「偽サイトが本物に見える」、スマートフォンではURLの確認を慎重に

フィンランドのセキュリティ企業エフセキュアは2011年5月24日、スマートフォンはパソコンよりもフィッシング詐欺に遭いやすいとして注意を呼びかけた。URLを表示するアドレスバーが短いために、偽サイトのURLが本物に見える場合があるという。

今回同社が取り上げたフィッシング詐欺は、コミュニティサイトの「クレイグスリスト」をかたっている。偽サイトでは、URLに本物のドメイン名（accounts.craigslist.org）を含めることで、ユーザーをだまそうとしている。

偽サイトは、クレイグリスリストのログインページに見せかけて、そのユーザー情報を盗もうとしている。偽のログインページは、本物のログインページをコピーしているので、見た目はそっくり。フィッシング詐欺を警告する情報も、そのままコピーされている（図1）。

そこには、サイトにアクセスしたときの注意書きとして、「Webブラウザーのアドレスバーに https://accounts.craigslist.org と表示されていることを確認すること」と記載されている。偽サイトのURLはこれとは異なるので、詐欺であることがすぐに見破られてしまう。

見破るための情報をわざわざ掲載しているので、エフセキュアは、「最もばかげたフィッシング詐欺」として、誰もだまされないだろうとコメントしている。

ただし、このページをスマートフォンで表示させると、状況が一変するという。スマートフォンでは、アドレスバーの長さが制限されているために、URLの前の部分しか表示されないためだ。特にiPhoneでは、ちょうど「accounts.craigslist.org」の部分しか表示されないため、URLの後半が違っていても気付かずに、本物のサイトだと誤解する危険性がある（図2）。

さらに、スマートフォンの多くには、フィッシング詐欺目的の迷惑メールや、偽サイトへのアクセスをブロックする機能がない。一方パソコンでは、これらをブロックする機能を備えたセキュリティ対策ソフトやメールソフト、Webブラウザーなどを使っていることがほとんどだ。

このため同社では、「フィッシングは、パソコンよりもスマートフォンの方がうまくいく」とコメント。Webアクセスの際にはURLを慎重にチェックすること、スマートフォン用のセキュリティ対策ソフトを利用することなどを推奨している。

（日経パソコン　勝村幸博）

[PC Online 2011年5月26日掲載]