2021年3月18日
2021年3月18日
2021年3月18日(木)
フィッシング詐欺被害を減らすたった2つの方法
フィッシングハンター にゃん☆たく
私は主にツイッター上で「にゃん☆たく」というハンドルネームでセキュリティ情報の収集や発信を行っているセキュリティツイッタラーです。また「にゃん☆たくのひとりごと」というブログでは毎月、前月どんなセキュリティニュースや脆弱性が話題になったのかをまとめて公開しています。
私たちは普段から、標的型攻撃、ツールのぜい弱性を突いた攻撃、フィッシング詐欺、ビジネスメール詐欺、内部不正、フェイクニュースやデマなど、様々な脅威にさらされています。多くの脅威は技術の力で対策することが可能になってきていますので、普段使用しているツールやセキュリティソフトは最新のものにアップデートしておくようにしておきましょう。
このコラムを読んでくださっている皆様にもメールやSMSなどで実際に存在する企業や組織を騙ったフィッシングメールやフィッシングSMSを受信された経験のある方もいらっしゃるのではないでしょうか。少し前までは、フィッシングメールの文面やフィッシングサイト上で本物か偽物かを判断できる要素(例えば誤字や誤植、URLがおかしいなど)があったのですが、最近はパッと見ただけは見分けられない巧妙なものが増えています。
例えば、
・本物のドメインと偽物のドメインがそっくりである(「m」と「n」の違い、「l」と「i」の違いなど)
・フィッシングサイトのほとんどが「https」化されている
・トップレベルドメインが「.jp」などのフィッシングサイトが存在する
などがあげられます。
こういったフィッシングサイトやフィッシングメールで被害を減らす方法について、フィッシングハンターの立場から2つ言いたいことがあります。
1つ目は、難しいときは「見分けようとしない!」ということです。
例えばウェブサービス会社からメールやSMSを受信した時に、本文に記載されたURLをクリックせず、いつもそのウェブサービスにアクセスする方法で確認しに行くことが大切です。特に内容に見覚えがない時や判断が難しい時は、その場で本物か偽物か見分けようとしないようにした方が安全です。そのためには、いつも使うウェブサービスのURLはブックマークに登録しておく、ウェブサービス公式のアプリがある場合は利用するなどの事前の準備を行っておく事が大切です。もちろん、基礎的な素養としてURLやドメインがどのようなものか知っておくことは重要です。
※例えばURLが「https:// www.example.co.jp/foo/bar. html」の場合ドメインは「example.co.jp」の部分のことです。
2つ目は、皆さん一人ひとりが1つ目で載せた対策を行い、かつ自分の周りの人たち(友人や家族など)にも対策方法を教えてあげる事です。フィッシング詐欺被害を減らすために各組織や団体、フィッシングハンターもホームページやSNSなどを用いて啓発活動は行っていますが、情報の届く範囲は限られています。情報の伝わる範囲を拡大させるためにも、ぜひ一人ひとりが知った情報を教えてあげるという連鎖が必要なのです。フィッシング詐欺被害ゼロを目指して取り組んでいきましょう!
ではでは!
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。