1. フィッシングサイト検出機能で確認して問題なかったら、再登録する。
2. カード会社に電話で確認してから入力すべきかどうかを考える。
3. 細かい事は気にしない。とりあえず、情報の再登録をしておく。
【答え】
1. ×
2. ○
3. ×
○:お勧めの対応
×:お勧めできない対応
【解説】
クレジットカード会社や銀行からの連絡と偽って、氏名、クレジットカード番号や銀行口座番号、それらの暗証番号を盗み、クレジットカードで高額な買い物をして換金したり、銀行口座から現金を引き落とすという犯罪が数年前から起こっています。いわゆるフィッシング詐欺というものです。
典型的な手口は、次のようになっています。あなたのメールアドレスにクレジットカード会社からのお知らせとして電子メールが届きます。その電子メールには、クレジットカード会社や銀行を偽ったウェブページへのリンクが貼られています。そして、そのウェブページにいくと、クレジットカード番号や銀行口座番号や、それらの暗証番号などを入力するようになっています。偽もののウェブページは本物のウェブページとそっくりに作られていますので、本物の会社のウェブページと間違えてクレジットカード番号や暗証番号を入力してしまう人もでてきます。でも、その情報はだまそうとしている人のコンピュータに送信されるようになっていて、盗んだ情報を使ってお金などを騙し取ります。
このような詐欺に引っかからないようにするためにはどうしたらよいでしょうか。
メールを利用して暗証番号等の入力を依頼してくるケースはほとんどないので、そのようなメールが来た段階で疑ってかかるのがよいでしょう。それでも本当かもしれないと思った場合は、ウェブブラウザのアドレスが本当にそのクレジットカード会社や銀行のアドレスであるかをアドレスバーの内容や電子証明書の中身を見て確認しましょう。
最近はウェブブラウザにフィッシングサイト検出機能がついているものもありますので、そのような機能も活用してみるとよいでしょう。ただし、フィッシングサイトを100%自動検出してくれるわけではありません。一番確実な方法は、クレジットカード会社や銀行に電話で確認する方法です。なお、引っかかってしまったらクレジットカード会社にその旨を連絡して対応してもらうしかありません。引っかかる前に何をすべきかが重要ですね。
丸山満彦(まるやま・みつひこ)
公認会計士。
大手監査法人に在籍 パートナー。
1992年大手監査法人に入社。1998年~2000年米国の監査法人に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、 個人情報保護関連のコンサルティングを実施。
情報セキュリティ関連の政府委員を歴任。
内閣官房情報セキュリティセンター兼務。
情報システムコントロール協会(ISACA)東京支部理事
日本セキュリティ監査協会(JASA)幹事
デジタルフォレンジック研究会監事
JPCERT/CC監事
日本監査研究学会会員
情報ネットワーク法学会会員
【過去の連載】 どんと来い、リスクマネジメント
[イラスト]
加藤 豪(かとう ごう)
大阪府出身。ユーモアを含んだ勢いとコントラストの強いカラーのイラスト、人の心理をテーマにしたちょっとシュールな4コマ漫画、短編等を制作しています。
■ホームページ : http://www.occn.zaq.ne.jp/kato5/