WEB

フィッシング(なりすまし)サイトを見分ける4つのポイント

フィッシングサイトを見分ける4つのポイント

デザインからシステムの組み込みまで全て自分で行なった、独自ドメインのEC(ショッピング)サイトを3サイト運用しています。

サイトを運用していて一番恐いなと思うのが、お客様の信用を失ってしまうことです。例えば顧客情報の流出だったり、サイトの信用を失う事になるトリガーはたくさん存在します。

お客様の信頼が失われてしまう可能性がある部分に、僕達サイト管理者が特に気を使って対応するのは当たり前なのですが、フィッシングサイトの場合、当たり前の事が当たり前に出来ておらず、サイトの脆弱性や信頼に直結するような、運営者視点で”ありえない”が色々な箇所に見受けられます。

この“ありえない”を1つ1つチェックしていけば、フィッシングサイトかどうか簡単に見極める事ができます。例えフィッシングサイトではなかったとしても”ありえない”と思うことが1つでもあった場合、そのサイトで僕は絶対に買い物はしません。

年配の方からフィッシングサイトについて相談を受け、今後引っかからないために”上述したありえない”をチェックすれば、危険なサイトが簡単に見極められる事をアドバイスしたところ、大変喜んで貰えたのでフィッシングサイトを簡単に見極めるチェックリストと、その理由をなるべく難しい言葉を使わずに書いていこうと思います。

PR

フィッシングサイトを回避するための4つのチェックポイント

アドレスバーの鍵マークをみよう

アドレスバーの鍵マークをチェックすれば、ほとんどのフィッシングサイトが見破れると言っても過言ではありません。(2015年現在)

アドレスバーhttps通信の場合

↑の画像に表示されている鍵マークには、第三者が通信を盗聴したり改ざんできないよう、暗号化された通信でやりとりが行われていますよ、という意味があります。

鍵マークはブラウザのアドレスバー(URLが表示されているところ)に表示されるので、ネットで買い物する場合、会員情報のやりとりや、カート画面で鍵マークがついているか必ずチェックをするようにして下さい。

鍵マークを取得するためには(基本的に)お金と手間がかかります。利用者を騙してお金を振り込ませたい詐欺野郎が、フィッシングさいとにお金と手間を掛けるでしょうか。

絶対にかけません。

スパマーにとってはお客さんの個人情報が漏洩しようが知ったことではなく、お金を振り込ませる事が目的ですが、サイト運営者からすると、個人情報が漏洩する可能性があるページを、”http”のまま放っておくなんてありえない事です。

長くなってしまうので先に要点だけ簡単にまとめますと、個人情報が表示されるカートや会員情報画面で、鍵マークがついていないサイトでは買い物しないようにすれば、フィッシングサイトを回避できるだけでなく、個人情報の漏洩の危険からも身を守る事ができます。

以下ではSSLについてもう少し詳しい説明をしていますので、もう一歩踏み込みこんで情報を得たい場合に読んでいただけると、役に経つかもしれません。長くなるので要点だけしりたい方は決済方法の表記と選べる決済まで読み飛ばして下さい。

鍵マークがあるページとないページ

例えばYahooのTOPページにアクセスしてアドレスバーを見てみると、鍵マークはついていません。

アドレスバーhttp通信の場合

次にYahooのログインページにアクセスしてみると、今度は鍵マークが表示されました。

アドレスバーhttps通信の場合

これには理由があって、少しだけ専門的な話をさせていただくと…。

最近ではWEBが整備され環境が整っているので、あまり感じることはありませんが、暗号化された通信はサーバやクライアントに多少なりとも負荷がかかるので、ページの表示が遅くなる事がありました。

上記の理由により、盗聴を受けても問題のないページ(個人情報をやりとりしない)では”http”で通信を行い、会員登録やカート画面といった、盗聴やパケットの改ざんを受けると問題になるページでは”https”通信を行なっているサイトがほとんどです。

余談
近年Googleが常時SSL化を提唱していますが、まだまだ対応しているサイトが少ないのが実情です。

ですので鍵マークがないからといって、安直にフィッシングサイトだと判断してはいけません。

重要なのは個人情報を通信するページに鍵マークがあるかないかということになります。

フィッシングサイトでは

この鍵マークを表示させるためには、SSL証明書を取得する必要があり、そのためにはお金と手間がかかります。

上述したように、フィッシングサイトでは、SSL証明書をかなりの高確率(導入しているフィッシングサイトを見たことがない)で導入していない傾向があります。

ただ自分で発行できてお金のかからない「自署証明書」や機関もあるため、将来的にスパマーがSSL証明書を導入し始める可能性もあります。

SSL通信について

専門的な話になりますが、下記記事にSSL通信について非常にわかりやすくまとめられていますので、気になった方は是非読んで事をおすすめします。

5分でわかる正しい Web サイト常時 SSL 化のための基礎知識 | WWW WATCH
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。

特定商取引に基づく表記

フィッシング(なりすまし)サイト 決済方法

ショッピングサイトには「特定商取引に基づく表記」というページが必ず存在し、このページには会社概要や選択できる決済方法が記載されています。

フィッシング(なりすまし)サイトは実在するサイトのコンテンツを全て模倣している事が多く、コピーしたコンテンツの住所やメールアドレスと言った一部の文言を変更している事例が多くあります。

怪しいな、と感じたら「特定商取引に基づく表記」ページの「メールアドレス」と「決済方法」を確認してみてください。

メールアドレス

フィッシングサイトではメールアドレスがGmailやhotmailといった無料で取得できる、メールアドレスが使用されている場合があります。

ショッピングサイトを運用するために、ドメイン(hogehoge.com)を取得しているのに、Gmail(gmail.com)などの無料で取得できるメールアドレスを使うことは、運営者視点ではありえない事です。

連絡先メールアドレスが「support@hogehoge.com」ではなく「spamer@gmail.com」となっていたらそのサイトで買い物するのはやめておいた方が良いでしょう。

決済方法が振り込みしかない

「特定商取引に基づく表記」に記載されている決済方法には、「クレジット決済」「コンビニ決済」「代引き決済」といった決済方法が表示されているのに、カート(決済方法選択)画面では「銀行振り込み」しか選択できない場合、99%フィッシングサイトでしょう。

オリジナルサイトからサイトをコピーした時に、決済方法を消し忘れているのか、本物らしく見せるために残しているのか、わかりませんが、「特定商取引に基づく表記」と選択できる決済方法が異なっている、という事は運営者視点でありえません。

サイトで「クレジット決済」と「コンビニ決済」を可能にするためには、クレジット会社とコンビニ各社の審査を通す必要があり、手間とお金と期間(1ヶ月程度)がかかります。

※ありえないと思いますが、仮にフィッシングサイト運営者が審査を申し込んでも、担当者が見落とさない限り審査を通過できるとは思えません。

代金決済は商品と引き換えに支払いをする決済方法なので、商品を発送しないフィッシング(なりすまし)サイトで選択できる事は基本的にはありえません。

※中には海賊版や模倣品、注文していない商品を送りつける、なりすましサイトが存在するようです。

必然的にフィッシング(なりすまし)サイトで選択できる決済方法は、「銀行振込」などの振込系のみとなっています。

また振り込み先名義が「会社名」ではなく、「個人名」だった場合も注意が必要です。

※個人でショッピングサイトを運用されている方も沢山いますが、フィッシングサイトの標的になるような比較的大きなショッピングサイトの場合注意が必要です。

怪しい日本語

フィッシング(なりすまし)サイト おかしな日本語

フィッシング(なりすまし)サイトの特徴として、サイト内の日本語の使い方がおかしい事が挙げられます。

僕の場合、顔の見えないネットショッピングでは、出来る限りお客様に買い物をしていただきやすい環境を提供することが、ネットショッピングにおける接客の1つだと考えています。

送り仮名を忘れている、と言ったレベルのミスではなく、パッと見てあきらかに日本語の使い方がおかしい文言を、サイトに掲載することは運営者としてありえません。

記載されている住所

フィッシングサイトに掲載されている住所は架空の住所である事がほとんどです。「特定商取引に基づく表記」などに掲載されている住所をコピーして、検索BOXにペーストし検索してみましょう。

これだけで存在しない住所であることが判明する事もありますが、検索結果に該当する住所が表示される事もあります。

そこでGoogleストリートビューを使って、確認してみてください。

例えば何もない空き地だったり、○○ビル5Fと記載されているのに、そのビルは3Fまでしか存在しなかったり。

運営者として…というか、運営者でなくてもあり得ませんよね。

まとめ

お客様から「購入したのに商品がいつになっても届かない」という問い合わせがあり、調べてみても受注履歴がなく、話を掘り下げて得た情報を元に調査してみると、フィッシングサイトが存在した、という事例が徐々に増えつつあるように感じています。

幸い自分が運用しているサイトでは、まだ起こっていませんが、いつ起こってもおかしくない状況だと危機感を感じています。

些細な事ではありますが、この記事を参考にしてフィッシングサイトを回避していただける事があれば、ネットでご飯を食べている者として嬉しい限りです。

フィッシングサイトの報告

フィッシングサイトを見つけた場合、下記からGoogleに報告することができます。

フィッシングを Google に報告する – ツールバー ヘルプ
フィッシングを Google に報告する – ツールバー ヘルプ

アラート!

SEMRというサイトでフィッシングサイトが増加している事を確認した、と報告が上がっています。

偽の通販サイトへ消費者を誘い込む SEOポイズニングが増加 (キーワード:ベビーカーなど) ::SEM R (#SEMR)
2月1日前後から、特に北欧ドメイン(.dk .no .se)を使った、検索エンジン経由で偽通販サイトへ誘導する SEOポイズニング(SEO Poisoning)攻撃が増加していることを確認した。

こちらではベビーカーを事例に取り上げられおり、注意するポイントなども記載されていますので、合わせてご覧いただけるといいと思います。

フィッシングサイトの増加に伴い、被害に会う方も増えていると思われますので、記事が役に立ちそうだと思われましたら、拡散していただけると幸いです:)

この記事をシェアする

前の記事
次の記事

コメント

コメントを残す

* が付いている欄は必須項目となりますので、必ずご記入をお願いします。
メールアドレスは公開されませんのでご安心ください。

この記事と関連性の高い記事