(David Chernicoff)

 「フィッシング(Phishing)」詐欺やWebサイトのリダイレクト,ブラウザの乗っ取りがインターネットで猛威をふるっている。とりわけ,フィッシングとは,クレジット・カードや銀行口座などの情報を確認するために個人情報を要求する,表向きは合法的に見えるメールを送る悪質なテクニックだ。もはや,電子メールを読んだり,Webサイトをブラウズしたりするとき,ファイアウオールのような受け身の防御策はもう役立たない。

 管理者がユーザーに提供できる最良の防御は,そういう危険についてユーザーを教育し,危険が潜むコンテンツの見分け方を教えることだ。今回は,注意すべき最近の手口を紹介しよう。

公式な案内を装ったメールのリンクを
クリックすると個人情報を集めるサイトに行く

 例えば,フィッシングでよくあるテクニックの1つは,特定のベンダーの公式な案内を装ったメールを送りつけることである。その中には,その会社のサイトにリンクしているかのようなクリック可能なURLが入っている。実際には,表示されているURLはテキストにすぎない。本当のリンク先は,疑いの心を持たない訪問者から個人情報を集めるWebサイトになっているのである。

 一番良いのはリンクをクリックする前にリンクの正しさをチェックする習慣をつけることだ。電子メール・ソフトによっては,マウス・カーソルを怪しいリンクに重ねるとその本当のURLを画面の最下部にあるステータス・バーに表示させられる(Internet Explorerでもステータス・バーが有効になっていれば同じ動作をする)。そういう怪しいリンクを埋め込んだメールはHTMLフォーマットで送信される。メールを受け取ったらメッセージを右クリックして出るメニューで[HTMLソースの表示]を選択しよう。するとHTMLソース・コードを表示できる。少し努力は必要だが,大抵は大量のHTMLのタグ情報から怪しいURLを見つけ出せるだろう。

実際にアクセスしているサイトとは違う
URLがブラウザに表示される

 ブラウザがリダイレクトによって別のサイトへ転送される場合,実際のアクセス先のURLを判別することはやや難しい。多くのサイトは正当な理由でWebサイトのリダイレクトを使っている。あるURLをだれかに送ろうとして,あなたが送ったURLが現実には自分が送ったと思ったURLと違うことが分かったことはないだろうか。また,いろいろなリンクをクリックしているのに,アドレス・バーのURLが変化しないことに気づいたことはないだろうか。そうなったときは,悪意があるリダイレクトかどうかを疑ってほしい。

 あなたが訪問しているWebページの本当のURLを知るには,以下のJavaScriptコードをWebブラウザのアドレス・バーに入力して[移動]をクリックしてほしい。

javascript:alert("Actual URL address: " + location.protocol + "//" + location.hostname + "/");

 このコードを実行すると,直前までアドレス・バーに表示されていたURLに関係なく,本当のルートWebサーバーを示すポップアップ・ダイアログ・ボックスが表示される。もしそのURLが思っていたものと一致していなければ,ブラウザに何か起きている。

 残念だが,悪意のあるインターネット・サイトやユーザーから自分を守るときはいくつかのツールの助けが必要だ。安全にインターネットを使うには,いつでも一定レベルの判断力を維持する必要があるのだ。スパイウエアの検出・駆除ツールであるLavasoftのAd-awareやPatrick M. KollaのSpybot Search & Destroyのようなソフトを走らせて,コンピュータを不正なコンテンツから守ってほしい。しかし,脅威を防ぐスタート・ラインは,ユーザーがインターネットをブラウズするときに上記のような手口が行われていないか常に気を配らせることである。