2012年7月27日金曜日

【三井住友銀行で2700万円被害!】フィッシング詐欺から身を守る3つの対策!・ESET「安心」&「快適」セキュリティマガジン Vol,15

  • このエントリーをはてなブックマークに追加
みなさんこんにちは!
ESET「安心」&「快適」セキュリティマガジン 編集部です^^

ESETを販売しているChatWork株式会社(旧:株式会社 EC studio)では、
ソフトをご購入いただいた方にアフターサービスとして、
『ESET「安心」&「快適」セキュリティマガジン』をお送りしています。

Vol,15では、巧妙な手口による被害が増大している「フィッシング詐欺」の対策から、
深刻度最大の「アップデート情報」などなど、盛りだくさんでお届けいたします☆

どうぞ、最後までご覧ください┌(<:)


─────────────────────────────────
◆ ESET「安心」&「快適」セキュリティマガジン  目次
─────────────────────────────────

├■ <1> 【法改正で加害者になる恐れも!?】フィッシング詐欺から身を守る3つの対策!

├■ <2> 今すぐアップデートしましょう!セキュリティニュース

└■ <3>  ESETよくある質問コーナー

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
<1> 【法改正で加害者になる恐れも!?】フィッシング詐欺から身を守る3つの対策!
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□

みなさんに質問です。
「いろんなサイトで同じIDとパスワードを使いまわしていませんか?」

「うん、だいだい同じにしてるなぁ(;´3`)~♪」
「変えると忘れちゃうんだよね^^;」

・・・・・・・・・・なんて心当たりのある方は大変危険です!!

多くのユーザーが同一ID・パスワードを複数サイトで利用しているところに
目を付けて、不正に取得したIDとパスワードのリストから不正アクセスを試みる、
「パスワードリスト攻撃」が確認されています(>_<)

『 今、みなさんのパスワードが狙われています!! 』

最近、海外でもビジネスSNS「LinkedIn」のパスワード650万件が
流出した事件がありましたよね(゚Д゚;

今月は、三井住友銀行を装った偽の電子メールによる、
フィッシング詐欺があり、被害総額は約2700万円に達したという
発表もありました(>_<)

パスワードや暗証番号を狙った不正が急増している今、2012年5月の法改正により
自分が被害にあうだけではなく、加害者になるかもしれないのです!Σ(゚д゚lll)

IPA (独立行政法人情報処理推進機構)では、自分のパスワードを
守るだけではなく、他人のパスワードの取り扱いにも気を配って、
社会全体で犯罪を抑止しようという注意喚起をおこなっています。

2012年3月に 『 不正アクセス禁止法 』 の改正が行われ、
5月から施行された結果、取り締りの対象となったのは・・・

◎ パスワードを不正に取得・保管・提供する行為
◎ 騙してパスワードを窃取しようとする行為(フィッシング)

フィッシング詐欺ではなくても、IDやパスワードの扱いによっては、
この法律で罰せられる可能性があるなんて怖いですよね((((;゚Д゚)))

そこで今回は!!

フィッシング詐欺の手口と対策と、
改正法施行における注意事項についてお伝えします!

--------------------------------------------------
★ フィッシング詐欺の手口
--------------------------------------------------

フィッシング詐欺とは・・・?

『 金融機関などからの正規のメールやWebサイトを装って、
ID・パスワードや、クレジットカード番号などを盗み取る詐欺 』です!

フィッシング詐欺の手口は主に2通り。

◎ 偽サイトへ誘導するもの(サイト構築型)
◎ メールそのものにIDとパスワードを入力させる仕掛けがあるもの(メール送信型)

【参考画像】フィッシング手口のイメージ図
http://ecstudio.jp/pic/srHt2Kpd3BIK

『 サイト構築型 』 では、概ね下記のような流れで攻撃が行われます。><
被害者を仮にTさんとしましょう。

【1】 攻撃者が金融機関などを装ったWebサイトを設置
【2】 攻撃者がTさんに偽メールを送信
【3】 Tさんがメール本文中のリンク(偽サイトのURL)をクリック
【4】 Tさんが偽サイト画面の見た目に騙され、アカウント情報を入力
→ 攻撃者がアカウント情報を入手
【5】 攻撃者がTさんになりすまして本物の金融機関サイトにログインして悪用!

【参考画像】『 サイト構築型 』のイメージ図
http://ecstudio.jp/pic/KMGeSms7HcoW

巧妙な手口でコワイですよね(゚Д゚;

もう1つの手口 『 メール送信型 』 は、偽サイトを使わず、
メールそのものにIDとパスワードを入力させる仕掛けがあります。

『 送信プログラム添付型 』 『 HTMLメール型 』 の2タイプあるので要注意!

下記の画像は、実際に国内の大手銀行を装い不正プログラムが
添付されたメールです。

【参考画像】『 送信プログラム添付型 』の実例
http://ecstudio.jp/pic/iiWVFTjVjNFV

メールの文面に従って添付ファイルを開くと・・・

上記画像ように、送金手続きに必要な契約者番号やパスワード、乱数表など、
全ての情報を入力させる画面が現れます!

情報を入力し「送信」ボタンをクリックしたら、
攻撃者の手に全情報が渡ってしまいます((((;゚Д゚)))

攻撃者はインターネットバンキングにログインして
あなたのふりをして送金手続きを実施できてしまうんです(>_<)

通常、このような依頼がメールで送られることはありませんので
絶対に騙されないでください!

『 HTMLメール型 』 では、HTMLを使って、メール本文欄に
本物のWebサイトのような画面を表示し、ユーザーを騙して
IDとパスワードを入力させる手口です。

HTMLメールは発信元の情報を確認し、
信頼できるサイト以外では、個人情報や、パスワードを
入力しないようご注意ください。

このような手口を知って、日頃から警戒しておくことは
とても重要です!

でも、気をつけていたのに、巧妙な手口に騙されてしまうことが
あるかもしません><

そこで、次に被害にあわないための具体的な3つの対策をお話します!

--------------------------------------------------
★ フィッシング詐欺から身を守る3つの対策
--------------------------------------------------

自分がフィッシング詐欺の被害に遭わないための注意ポイントとして
IPAでは下記の3つを挙げています!

◎ IDとパスワードの使い回しを避ける
◎ 添付ファイルに注意する
◎ URLやドメイン名などに注意する

まずは基本中の基本。
複数サイトで同じIDとパスワードの使い回さないようにしましょう!

もし同一IDとパスワードをいろんなサイトで使っていると・・・
1つのアカウント情報が漏えいしたときに、
連鎖的になりすまし被害が広がってしまう恐れが!(/´△`\)

パスワードの見直しには、第1回目のメルマガにご紹介しました、
下記URLの「パスワードを強くたくましくする3つの方法」をぜひご覧くださいね^^

【第1回目のESETメルマガはこちらから】
→ http://blog.eset-smart-security.jp/eset_magazine/eset-magazine-111201.html

次に、添付ファイルに注意すること。
メールに不審なファイルが添付されていた場合、
上述の『 送信プログラム添付型 』の可能性があります!
開かずにメールそのものを削除することをおすすめします。

最初の2つ 「 ID・パスワードの使い回さない 」「 添付ファイルに注意する 」 は
フィッシング詐欺でなくても、よく言われることですよね。

では、3つ目のポイント 「 URLやドメイン名などに注意する 」 とは
どういうことでしょうか?

ズバリ、本物そっくりにつくられてる偽サイト(フィッシングサイト)を見抜くには、
ブラウザのアドレスバーに正しいドメイン名が表示されているかどうかを
確認することが大変重要です!

URL欄のすぐ横が緑色の場合は団体名、青色の場合はドメイン名が表示されるので、
アクセス先と一致していることを確認してください。

IPAは、この確認の仕方をキャプチャ画面で解説していますので
下記URLをご覧くださいね^^

【参考画像】Internet Explorerでの表示例
http://ecstudio.jp/pic/QiknvrUlD4Hn
【参考画像】Firefoxの場合
http://ecstudio.jp/pic/rz82Fhi55Yhi

個人情報の入力やオンライン決済などが必要な場合、
ほとんどのWebサイトでは、インターネット上で通信を暗号化する技術である、
SSLによる安全な通信をおこなっています。

アドレスバーの色や、URLと証明書の内容が同じかを
確認するようことが、フィッシング詐欺から身を守る重要な対策となります!

このように普段からフィッシング詐欺にあわないよう注意するとともに、
もしフィッシング行為を発見したら、すぐにフィッシング110番などに
通報して被害拡大を防ぎましょう!("`д´)ゞ

【発見時の通報先】フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm

--------------------------------------------------
★ 改正法施行における注意事項
--------------------------------------------------

冒頭でお伝えしましたように、2012年5月の法改正によって、
自分が被害にあうだけではなく、なんと加害者になる恐れがありますΣ(゚Д゚;

IDやパスワードを不正に 『 取得 』 『 保管 』 『 提供 』 したとして
そんなつもりはなかったのに、法律違反をしてしまうかもしれません!

IPAが、改正法施行における注意事項を下記のようにまとめています。

避けるべき行為は・・・

【×】不正アクセス行為を目的として、他人のIDやパスワードを
紙やUSBメモリ等で受け取ること
【×】不正アクセス行為を目的として、掲示板で公開された、
他人のIDやパスワードを、パソコン内に保存すること
【×】正当な理由なく、掲示板で公開された他人のIDやパスワードを、
自分のブログや他の掲示板に転載したり、メールで他者に送付したりすること

※ただし、以下の場合は意図して 『 取得 』 『 保管 』 しているわけではないので
法律違反にはなりません。
・インターネット検索中に偶然他人のIDやパスワードが表示された場合
・他人のIDやパスワードを一方的に電子メールで送りつけられた場合

例えば、海外のWebサービスで流出したIDやパスワードを自分のブログで紹介するなど、
今までは法律違反にならなかったことが、今後は罰せられる恐れがあります(>_<)
くれぐれもご注意くださいm(_ _)m

-------------------------------------------------------
※上記コラムの【参考画像】は全てIPAサイトより引用したものです。

【◎関連URL】
・IPA:コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について
http://www.ipa.go.jp/security/txt/2012/07outline.html
・フィッシング詐欺から身を守り、自分も加害者にならないように! |マイナビ
http://news.mynavi.jp/articles/2012/07/09/ipa7/
・三井住友銀でフィッシング詐欺、実被害も発生
http://www.zaikei.co.jp/article/20120713/108206.html

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
<2> 今すぐアップデートしましょう!セキュリティニュース
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□

▼ Microsoft Update:最大深刻度が最悪の「緊急」3件! ★★★★

2012年7月11日、日本マイクロソフトは、
Windows、Office、Internet Explorerなどの
脆弱性を対策したセキュリティ更新プログラムを公開しました。

公開した9件のうち、最大深刻度が最悪の「緊急」が3件!
脆弱性を悪用されると、悪質なWebサイトにアクセスするだけで、
ウイルスに感染する恐れがあります(>_<)

すでに脆弱性を悪用した標的型攻撃も確認されているため、
みなさん早めのアップデートを!!

【対象】
現在サポート対象となっている全てのWindows、
Office 2003/2007/2010、Office for Mac 2011、Internet Explorer9、
SharePoint Server 2007/2010、Visual Basic for Applicationsなど

◇────────────────────────────
│ 【◎詳細記事】
│ ……………………………………………… ∴∵∴‥∴∵
│ ・WindowsやOfficeに危険な脆弱性、標的型攻撃への悪用も確認
│ http://itpro.nikkeibp.co.jp/article/NEWS/20120712/408641/?r_security
│ ……………………………………………… ∴∵∴‥∴∵

│ 【◎対策はこちら】
│ ……………………………………………… ∴∵∴‥∴∵
│ [スタート] メニューの [Windows Update]、 または
│ Microsoft Update サービスを使用して、アップデートしてください。
│ ……………………………………………… ∴∵∴‥∴∵
◇────────────────────────────

□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
<3>  ESETよくある質問コーナー
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□

ESETよくある質問コーナーの第3弾!
今回は「有効期限の確認方法」と「ソフトを再インストールする方法」について
ご紹介します(^-^)ゝ

━…‥‥…━…‥‥…━…‥‥…━…‥…━…‥…━…‥…
【Q.】ライセンスの有効期限はどこで確認できますか?
━…‥‥…━…‥‥…━…‥‥…━…‥…━…‥…━…‥…

ソフトからライセンスの有効期限を確認することができます。

パソコン画面の右下に目の形をしたアイコンをクリックしていただき
表示される画面内に「ESET Smart Security 5を開く」という項目をご確認ください。

※ご使用のOSやパソコン環境によってソフトに表示されない場合があります。

また、ライセンス管理システムをご利用の方は、
下記より有効期限をご確認いただけます。

・ESET Smart Security ライセンス管理システム
https://member.ecstudio.jp/ecdesk/login.php?package=licenseadmin&subpackage=ess

━…‥‥…━…‥‥…━…‥‥…━…‥…━…‥…━…‥…
【Q.】ソフトを再インストールするには?
━…‥‥…━…‥‥…━…‥‥…━…‥…━…‥…━…‥…

ご購入後にお送りしているメール、または販売サイトから
体験版をダウンロードしてください。

体験版にライセンス情報(ユーザー名とパスワード)を入力することで、
製品版としてお使いいただくことができます。

パソコンが壊れて新しいパソコンに買い替えられた際にも、
この手順でソフトを再インストールをすることで、
有効期限まで引きつづきご利用いただけますので、ご安心ください。

━…‥‥…━…‥‥…━…‥‥…━…‥…━…‥…━…‥…

他にも、下記URLの「よくある質問」ページに具体的なご回答を
豊富にご用意しています☆

お困りのときには、ぜひご活用くださいね(´V`*)

・よくある質問ページ
http://www.chat-work.com/ess/help/

-------------------------------------------------------
◆ Facebookページでも、セキュリティの最新情報を
リアルタイムに更新していますので、ぜひお役立ください♪

・ESET Fan
http://ja-jp.facebook.com/esetfan
-------------------------------------------------------
◆ ESETサイトでは、実績や他社比較データ、
お客様の声を掲載しています^^

・ESET Smart Security(イーセット スマート セキュリティ)
http://www.chat-work.com/ess/
-------------------------------------------------------

-------------------------------------------------------
■ 免責事項について
-------------------------------------------------------
記事の内容には細心の注意を払っておりますが、
掲載された情報の誤り、内容を実施したことによって生じた不具合や
トラブル等に関して、ChatWork株式会社 は
一切責任を負わないものとします。
くれぐれもユーザー様ご自身の責任のもとで
おこなっていただきますようお願いいたします。

-------------------------------------------------------
ESETロゴ:ESETセキュリティブログ
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る