氾濫するフィッシング対策製品を比較する(第3回)
本連載では、各種フィッシング対策製品を紹介しながら、その効果を検討している。今回は、ブラウジングの際に個人の注意によって可能な対策に焦点を当てる。
特集
特集
● 進化し続けるフィッシング手法の概要
前々回、フィッシング手法を、その洗練度合いから以下の5つのレベルに分け、それぞれのレベルに対する対策製品の効果を検討した。今回も同様に行う。
「レベル1」 英文メールによる古典的フィッシング
「レベル2」 多言語化したメールによる古典的フィッシング
「レベル3」 hostsファイル書き換えによるファーミング
「レベル4」 DNSキャッシュ・ポイズニングによるファーミング
「レベル5」 正規サーバ乗っ取りによるフィッシング
● 怪しいメールに記載されたサイトにはアクセスしない
これはフィッシング対策としてよく耳にするフレーズである。では、どのようなメールが「怪しい」のだろうか。ここでは、怪しいメールを見破るいくつかの方法を例示し、その効果を検討する。
○ 送信元アドレス
まず点検すべきはメール送信者欄だ。ここが正しいアドレスになっていない場合には簡単に見破れる。が、送信元アドレスは簡単に偽ることができるので、「本当の」送信元を知る必要がある。
それには電子メールのヘッダ情報を確認する。電子メールソフトウェアによって操作は異なるが、Outlook Expressならば、「ファイル」メニューから「プロパティ」を選択すれば、ヘッダ情報が表示される。ヘッダ情報中のReceivedと書かれた行は、そのメールがどんな経路をたどって送信されてきたのかが示されているが、最も下のReceived行に「本当の」送信元のIPアドレスとドメイン名が記載されている。このドメイン名が、メールの見た目の送信元と異なっている場合、怪しいと判断できる。
○ Webサイトへのリンク
フィッシングメールでは、本文中に埋め込まれたウェブサイトへのリンクが、以下の例のように、メール本文に表示されるURLと実際のリンク先とで異なっているのが一般的だ。
<a href="http://www.google.co.jp/"> http⁄/www.yahoo.co.jp/ </a>
これを見破るには、やはり先ほどと同じ「プロパティ」から「メッセージのソース」を選択する。
○ メールの文言
フィッシングメールの目的を思い出してもらいたい。被害者をフィッシングサイトへ誘導するのがその目的である以上、リンクをクリックさせようとする文言が散りばめられている。例えば「ご本人確認が必須」「この操作を行っていただけない場合、サービスが利用できなくなる場合があります」など、執拗にウェブサイトを訪問させようとする意図が見られる場合、メールの信憑性を疑ってかかって構わないだろう。
各レベルのフィッシング・ファーミングへの対応度
レベル1 ★★★☆☆
レベル2 ★★★☆☆
レベル3 ★☆☆☆☆
レベル4 ★☆☆☆☆
レベル5 ★☆☆☆☆
導入の容易さ ★★☆☆☆
使用しやすさ ★★☆☆☆
価 格 ★★★★★
総合評定 ★★☆☆☆
◎ コメント
ここで述べた対策をしっかりとっていけば、フィッシングの被害に遭うことは少ないだろう。しかし、操作が面倒であり、ヘッダ情報やHTMLメールのソースを読み解くにはそれなりの専門知識を必要とする。したがって、だれにでも勧められる方法ではないし、ファーミングに対してはほぼ無力である。
【執筆:株式会社アイドゥ 小松信治 http://www.eyedo.jp】
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》