コロナウイルス×フィッシング詐欺 その対策とは?
これらの被害から身を守るすべをお教えします!
是非こちらの記事をご覧ください。
東京都で、1日に180人もの感染者が出たという新型コロナウイルス。
この世界的な流行は留まることを知らず、政府は先日、緊急事態宣言を出しました。
これにより、多くの会社は在宅勤務に切り替えたので、様々な影響が出ています。
集中力の低下や、人との連携不足などは、すぐに浮かんでくるでしょう。
しかし、コロナウイルスに乗っかり、詐欺被害が増えているのはご存知でしょうか?
非常時の時にこそ、それに便乗した詐欺や、サーバー攻撃が増えるのです。
在宅勤務が増えた今、1人1人がデータやセキュリティに注意をする必要があります。
今回は、コロナウイルスに便乗して広がる「詐欺」や「対策」についてお伝えしていきます。
目次
1.詐欺の例
2.フィッシング詐欺の対策
3.SSLサーバー証明書の信頼性
4.SSLサーバー証明書の認証局一覧
5.まとめ
1.詐欺の例
では、どのような詐欺なのでしょうか。1つ例を挙げてご紹介します。
マスクです。
コロナウイルスに感染しないためには、マスクが必需品ですよね。
そのおかげで今、品不足となり、多くの人が切望しています。
そこを狙ってくるのです!!
参照:注意情報|一般財団法人日本サイバー犯罪対策センター(https://www.jc3.or.jp/topics/newmodel_coronavirus.html)
このように、不正アプリによって、新型コロナウイルスに関連したフィッシングメールを流すという手口が発見されています。
マスクと同様に品不足となっている、アルコール消毒などの販売にも注意が必要です。
2.フィッシング詐欺の対策
フィッシング詐欺に遭わないためにはどうしたらいいのでしょうか。
そもそもフィッシング詐欺とは、実在する銀行や会社になりすまして、個人情報を盗み取るものです。
なりすます方法としては、
1.メールで偽のホームページに誘導する
2.ホームページのURLを本物と似せて誘導する
の2つがあります。
そして、ホームページに誘導したら、本人確認で個人情報を盗むのです。
手口としては、簡単なものですね。
ということは、対策は、
偽物と本物のホームページを見分けて偽物にアクセスしなければいいのです!
肝心な見分け方ですが、SSLサーバー証明書の確認で判別可能です。
SSLサーバー証明書とは、https://から始まるサイトに必要なものです。
SSL化(https://化)することで、通信が暗号化され、なりすましを防ぐことが出来ます。
それにより、お問い合わせフォームなどに入力した個人情報が守られるという仕組みです。
ユーザーは、ホームページのURLと、SSLサーバー証明書に載っているURLが一致しているか確認することで、見分けることが可能です。
また、SSLサーバー証明書が導入されているサイトには、こちらのように、URLの左隣に鍵マークがついてるかどうかで確認できます。
3.SSLサーバー証明書の信頼性
しかし、SSLサーバー証明書は実在しない偽のホームページでも発行可能です。
この場合、証明書とURLが一致するため、見分けづらくなります。
それでは困るので、2007年に新しくEV SSL証明書が登場しました。
これは、全世界で統一された認証基準に基づき、会社の実在確認をするため、信用性が高いです。
また、SSLが共有のものか独自のものか確認する必要があります。
共有SSLとは、同じサーバーに登録しているサイト運営者同士でSSLサーバー証明書を共有するといったシステムです。
この場合、SSLサーバー証明書があっても、サイトが実在しているという証明にはなりません。
よって独自のSSLサーバー証明書の方が信頼できると言えます。
まとめると、
フィッシング詐欺の対策は
SSLサーバー証明書があるか
その証明書(の認証局)は信頼できるのか
共有か、独自か
の確認が必要なのです。
4.SSLサーバー証明書の認証局一覧
サーバー認証局の種類と特徴について簡単にまとめました。
シマンテック(Symantec)
・知名度、信頼性トップクラス
・高額
証明書の種類
セキュア・サーバID
セキュア・サーバID EV
グローバル・サーバID
グローバル・サーバID EV
セキュアとグローバルの違いは、暗号をより強度にしてるかどうかの違いです。
グローバルサイン(GlobalSign)
・国内シェアトップ
・初のSSL導入に適している
証明書の種類
クイック認証SSL
企業認証SSL
EV SSL
EV SSLが一番信頼性が高い証明書です。
ジオトラスト(Geo Trust)
・シマンテック傘下
・低価格
代表的な証明書の種類
クイックSSLプレミアム
トゥルービジネスID
クイックSSLプレミアムは、グローバルデザインのクイック認証SSLと同じような機能で値段も近寄っています。
サイバートラスト(cybertrust)
・知名度が低い
代表的な証明書の種類
Sure Server
Sure Server EV
EVは大幅に割り引きされ、通常のSure Serverより安くなることもあります。
EVが必須で低価格で済ませたい方にはオススメです。
セコムパスポート
・割引されず、高額
証明書の種類
セコムパスポート for Web SR3.0
セコムパスポートfor Web EV 2.
ラピッドSSL(Rapid SSL)
・ジオトラスト傘下
・低価格
・個人利用が主
証明書の種類
ラピッドSSL
ラピッドSSL ワイルドカード
サイトシールがGIF画像として提供されるといった特徴があります。
セキュアコア(SecureCore)
・低価格
・知名度が低い
証明書の種類
CoreSSL
CoreSSL ワイルドカード
SecureCore ドメイン認証SSL
すべてドメイン認証。
Core SSLはラピッドSSLよりも低価格で、年間1,000円以下で導入可能です。
Let's Encrypt
・無料
簡易のドメイン認証
3ヶ月ごとに更新しなければなりませんが、独自SLLを費用をかけずに導入ができます。
弊社のOWLet(アウレット)制のサイトは、基本的にLet's Encryptを使用しています。
これは独自のSSLサーバー証明書なので、先ほど述べたフィッシング詐欺対策の項目を満たしています。
よって、OWLetサイトのセキュリティーは万全なので安心してご利用いただけます。
また、OWLetは常時SSL化しているため、全てのサイトを安全に利用できるほか、サイトの高速化、検索順位の向上に良い影響があります。
まとめ
今回は、コロナウイルスに便乗したフィッシング詐欺について書きましたが、フィッシング詐欺を確実に回避できる方法はありません。こういった犯罪の事実や対策方法があるということを理解しておくことが重要となります。
また、HPを持っている側にできる対策は、SSLサーバー証明書を使用する以外ではなく他にも様々な対策があります。
まずは慌てずよく確かめることが大事です。ユーザーであるあなた自身が気を付けていきましょう。
参考記事
新型コロナで「便乗」が新たな脅威に、便乗詐欺と便乗サイバー攻撃が次々現る | 日経クロステック(xTECH)(http://xtech.nikkei.com/atcl/nxt/column/18/00676/030300041/)
フィッシング詐欺からあなたの顧客を守る「SSLサーバー証明書」|セキュリティガイド|Zenlogic - 株式会社IDCフロンティアのレンタルサーバー(http://www.idcf.jp/rentalserver/user-support/knowledge/security-guide/phishing.html)
注意情報|一般財団法人日本サイバー犯罪対策センター(http://www.jc3.or.jp/topics/newmodel_coronavirus.html)
SSL証明書を取得してHTTPS化する設定方法 [ホームページ作成] All About(http://allabout.co.jp/gm/gc/464365/)
常時SSL化で押さえておきたいメリットとデメリット【Webサイト運営者向け】 | JPDirect(http://jpdirect.jp/ssl/aossl.html)
