ページの先頭です
IIJ.news Vol.179 December 2023
IIJ テクノロジーユニット シニアエンジニア
堂前 清隆
IIJの技術広報担当として、技術Blogの執筆・YouTube動画の作成・講演活動などを行っています。これまでWebサイト・ケータイサイトの開発、コンテナ型データセンターの研究、スマホ・モバイル技術の調査などをやってきました。ネットワークやセキュリティを含め、インターネット全般の話題を取り扱っています。
インターネット上にはさまざまなWEBサイトがありますが、悪者が作った「偽WEBサイト」が紛れていることもあります。特に、本物のサイトと見間違えるようなデザインで、誤ってそこにアクセスした人のID・パスワードやクレジットカード番号などを盗むという、犯罪目的のものもあります。これらは被害者を「釣り上げる」所という意味で「フィッシングサイト」と呼ぶこともあります。多くの場合、悪者はクレジットカードやネットショップの偽WEBサイトを用意した上で被害者に向けて電子メールやSMSを送信し、偽WEBサイトへ誘導します。ここで個人情報などを入力してしまうと、それが悪者にわたって、被害につながるのです。
こうした被害を避けるために、偽WEBサイトを見分ける方法が気になるところですが、最近は特に見分けがむずかしくなっています。2000年代中頃までなら、偽WEBサイトは「HTTPS」(暗号化)に対応していないなど技術的な手抜きを感じさせる部分や、文章がこなれていないといった違和感がありました。しかし昨今は、HTTPSへの対応など技術的な部分はしっかりしており、場合によっては本物よりもよくできていることもあります。また、文章やデザインもそれらしく整えられており、もはや外見だけで「偽WEBサイト」を見分けるのは困難です。
現時点で偽WEBサイトを見分けるもっとも有効な手段は、「ドメイン名」を確認することです。今のインターネットではドメイン名を偽装してアクセスさせることはかなりむずかしく、偽WEBサイトは本物とは異なるドメイン名を使っているため、ドメイン名を参照すれば、本物と偽物の区別がつくのです。
ところで、「本物のWEBサイトのドメイン名」はどうやって見つければいいでしょうか? メールで届いたリンクは悪者が送ってきている可能性があるので信用できませんし、検索エンジンの検索結果にも偽WEBサイトが紛れているかもしれません……。
そこで活用したいのが、クレジットカードやネットショップの領収書などです。最近は、カードの券面や領収書に各社のWEBサイトのアドレスが記載されていることが増えています。これにより「本物のWEBサイト」を確認できます。一度、本物のWEBサイトを確認したら、それをブラウザの「ブックマーク」や「お気に入り」に登録しておくことをオススメします。そしてメールなどで通知を受け取った時も、メールのリンクをクリックするのではなく、自分で登録した「ブックマーク」や「お気に入り」からアクセスすれば、だまされることはなくなります。
しかしこの方法は、過去に利用したことがあるWEBサイトの確認には有効ですが、初めてアクセスするWEBサイトが「本物」かどうかを判断することはできません。初見のWEBサイトが信用できるかどうかの判断は、かなり困難なのです。そもそも本物か否か以前に、そのWEBサイトを運営しているという会社や団体が実在するのか? まっとうなビジネスをしているのか? といったところから疑ってかかる必要があるからです。
こうしたケースでは、万が一「だまされた」としても被害が小さくなるような行動をとるしかありません。例えば、他のWEBサイトとは異なるID・パスワードで会員登録する、いざとなったら切り捨ててもいいカードを使う……等々。本格的に利用するのは、ある程度、様子がわかってからにしてはいかがでしょうか。また、疑わしいWEBサイトに書かれている情報は鵜呑みにしないで、他のWEBサイトや書籍などと照らし合わせてみるのもいいかもしれません。
ページの終わりです