この考え方は、一部地方銀行を除く他の銀行にも適用できるのですが、なかなか広まってくれないので再度書いてみたいと思います。ただ、以前とは一部表現が異なります。それは、ウイルスが巧妙化してきた影響によるものであって、考え方が以前と変わったわけではございません。

まずはメールの段階から見分ける方法を。

これが、偽物のメール。

MUFJ-Phish-1

これが、本物のメール。

MUFJ-Phish-2

一目瞭然なのは、電子署名が付いているかいないかです。内容に関しては、巧妙化すれば本物と遜色ないものが出来上がってくると思いますので、そこで見分けることは困難になるでしょう。でも、電子署名に関しては導入するための手続きによって偽物を排除できますので、電子署名の有無で偽物と本物を見分けることは十分可能です。

次に、ウェブサイトの段階で見分ける方法を。

これが、偽物のサイト。

MUFJ-Phish-3

これが、本物のサイト。

MUFJ-Phish-4

こちらは、アドレスバーに「緑色で社名が表示」されているかいないかで見分けが付きます。これはEV-SSLというサーバー証明書(サーバーが本物である、かつ、会社が実在している事を証明する)が導入されている場合、多くのブラウザで「緑色で社名表示がなされる」という機能を利用したものです。金融機関系サイトではEV-SSLを導入していないサイトの方がレアですので、ここで見分けが付きます。少なくとも、「緑色の社名表示」がないサイトは偽物であるという判断が付きます。

では、「緑色の社名表示」が出ていれば100%安全なのでしょうか?

以前は、確かにそう言っても差し支えなかったのですが、最近のウイルスは「緑色の社名表示」を出したままで情報を抜き取るよう巧妙になってきましたので、100%安全とは言えなくなってきてしまいました。ただ、「緑色の社名表示」が無い場合は「100%危険である」とは言えますので、ここの部分で見分ける方法が完全に無効になったわけではありません。表示されている銀行サイトが「偽物である」という判断には使えますので、覚えておいて損は無いでしょう。