ComComさんの「フィッシング詐欺の憂鬱」というエントリーで、最近話題のフィッシング詐欺の例が取り上げられています。フィッシングは、魚を釣る（fishing）よりも、人を騙すために手段が洗練されている（sophisticated）ことから、「sophisticated fishing」という意味を込めて「phishing」という綴りをします。

フィッシング詐欺の目的は、銀行口座の暗証番号やクレジットカード番号などを入手するのが目的で、金融機関などを装ったメールを送りつけることから始めることが多いようです。ただし、送信元のアドレスが正しいドメインのものだとしても、Netskyなど最近のウイルスが宛先偽装していることもありますので、この段階でもまだ完全に騙されない人も多いと思います。

しかし、そのメールに記載されているリンク先は巧妙です。多くの人は、そのページが正しい機関のページなのかを判定するのに、URLを確認すると思いますが、フィッシング詐欺の場合はJavaScriptとフレームを使用して、アドレスバーを隠したり、巧妙な場合は本来のURLとは異なる信頼できるページのURLに見せかけます。ページデザインは当然似せていますし、URLも信頼できそうなら騙されてしまう人が大半なのではないでしょうか。

さらに驚かされたのは高木浩光さんの「ヤフーからの通知を装った日本語フィッシングで何が起きていたか」という記事で取り上げられている詐欺の手口です。ここではまず、Yahoo!のパスワードを入手するのですが、偽サイトのパスワード入力欄に入力したパスワードを、その裏で本物のサイトで確認することで、間違ったパスワードの場合は排除しています。入力間違いをした人は正しく判別している様子を見て、さらに信じ込んでしまうことになるでしょう。

フィッシング詐欺は徐々に手口が巧妙になっていますので、これに騙されないのは極めて難しいでしょう。ただ、入手しようとする情報は口座の暗証番号など極めて重要な個人情報がメインになりますので、万が一そのような情報の入力を求められたら、再度問い合わせ元に確認する（出来るなら別のルートで）ことが必要なんでしょうね