セキュリティ事件簿

【最新事例】フィッシング詐欺サイトを見破るのは無理?!

【最新事例】フィッシング詐欺サイトを見分けるのは無理?!

メールやSMSのメッセージから偽サイトに誘導して個人情報を盗む
「フィッシング詐欺」と呼ばれる詐欺が増えています。

それだけ被害に遭う方が増えているということだね

フィッシング詐欺が疑われるメールやSMSを受け取った時の対応については
別記事にまとめていますので、良かったらそちらをご覧ください。

対応はわかったけど。フィッシング詐欺サイトかどうかが事前に分かれば良いのに…

前の記事でもちょっと書いてますが、結論から言うと、基本的には無理なので諦めてください。

そんな〜。見分けるポイントが何かあるんじゃないの??

この記事では、フィッシング詐欺サイトの実例を通して
フィッシング詐欺サイトを見分けるのを諦めたほうがいい理由を説明します。

この記事を読むとこうなります

なぜフィッシングサイトを見分けることが難しいのか理解できる

見よ!これが実際のフィッシング詐欺サイトだ!

見よ!とか書いてますが別に私が作ったわけではないですよ…ねんのため…(笑)

2021年2月に私が偶然発見したAmazonのフィッシングサイトのスクリーンショットです。
違和感を感じることはできますか?

同じ画面をスマホでも見てみました。パッと見たときにおかしいと気づくことはできますか?

いつも使ってるAmazonの画面に見えるけど? どこがおかしいの?

そうなんです。画面に不自然なところはないですよね。
日本語がおかしいとか、そういうことも一切ないです。

見分けるポイント??…だけど…

でもよーく見てください、AmazonではなくてAmozon(アゾン)になってます。

そんなひっかけクイズみたいな細かいところ見てないよ!ぼくは老眼なんだよ〜〜〜!
クイズじゃなくて実際にあった事例だから…

今回はアゾン⇒アゾンという、わかりやすい違いを取り上げましたが、実際はもっと難しいケースもあります。

このように、現実的にはサイトの見栄えだけで
本物かどうか?を見破ることはできない
と考えて良いと思います。

「鍵マークが付いてたら安全」の嘘

でも、URLのところに鍵マークが付いてたら安全なサイトって聞いたことがあるよ。それで見分けられるんじゃないのかな?


以前はそれで見分けられることが多かったみたいです。

そのせいか、鍵マークで見分けましょうって説明してるWEBサイトや書籍が結構あるんですが
令和も3年過ぎた今となっては、それけっこう古いです。
大きな誤解を招く結果になってしまっていると言って良いと思います。

現にさっきのアモゾンも…

鍵マークがちゃんとついてる…

鍵マークが証明しているもの

この鍵マークは何かというと、SSLサーバ証明書というものです。


パソコンとそのWEBサイトの間の通信が暗号化されていて
インターネットの第三者に見られてしまったりしませんよ〜
途中で第三者が情報を書き換えたりしていませんよ〜

ということを証明しているものです。

どういうこと?

つまり、鍵マーク(証明書)によって証明しているのは
このサイトがアモゾン(amozon.life)であるということだけです。
では最初から、そのアモゾンが詐欺サイトだったら…?

「詐欺サイトであることを証明してる」ってことになる…意味が逆になってしまうんだね。

※ちなみに証明書は種類を問わなければ無料でつけることができます(このブログもつけてます)

ポイントは、「鍵マーク(証明書)がついているからといって詐欺サイトではないとは限らないってことですね。

最近のフィッシング詐欺サイトの8割は鍵マークをつけているって聞いたことがあるよ。

こないだニュースになってましたね。今の時代は騙す方も必死ってことですね。

日本向けフィッシングサイトの約8割が「HTTPS化」~トレンドマイクロと JC3 調査

利用者が最終的に誘導されるWebページの77.6%が「HTTPS化」されていることを確認しており、「HTTPS」を指標にWebサイトの真偽の判断はできない状況であると述べている。

https://scan.netsecurity.ne.jp/article/2021/04/30/45602.html
HTTPS化って何?

WEBサイトを表示するための言語をHTTPと呼ぶのですが
それをさっき説明したSSLサーバ証明書で暗号化するとHTTPSに進化します。
つまり上のニュース記事で言ってるHTTPS化=鍵マークがついてるサイト、ってことです。

正確に言えばちゃんといろいろ審査された上で発行される証明書もあるんだけど…いちいち確認するのは難しいよね。

「URLをよく見たら安全」の嘘

とはいっても、URLをきちんと見ていたら騙されないでしょう?わたしは目がいいし注意深いから大丈夫だと思うな。
その謎の自信はどこから来るの…?

似た文字を使ったフィッシング詐欺

さっきの例は「amozon」でしたが
「anazon」とか「amazom」とか「amason」とか…
限りなく似た見た目のURLがいくらでも考えられるので、視力に自信があっても注意が必要だと思います。

それでもよく見てれば騙されないよね?

同じ形の違う文字がある

では、次の2つの見分けは付きますか?

これは流石におなじでしょ〜??

実は「.com」の「オー」の字が違います、①は普通にアルファベットで「o」ですが
②はギリシャ文字の「オミクロン」です。

ええ〜〜嘘〜〜〜?!

嘘だと思ったらパソコンやスマホで「オミクロン」で変換してみてください
多分だいたいの環境で「ο」って出てくると思います。


そしてその表示している環境が使っているフォントによっては
「オー」と「オミクロン」は全く見た目が同じことがあります

(例に挙げた画像はWordで「メイリオ」というフォントを使っています)

こういう似た文字列をわざと使ってフィッシング詐欺に悪用しようとする手法は「ホモグラフ攻撃」っていって、結構昔からあるんだよ。
そんな特殊な文字のこと言われてもなあ…

日本人に身近な文字の例を挙げると、最近は日本語ドメインというものがあって
サイトのURLに日本語が使えるようになったので
「ロ(カタカナのろ)」と「口(漢字のくち)」とか
「ト(カタカナのと)」と「卜(漢字のうらない)」とか…
見た目が同じ文字を使った手口がでてくるかもしれませんね。(もうあるかも?)

この記事はあくまで一例です

今回は、実際にあったとあるフィッシング詐欺サイトを例にして
フィッシング詐欺サイトと本物のサイトを見分けることが難しい理由を説明しました。

しかしこれもあくまで一例なので、実際にはよく見たら
見分けることができることもあるでしょうし
焦っていて見分けるとかそういう気持ちじゃない場合もあると思います。

色んな可能性が考えられるので、基本的には見分けることができない
という前提で対応を考えたほうが良い、と私は考えています。

まとめ

この記事のポイント📝
  • フィッシング詐欺サイトと本物のサイトを見分けるようとするのは諦めたほうが良い
  • 鍵マークがついているからって本物のサイトとは限らない
  • URLをよく見ているから大丈夫というわけではない

フィッシング詐欺サイトを見分けることが無理ならどう対応したらいいの?ということが知りたい方はこちらのページも御覧ください。

少しでもお役に立てれば嬉しいです。では今回はこのへんで。