知って得するドメイン名のちょっといい話

フィッシングかな？と思われないために／知って得するドメイン名のちょっといい話 #20

ウェブサイトを提供する側として、フィッシング詐欺被害を防ぐためにはどのような注意が必要か

宇井隆晴（JPRS） 2011/5/26 8:00 レンサバ／システム | 解説／ノウハウ

4 33 9

インターネット利用者としてフィッシングの詐欺被害にあわないためにどうすればよいかという解説は世に多い。しかし、ウェブサイトを提供する側として、フィッシング詐欺被害を防ぐためにはどのような注意が必要か、という視点で考えてみたい。

※この記事は、レンタルサーバー完全ガイドの発行する雑誌『レンタルサーバー完全ガイドVol.21』（2010年5月29日発売）に掲載されたものを再編集して掲載しているものです。

いまも減っていないフィッシング詐欺

※1　Web担編注
記事執筆当時、2010年3月度の傾向。2011年2月度現在、フィッシング対策協議会に寄せられたフィッシング報告件数は、2010年3月度に比べると減少の傾向にある模様。月次報告書一覧

ご存知のとおり、フィッシング詐欺とは銀行やカード会社、サービス会社を装って偽のウェブサイトへ利用者を誘導し、個人情報やアカウント情報などを詐取する行為のことです。フィッシング詐欺が大きな社会問題として取り上げられたのはもう何年も前で、最近はニュースなどで取り上げられることも減っていますが、フィッシング詐欺がなくなっているわけではありません。フィッシング対策協議会が公開しているフィッシング届出件数を見ると、フィッシング詐欺の脅威は減っていないどころか、増え続けていることが分かります（図1）^※1。

図1　フィッシングメール届け出状況。※画像は最新2011年2月度のもの。

一般に、フィッシング詐欺についての情報といえばインターネット利用者に向けての注意喚起が多いですが、ウェブサイトを運営する側にとっても大きな問題です。まずひとつは、自分の社名やブランド、サービスなどを騙ってフィッシング詐欺行為が行われることで、顧客に被害が生じるとともに自社の信頼やブランドイメージが低下するという被害を受けることになります。銀行やクレジットカード会社などの金融系サービスなどが狙われることが多いですが、それ以外のウェブサイトも狙われる可能性がないわけではありません。

そしてもうひとつは、自分がウェブサイトやメールで行う活動が、利用者から「フィッシング詐欺行為ではないか？」という疑いの目で見られることです。

メールを安心して読んでもらう
フィッシング対策ガイドライン

このようなフィッシング詐欺被害の発生を抑止するために、前出のフィッシング対策協議会は、2010年4月に「フィッシング対策ガイドライン」の最新版を公開しました。このガイドラインはインターネット利用者としてフィッシング詐欺行為について気をつけるべきことが解説されていることはもちろんですが、それ以上にウェブサイト運営側が何を考えなければならないかということにページが割かれており、サービス事業者が考慮すべき要件として36項目が挙げられています。多くのウェブサイト運営者にとって共通となる重要な要件項目についていくつか見てみましょう。

大切なことは、顧客（利用者）が持つ「フィッシング詐欺行為ではないか？」という疑念を払拭するために、いかに正規のメールを安心して読んでもらい、正規のウェブサイトに安心してアクセスしてもらうか、ということです。

基本的なところでは、顧客に対するメールでは定型的な様式を用いることで、顧客がメールを受け取ったときに「いつもと同じ」という安心感を与えることができるとともに、形が異なるフィッシングメールを受け取ったときに違和感を与えることができます。

たとえば、リンクURLの隠蔽のできるHTMLメールはフィッシングメールで用いられることが多いため、TEXTメールを標準形とすることでHTMLメールを受け取ったときに「怪しいかも」という警戒心を持ってもらうことができます。

また最近では、SPFなどの「送信ドメイン認証」が普及しつつあるので、送信用メールサーバーをこれに対応させることで、自分を騙るフィッシングメールの危険性を低減させることができます。

表1　サービス事業者が考慮すべき要件のうち特に推奨されるものの抜粋

要件1	顧客に送信するメールには電子署名を付与すること
要件2	外部送信用メールサーバを送信ドメイン認証に対応させること
要件3	顧客に送信するメールでは定型的な様式を用いること
要件4	サービス事業者が顧客に送信するメールはTEXT形式とすること
要件5	顧客にメール送信する状況及び内容を周知しておくこと
要件6	Webサイトり安全性を確保すること
要件7	Webサイトの正当性に係る情報を充分に提供する画面とすること
要件8	重要情報を入力するページはSSL/TLSで保護すること
要件9	Webサイト運営者の連絡先及びガイダンス等、顧客に間違いなく情報を伝える必要のあるページはSSL/TLSで保護すること
要件10	正規Webサイトのドメイン内設置サーバの安全性を確認すること
要件20	アクセス履歴の表示

安心してアクセスしてもらうためのドメイン名に対する配慮事項

重要な情報を入力するページではSSL/TLSを用いるということは、多くのウェブサイトで行われていますが、「安心」を提供するためにはSSL/TLSに必要なサーバー証明書も信頼性の高いものを用意することが大切です。サーバー証明書は、単に入力内容を暗号化するための道具ではなく、ウェブサイトの運営者が何者であるかを示すためのものです。最近のウェブブラウザでは、証明書の内容へのアクセスが容易になり、EV SSLなどの高い信頼性を提供する証明書を利用しているかどうかも一目でわかるようになっています。

また、顧客に「自分のアカウント情報で不正アクセスが行われていない」という安心感を与えるためには、ウェブサイトへのアクセス履歴を表示することが効果的です（図2）。これは、不正アクセスが行われた場合に顧客がそれに気づくことができるという意味でも有効です。

図2　アクセス履歴を表示すると安心してアクセスしてもらえる

ガイドラインでは、ドメイン名についての配慮事項もいくつか要件となっています。ドメイン名を入力してウェブサイトへアクセスすることが減ったとはいえ、アクセスしたウェブサイトや届いたメールの信頼性を評価するひとつの材料として、ドメイン名は依然として重要な情報になるからです。

まず、日本の事業者が用いるドメイン名は「co.jp」あるいは「jp」が望ましく、なかでも客観的に見て顧客に信頼を与えるために最も望ましいドメイン名は「co.jp」であり、可能な限り「co.jp」ドメイン名でサービスを提供するべき、としています。この理由としては、「co.jp」や「jp」には日本の企業であることや国内在住であるといった登録条件が設けられ誰でも簡単には登録できないこと、それ以外の「com」「net」「org」などのgTLDを使った場合には世界中のフィッシャーが類似のドメイン名を簡単に手に入れて悪用する危険性が高い、ということが挙げられます。

また、顧客がドメイン名を誤解なく認知するためには、サービス名や事業者名をそのままドメイン名とするのがよいでしょう。そして、そのドメイン名を顧客にはっきりと示し、周知することも大切です。顧客がウェブサイトへアクセスしたり、メールが届いたときなどに、ドメイン名を知っていることは安心感を大きく高めることに繋がります。

さらに、一度利用を開始したドメイン名は、特別の理由がない限りは変更せずに使い続けることも、信頼性を高めるうえでは大切です。そのためにも、最初にドメイン名を決めるときには十分に考えたうえで決めることが必要なのです。

フィッシング詐欺は自分の知らないところで起こる

利用者の立場では、フィッシング詐欺は自分がだまされるかどうかという目の前で起こる問題です。しかしウェブサイトの運営者にとっては、自分の知らないところで自分を騙った詐欺行為が行われるというやっかいな問題となります。もしフィッシング詐欺が発生した場合には、いかに早期にそれを知り、被害が広がらないように対処するか、また被害を受けた顧客にどう対応するか、ということを考えなければいけません。しかし、そうなる前に、フィッシング詐欺に利用されにくいウェブサイトであるためにはどうすればよいかということを考えるうえで、この「フィッシング対策ガイドライン」は役に立つものだと思います。