2004年09月06日(月) 21時43分

フィッシング詐欺防止にイーバンク銀行が対応強化（MYCOM PC WEB）

銀行やクレジットカード会社といった金融機関からと思われるEメールに記載されたURLにアクセスすると、その金融機関のWebサイトを装ったページが表示され、そのサイトにログインすることで、口座番号やパスワードなどの情報が盗み取られる、いわゆるフィッシング詐欺が世界的に横行している。ネット専業銀行のイーバンク銀行は、12日から対策を強化する。

フィッシング詐欺は、HTMLメール内のURLをリンククリックしてアクセスするサイトが、メール内に表示されたURLと違うサイトで、そこにアクセスすることで情報が盗まれるというもので、海外で広く流行、国内でも警察庁などが警戒を呼びかけている。

偽装されたサイトと本物に気づきにくい点は、本物の銀行などのサイトで、アドレスバーやステータスバーを隠すように設定している場合があるためだ。

偽のサイトのURLは本物とは全く違うURLだが、アドレスバーが表示されていないため、URLを確認するためにはサイト上で右クリックをしてプロパティを選択、その上でURLを確認する必要があった(Internet Explorerの場合)。サーバー証明書を利用しているかどうかを確認する方法についても、ステータスバーがないために右下の「鍵」アイコンを見て確認することができない。

イーバンク銀行が12日7時から行う対策では、まずログイン画面でアドレスバーとステータスバーを表示し、URLや鍵アイコンを確認できるようにする。さらに「キーワード」によるサイト確認方法を導入する。これは、ログインパスワードの最初の4けたを入力して確認ボタンを押すと、あらかじめユーザーが登録しておいた全角10文字以内のキーワードが表示されるというもの。偽のサイトであればこのキーワードが表示されない、または一致しないことになるため、偽装に気づくことができる、という仕組みだ。

ただ、方法によっては偽サイトがこのキーワード確認方法を悪用することも可能、と同社。確実なのはアドレスバーとサーバー証明書を確認する方法だろう。

セキュリティ専門家は、アドレスバーなどを隠すような金融機関などのサイト構造について以前から危険性を指摘していた。イーバンク銀行はアドレスバーとステータスバーをともに隠すようにしており、今回、フィッシング詐欺に対応するために対策をとった形だ。金融機関のサイトの危険性を指摘していた産業技術総合研究所の高木浩光氏は、「アドレスバーとステータスバーを表示することは(フィッシング詐欺対策として)良いこと。ただキーワード登録を促してキーワード確認方法を回避するような偽メールがくる可能性もあるので、初回のキーワード登録時は、メールのリンククリックではなくて入力で正しいアドレスを入力し、サーバー証明書を確認するようにすればより確実」とアドバイスしている。

これでスパムが減るかも? 米Sendmail、Sender IDのオープンソース版を公開
http://pcweb.mycom.co.jp/news/2004/08/31/007.html

メールの63%がスパム、背後にウイルス作者のカゲ
http://pcweb.mycom.co.jp/news/2004/08/18/101.html

【レポート】Black Hat USA 2004 - 木は森に隠せ!? 怪しいメールはスパムの中に
http://pcweb.mycom.co.jp/articles/2004/08/02/blackhat1/index.html

【レポート】Sendmailエリック・オールマン来日 - E-mailは信頼を取り戻せるのか?
http://pcweb.mycom.co.jp/articles/2004/07/27/sendmail/index.html

ブッシュ大統領がID窃盗罰則強化法に署名
http://pcweb.mycom.co.jp/news/2004/07/16/007.html

イーバンク銀行
http://www.ebank.co.jp/

http://headlines.yahoo.co.jp/hl?a=20040907-00000093-myc-sci