連載
» 2016年01月13日 05時00分 公開

セキュリティ、いまさら聞いてもいいですか?(4):なぜ、「フィッシング詐欺」に気付けないの? (4/4)

[増井敏克,@IT]
前のページへ 1|2|3|4       

フィッシング詐欺だと疑われないために

逆に、サービスの提供者からすると、正規のメールをフィッシング詐欺だと疑われてしまう可能性もありますよね? どのような点に気を付ければよいのでしょう。


フィッシングだと疑われないようなメールの書き方をすることも重要ですが、デジタル署名を付けることも検討しましょう。


 先日、筆者宛てに下図のようなメールが届きました。このようなメールを見たとき、あなたならどう感じるでしょうか?

 少なくとも筆者はリンクをクリックすることに抵抗があります。しかし、実際にはこのメールはフィッシング詐欺ではなく、正規のメールでした。ユーザーのメールアドレスが正しいものであることを確認するために、リンクのクリックを促すメールを送信したようです。

 このようなメールが送られてくると、そのサービスに対する不信感が出てきてしまいます。サービス提供者はこのような形式のメールを送るべきではありませんし、利用者もこうしたメールに対しては問題を指摘していく必要があるでしょう。

 また、メールを送信する側の立場としては、メールに電子署名を付けることも検討しましょう。多くの金融機関が「S/MIME」を使った電子署名を付加しています。電子署名を付加することにより、「送信者が正しいこと」や「メールの内容が途中で改ざんされていないこと」を保証することができます。

第4回のまとめ

  • フィッシング詐欺には銀行やクレジットカード会社だけでなく、TwitterやFacebookなどのサービスをかたるものもある。
  • メールの本文だけで怪しいかどうかを見分けるのは、今後ますます難しくなっていくと思われる。
  • 個人情報を入力するときには、正しいサイトに接続していることを確認する癖を付ける。
  • 万が一フィッシングサイトにIDやパスワードを入力してしまった場合、すぐに情報を変更するとともに、銀行やクレジットカード会社などの正規機関に連絡する。
  • サービス提供者は、フィッシングだと疑われないように、むやみにリンクのクリックを促すような形式のメールを送信しないようにする。また、「S/MIME」などを使った電子署名をメールに付加することも検討する。

増井敏克(ますい としかつ)(増井技術士事務所代表)

 技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。

 ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。

 また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。

 近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)がある。

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。