありますね。いかにもきちんとしたサイトっぽいです。

 

証明書がある=本物?

ところが、SSL/TLS サーバ証明書の取得は実は簡単です

 

SSL/TLS サーバ証明書にもいろいろあり、最もシンプルな「ドメイン認証」 (DV) 型の証明書は、申請してきた会社などが実在するかどうか、どんな会社かなどを審査しません

 

最近では無料で簡単に証明書を発行してくれる認証局 (Let's Encrypt という認証局が特に有名です) もあります*8

 

 実在するかどうかすら確かでないのですから、あなたが思い浮かべている相手 (「〇〇銀行」や「Amazon」などの正規サービス) かどうかなどますますわかりません。

 

 HTTPS は通信を暗号化して、経路上での盗聴・改ざんから守ってくれますが、通信している相手が本当は誰なのか、法を守る善良な相手なのかは教えてくれないと覚えておきましょう。

 

鍵マークの出るフィッシングサイト

フィッシング対策協議会によれば、2019年7月から9月に同協議会が発信したフィッシング緊急情報の約 30% に DV サーバ証明書が使われていた (=鍵マークが出る) そうです。

 

正規のウェブサイトに酷似した(一部の文字を変えたり足したりする等の)ドメイン名でも取得できてしまい、フィッシングに悪用されているようです。

 

実際の攻撃にこれだけ使われているということが、「鍵マーク=安全」ではない何よりの証拠です。

 

鍵マークの確認は無意味なの?

誤解してほしくないのは、鍵マークを確かめること自体は無駄ではないということです。

 

というのは、鍵マークが正しく出てこないサイトは危険だと判断できるからです。

 

鍵マークが出てこないサイトが詐欺師・犯罪者のサイトというわけではありません。

 

しかし、相手が誰であれ、鍵マークの出てこないサイト (Web サーバ) との通信は暗号化されていないので、経路上で見られたり書き換えられる恐れがあるのです。

 

そんなサイトで個人情報やパスワードなどを入力してはいけません。

 

鍵マークは「あれば安全」という使い方ではなく、「なければ (重要な情報を入力するのは) 危険」という使い方をするものなのです。

 

URL が https: で始まるサイトは安全?

間違いです!

 

理由は鍵マークと同じです。

 

HTTPS で接続している場合、URL の先頭部分 (スキームといいます) が「http:」ではなく「https:」になります。

 

HTTPS 通信をしているからといって、通信相手の身元までは保証されないという理屈はまったく一緒です。

 

EV 証明書を使用しているサイトは安全?

 今のところ正しいです。ただ不安材料があるほか、実際には難しいこともあります。

 

SSL/TLS サーバ証明書を発行してもらうのは簡単と言いましたが、SSL/TLS サーバ証明書には大きく分けて3種類あります。

  • ドメイン認証型 (Domain Validation, DV)
  • 組織認証型 (Organization Validation, OV)
  • EV 認証 (Extended Validation)

簡単にすぐ取れるのは DV 証明書です。

 

3種類のなかで最も厳しい EV 証明書*9の発行にあたっては、電話による在籍確認や書類審査、第三者機関のデータ確認など、厳格な審査が行われます

 

その分詐欺師が取得するのが難しく、安全性が高いといわれています

 

また、ブラウザ上で証明書の発行を受けた組織名を閲覧できるので、なりすましが難しく、利用者も確認ができます。

 

フィッシング対策協議会によれば、2019年5月時点で EV 証明書がフィッシングサイトに使用されている例は見つかっていないそうです。

 

ただ、EV 証明書を用いる方法にもいくつか問題があります。

 

不正取得が完全にできないわけではない

今のところ安全性が高いとされているものの、不正に取得することが不可能なわけではないようです

 

ここでは、実際に研究者が EV 証明書を取得した例を2件紹介しておきます。

rms.ne.jp

security.srad.jp

すべての Web サービスが EV 証明書を使用しているわけではない

Web 上でパスワードなどの入力を要求するようなサイトや課金コンテンツのあるサイト、通販サイトなどにおいても、すべてのサイトが EV 証明書を導入しているわけではありません (はてなブログも導入していません)。

 

金融機関はさすがに気を使っているところが多いようですが、それでも全部とは断言できません。

 

EV 証明書は安全性 (通信相手がなりすましでない正規の相手であるという意味で) を高めるための手段の一つであって、使用していないから危険とか、使用していないサイトが必ず偽サイト、というようなものではありません。

 

そのため SSL/TLS そのものとは違って、「EV 証明書を使ってないサイトからは距離を置く!」というわけにもいかないのです。

 

確認が面倒

ブラウザやバージョンによるのですが、EV 証明書の発行先組織名を見るには、ワンクリック必要なブラウザが多いです。

 

それはまあいいとしても、証明書発行先として表示される組織名が、利用者の思っていたのと違う場合があります

 

これは改ざんやなりすましではなく、ちゃんとした正規の現象なのですが、自分では〇〇という名前が出ると思っていたのに××という名前が出てきた、これって正しいの?となることがあるのです。

 

例を挙げて説明します。

 

f:id:am7cinnamon:20200113221654p:plain

ブラウザは Firefox を使用

上の画像はフィッシング対策協議会のサイトで、アドレスバーの鍵マークをクリックしたところです (閲覧方法はブラウザにより異なります。図は Firefox の場合です)。

 

サイトが EV 証明書を使用している場合このように「証明書の発行先」として組織名が表示されます*10

 

さて、証明書の発行先には「Japan Computer Emergency Responce Team Coordination Center (以下、JPCERT/CC)」とあります。

 

フィッシング対策協議会の英名は「Council of Anti-Phishing Japan」です。

 

全然違う名前です。誰かがフィッシング対策協議会になりすましているのでしょうか?

 

そうではありません。

 

実は、フィッシング対策協議会の事務局は JPCERT/CC に置かれているのです (「フィッシング対策協議会について」のページに記載されています)。

 

そのため、JPCERT/CC と同じ Web サーバを使っていても不自然ではないのです。

 

不自然ではないのですが、これはあらかじめ知っているか、ある程度調べないとわからないことです。

 

民間企業でも同様で、別の名前を持つ親会社や関連会社の名前が出てくる場合があるようです。

 

この点まで含めて、本当にしっかり確認するのは大変な場合があります。

 

参考:JPCERT/CC

www.jpcert.or.jp参考:フィッシング対策協議会

www.antiphishing.jp(いずれも役立つセキュリティ情報を発信しているサイトです。ぜひご参照ください。)

 

Google 検索で出てきたサイトは安全?

間違いです!

SEO を使用して不正サイトの表示順位を上げる「SEO ポイズニング」という攻撃手法があります。

blog.trendmicro.co.jp

pecopla.net

 

大規模なサイトに対して効果を出すことは難しそうですが、中小規模のサイトの場合、正規サイトより偽サイトの方が上に表示されてしまうこともあり得ないとはいえません

 

今のところ悪用例は偽 EC (ネット通販) サイトが多いようですが、金融機関やその他の Web サービスが狙われることもあるかもしれません。

 

Google 検索を使ってもいいと思いますが、出てきたサイトが正規サイトかどうかは、URL を確認するなどの方法で確かめることをお勧めします

 

(URL 確認が万能じゃないのは前述の通りですが……)

 

何となく怪しいな、という感じのするメール・サイトは危ない?

ある意味、正しいです。

 

デザインや言葉の使い方に違和感はないけれど、「なんか怪しいな……」というメールやサイトを見ることもあるでしょう。

 

こうしたメール・サイトはすべて危ないと判断して距離を置いた方が無難です

 

何となくというのも乱暴なので例を挙げると、「銀行がメールで個人情報を聞いてくるっておかしくないか?」とか「パスワードの初期化にこんなにいろいろな情報が必要かな?」とか、「見ず知らずの人にお金をくれるわけないじゃん」とかですね。

(最近は本当に見ず知らずの人にお金をくれる人もいるそうですが^^;)

 

ほかにも言葉にできないまでも、何となく変な感じがするということがあるでしょう。

 

その感覚はぜひ大事にしてください。

 

怪しいと感じた場合には落ち着いて、メール中のリンクではなくブックマークからアクセスしたり、メールの件名や本文で検索してみる、利用サービスが注意喚起を出していないか確かめる、などの方法をとりましょう

 

 まとめ

「フィッシングの見分け方」として流通している情報の中には、完全に間違っているものもあれば、正しいものの場合によって実施が難しかったり効果を発揮できないものもあります。

 

どんな場合にも 100% 通用する適当な方法は、実はないのが現状です。

 

フィッシングの被害を避ける確実な方法は一つ、メールなどで送られてきたリンク・連絡先にはアクセスしないことだけです。

 

無理に見分けようとしないことがポイントです。

 

現在のフィッシングは非常に精巧に仕組まれていて、セキュリティの専門家でもぱっと見ただけでは判断できないこともあります。

 

 無視して触らないのが一番です。

 

完全無視以外にどんな方法があるかは、また改めてまとめたいと思います。

 

楽しみにしていてください!!

 

 

*1:電子メールのほか SMS や SNS でのメッセージなどもフィッシングに使われますが、冗長なので本記事中では「メール」と表現しています。

*2:正規サイトが改ざんされて危険なサイトになってしまっていることがあり、これはドメイン名の比較では見破ることができないのですが、フィッシングとは別の話なので本記事では踏み込みません。正規サイトといえども、「何か怪しい、いつもと違う」と感じたら重要な情報を入力するのはやめた方が賢明です。また、ドメイン名と IP アドレスとの対応を操作し、偽サイトへ誘導する「ファーミング」という手口もあり、これも URL からは判別できませんが、やはりフィッシングとは対策が異なるので詳述しません。

*3:契約の書類や利用者カードなど、Web 以外の情報源を見るのが確実です。

*4:もともとあった SSL という規格の後継が TLS です。そのため現在普及しているのは実際には TLS なのですが、今でも単に SSL と呼ばれることも多いです。本記事ではまとめて SSL/TLS と表現しています。

*5:わかりやすさを優先して本文では「方式」と表現しましたが、実際には SSL/TLS 自体がプロトコルです。Web サーバとクライアントとの間でやり取りし、両方が対応可能な暗号化方式が選ばれ暗号化されます。ご関心をお持ちの方は調べてみてください。

*6:SSL/TLS脆弱性を突く攻撃や、マン・イン・ザ・ブラウザ攻撃などの心配はありますが、それはまた別の話です。

*7:単にサーバ証明書とか SSL 証明書とだけ呼ばれる場合もあります。

*8:Let's Encrypt をはじめとする無料認証局が詐欺師に悪用されていることがあるのは事実ですが、これらの認証局自体はまっとうな目的をもって活動しているまともな団体です。ちなみにはてなブログの証明書も Let's Encrypt 発行です。

*9:一般には「EV-SSL 証明書」と呼ばれることが多いです。

*10:さらに操作すれば証明書の詳細な情報を見ることもできます。これは EV 証明書に限らず、DV 証明書や OV 証明書でも同様です。