経済産業省を名乗り詐欺の手口で送られるメールに注意
先日、らばQ宛に妙なメールが届きました。
経済産業省の名乗ったコンピュータウィルスやフィッシング詐欺の注意を促すメールで、「checkpc.jp」というドメインのウェブサイトのアドレスが書いてあります。
このようなメールが来るとついついクリックしたくなりますが、絶対にクリックしてはいけません!
これは明らかに詐欺の手口です。
こうやって自分のサイトへ誘導し、あたかも本物の経済産業省のページに見せかけ、個人情報や別のサイトのパスワード、下手するとクレジットカード番号を入力させようとしてるのです。
インターネットに慣れてる人なら、絶対にクリックしないパターンです。
本物の官公庁ならドメインは「go.jp」で終るはずです。誰でも取れる「.jp」のドメインで官公庁がサイトを開設するなんて考えられません。
というわけで今回は、こうした詐欺メールを見抜くための基礎知識をご紹介します。
そもそもドメインとはなんでしょうか?
ドメインというのはインターネット上のコンピュータの場所を表す文字列で、ウェブサイトのURL(アドレス)などに含まれています。
http://www.meti.go.jp/sitemap/index.html
このようなURLの場合、「スキーム」「ホスト名」「ドメイン」「パス」の4つに分けられます。
スキーム | ホスト名 | ドメイン | パス |
---|---|---|---|
http:// | www | meti.go.jp | /sitemap/index.html |
スキームは例えば「http://」ならウェブサイト、「mms://」なら動画のストリーミング、「ftp://」ならファイルのやり取りをする、などなど、インターネットのサービスによっていろいろなスキームがあります。
ホスト名はそのコンピュータの名前です。インターネットではコンピュータを区別するために、すべて名前が付けられています。
ドメインは、そのコンピュータが所属してる組織を表します。
パスはそのコンピュータの中のファイルの場所を示してます。
そしてドメインというのも、いくつか種類があります。
主に国ごとにわかれているのですが、「.jp」で終るものは日本、「.uk」ならイギリス、「.us」ならアメリカ、というようになっています。この国を表している部分をトップレベルドメインといいます。
さて、日本の「.jp」ドメインにもいくつか種類があります。
co.jp | 日本の企業など |
---|---|
ne.jp | ネットワークサービス |
ac.jp | 大学・研究機関など |
ed.jp | 教育機関 |
gr.jp | 任意団体 |
go.jp | 政府機関 |
lg.jp | 地方公共団体 |
.jp | 汎用 |
他にもいくつかあるのですが、詳細はJPドメイン名の種類と対象をごらんください。
これを見ればわかるように、行政機関であればgo.jpかlg.jpのドメインを使うはずですし、URLを見せて政府機関だとわかるのはこのドメインだけです。
つまりgo.jpかlg.jpではない行政機関を名乗るメールはすべて詐欺と見なしてよい、ということがわかります。
ウェブサイトのアドレスがgo.jpドメインやlg.jpドメインなら、とりえあえずは安心できるでしょう。
ただし、go.jpやlg.jpを名乗っていても、それが「メールの送信元」である場合は信用してはいけません。なぜなら「メールの送信元」は簡単に詐称できてしまうからです。
ウィルスなどはコンピュータに感染すると、アドレス帳にあるメールアドレスを「送信元」にしてあちこちにメールを送信するものも珍しくありません。知ってる人からのメールだからといって安心しないようにしましょう。
文体がらしくないとか、URLしか書いてないとか、そういうメールは注意です。
というわけで、今回の「checkpc.jp」のような「汎用で誰でも取れる」ドメインで政府組織を名乗るというのは、まず間違いなく詐欺と考え、決してクリックしないというのが正しい行動です。
メールでURLが送られてきたときは、かならず「ドメイン」をチェックして、正しいドメインかどうか確認しましょう。
中には紛らわしい文字を使って本物に見せかけたドメインも存在しますので、よーく見て確認してくださいね。
それではみなさん、お気をつけてネットを楽しんでくださいね。
ところが……
というところで終りにしても良かったのですが、どうも調べてみるとこの「checkpc.jp」、本物らしいんですよね……
まともな知識があればまず間違いなく詐欺メールと断定していいはずのメールなのですが、日本の政府機関はそういった常識を突き破って斜め上を行ってるようです。
このcheckpc.jp、以前からあちこちで問題視されてるようなのですが、政府機関は耳を傾けてないのでしょうか?
えふめも掲示板上戸彩さんが可哀そうcheckpc.jp ですか…。
『怪しげな』サイトに日頃アクセスしないように気をつけているにも関わらず 怪しげなドメインをわざわざ取得している辺りが、センス皆無ですね。
経産省の www.meti.go.jp 以下でいいだろうに。
無駄な税金使ってるなぁ。
『インターネットの利用者がコンピューターウイルスへの感染や、詐欺事件に巻き込まれる危険性が高まっていることを受けて、経済産業省は16日から3月末まで・・』とのことですが、これで 『情報セキュリティー対策の重要性を訴える「CHECK PC!」キャンペーン』 だというなら経済産業省の担当官(商務情報政策局 情報セキュリティ政策室)はセキュリティを語る資格が無い。
(中略)
この新しいサイト www.checkpc.jp を信頼済みサイトに登録している国民は一人もいないだろう。
また、以前から何度か同じドメインで同じキャンペーンを繰りかえしてるようなのですが、キャンペーンの合い間に消えて別のサイトになったりもしていたようです。
セキュリティホールmemo - 2007.08ドメインをすぐ手放したのかと思いますが、経済産業省の2007キャンペーンということで、何人かに紹介したこともあり、ひどいなぁと思っています。
うわ、確かに消えてますね。
確かにひどいですね、これは……
仮にもセキュリティ対策を呼び掛けるキャンペーンのサイトがまず信用ならない状況下で公開されてるというのは、いくらなんでもひどすぎです。
また、実際に最近政府関係者を名乗ったなりすましメールが横行しているようです。
政府利用のドメイン、「.go.jp」に統一する理由本コラムでも取り上げたことがあるように、昨年秋には福田首相を騙る「なりすましメール」が出回ったため、過剰反応した福田首相は、自身のホームページを閉鎖してしまった。
2006年5月には、自衛隊と防衛庁(当時)長官を騙る「なりすましメール」が出回る騒動も起きている。メールは中国のサーバーを経由しており、不審な添付ファイルを実行させることを目的としていたという。
このコラムでも書かれてるように、今後は「go.jp」ドメインで統一してくれるようですね。
今回のキャンペーンはひどくガッカリではあるのですが、今後に期待するとしましょう。
とりあえず、経済産業省のページの一部にcheckpc.jpへのリンクを張って、そのページをメールで紹介するようにしたらどうでしょうか? > checkpc.jp運営の方
ソフトバンククリエイティブ (2003/06/21)
売り上げランキング: 163608
ソーシャルエンジニアリングとは「詐欺」のこと
必読書