これで騙されない! 今すぐできるフィッシング詐欺対策
フィッシング詐欺と見ただけでわかるメールやサイトであればカンタンなのですが、実際にそうとは限りません。ここでは騙されないために覚えておきたいいくつかの対策ポイントを説明します。
フィッシング詐欺に関する基本的な知識を持ち、被害に遭わないよう注意する必要があることを知っている。でも具体的にどのように対策をすればよいか情報をお探しではありませんか?
ご存じの通り、近年のフィッシング詐欺は被害者になりうるターゲットへの接触方法、情報を入力してもらうための偽サイト、全てが巧妙であり、偽サイトは本物と区別をつけるのが非常に困難なレベルにまでなっています。また、フィッシング詐欺の脅威はWindowsユーザーだけのものではないためMacユーザーもAndroid/iOSを使用するスマートフォンユーザーも同様に注意する必要があります。
では、何に気をつければ、そしてどのようにすればフィッシング詐欺に騙されないように対策できるのでしょうか?今からできるフィッシング対策を説明します。
対策の前にフィッシング詐欺全般についての情報が必要な方は以下の記事を先にご覧ください。
フィッシング詐欺とは? | 被害・実例・対策 404
1. メール・SNSで気をつけるべき5つのポイント
フィッシングの手法を使う攻撃者はメールや SNS などを使用して何かしらの形で標的に接触をしなければなりません。その目的は個人情報を入力してもらう偽サイトに標的を騙して誘導するという最初のハードルを越えるためです。ここでは、その最初の段階で簡単に騙されないように気をつけるべきポイントを説明します。
1-1. メールアドレスが本物かどうか確認する
初歩的な部分ですが、メールアドレスが信用できるドメインのものかどうかを確認してください。以下は誰もが知っている都市銀行を名乗るフィッシングメールですが、メール送信元が海外かつフリーのメールアドレスであるyahoo.com.tw となっています。このようなメールアドレスが違うメールは100%偽物と考えて良いでしょう。
ただ、メールの送信元情報は簡単に偽装できる情報なので注意が必要です。また、メールアドレスのスペルを入れ替えるなどして、誤認を狙う紛らわしいメールアドレスが使用されることもあるので注意が必要です。
1-2. メール内容に個人情報やパスワードの入力を求める記述があれば注意!
攻撃者は標的の情報を入力してもらわなければなりません。上記にある実際のフィッシングメールも「登録」という名目を使用しています。実際にはサイトにアクセス後、攻撃者が要求する情報を入力することになります。
また、HTML メールで直接 ID やパスワードを入力する欄が設けられているものもありますが、通常メールから直接ログインするケースはほぼありません。
このようにメールのリンク先、メール内で情報の入力を促すものは注意が必要です。
1-3. メール本文にあるリンクが本物かチェックする
多くのメールの中にはURLの表記がありますが、HTMLメールの場合は表示上のURLと実際のリンク先のURLを簡単に変えることができます。マウスカーソルをURLの上にもってくると実際のURLが表示されるので(Gmailなどはブラウザの下部に表示)実際のURLを確認するようにしてください。
スマートフォンの場合は、メールに記載されているURLなどのリンクを長押しすることによってアクセスしようとしている実際のURLを確認することができます。
1-4. メールに電子署名が付いているか確認する
攻撃者が送信者情報を偽ってメールした場合、またメールが送信途中で攻撃者によって改ざんされた場合、その内容の次第によっては本物かどうかを見分けることは非常に困難です。このような際に有効なのがメールの電子署名(デジタル署名)です。この電子署名をメールに付与することによって送信途中に改ざんされた時に署名が変化し、メール受信の際に警告が出ます。また、通常フィッシングメールに電子署名はありません。
特に金融機関ではメール配信に電子署名を用いるケースが多いので、電子署名の無いメールの中にあるリンクをクリックする際は注意が必要です。(注意: 携帯メールやWebメールなどでS/MIMEに対応していないメールソフトでは署名検証ができません)
電子署名付きのメールは受信の際に署名付きメールであるマークがつきます。
また、メール本文にも署名付きであることを示すマークがつきます。この署名付きマークがあるメールは内容が改ざんされている可能性はないので、信用できるものとみなせます。
マークをクリックすると電子署名の詳細情報が表示されます。署名者や差出人を確認するとさらに安全性が高まります。
なお、電子署名は有効期限が定められています。有効期限が切れているものに関しては信用できないものもあるので注意が必要です。有効期限が切れたメールはマークが変わり、本文の上に注意を促す赤いラインが表示されます。
1-5. SNSで有名人、知人、友人からの書き込み、メッセージに不審な点がないか疑ってみる
TwitterやFacebookなどのSNSは予め知っている人が登録されているケースが大半だと思われます。信用できる人からの投稿やメッセージはつい注意もおろそかになってしまいます。しかし、その登録されている友人がアカウントを乗っ取られているかもしれません。
信用できる人からのメッセージであっても本文の無い添付だけのメール、URLが記述されたメールやSNS経由のメッセージは十分に注意すべきです。
2. サイトで気をつけるべき3つのポイント
あなたがもしこの情報を必要とする時が来たのであれば、攻撃者は既に「標的を偽サイトに誘導する」という最初のハードルを超えているということになります。攻撃者の次の目的は必要な情報を標的に入力させ送信させることにあります。この最後のハードルを越えられるとあなたは被害者となります。ここでは被害者にならないよう気をつけるべきポイントを説明します。
2-1. URLが本物かどうか確認する
初歩的な部分ですが、まずはブラウザのアドレスバーに表示されているURLを確認してください。そもそもアドレスバーが無い、誰もが知っている銀行名のサイトなのにURLのドメイン名が明らかに違う、IPアドレス(192.168.1.255 といった数字)が表示されている場合はかなり危険だと思われます。
2-2. SSLサーバー証明書が導入されているかアドレスバーをチェックしてみる
URLが本物のように見えても単なる見間違え、または巧みな偽装かもしれません。そういったときに本物のサイトかどうか判断の頼りになるのが通信情報の暗号化とサイトを運営する会社の身元を確認することができるSSLサーバー証明書です。
SSLサーバー証明書が導入されている場合は以下のように”https”の表記と鍵のマークがアドレスバーに表示されます。サーバー証明書の種類によっては緑色のアドレスバーに「組織名」も入れることができます。この組織名は他の団体や個人がブラウザのアドレスバーに表示させることができないため、本物のサイトであることを証明しています。(以下は Google Chromeの場合。ブラウザによって表示は多少異なります)
逆に、攻撃者は身元を偽らなければならないため、正規の証明書を入手することはできません。
また通信の暗号化を示す “https” 表示が無い場合は、仮にフィッシングサイトでなくとも、個人情報やクレジットカード番号などの大切な情報を入力することは止めるべきです。
2-3. ポップアップウィンドウでID/パスワードの入力を求められたら要注意!
IDやパスワードを入力するのは必ずしもWebページである必要はありません。情報入力用のポップアップウィンドウを表示してそこに情報を入力してもらっても、攻撃者としては目的を達成することができます。ただ突然IDとパスワードを入力するようにポップアップウィンドウを表示しても怪しいので本物の公式サイトをバックにしてポップアップウィンドウを表示します。
これならば正規のサイトにSSL証明書も入っているので、より本物に見えるかもしれません。このようなポップアップウィンドウでの情報入力も注意が必要です。
(以下の画面はポップアップウィンドウの例であって、本物ではありません)
3. セキュリティソフトを導入
フィッシング詐欺に遭わないために自分でできることをそれぞれの場面に応じてメール・SNS、サイトと説明しましたが、これらのチェックを自動的に行うのがセキュリティソフトの役割の一つです。セキュリティソフトを入れたら100%安心というわけではありませんが、通常なら騙されてしまうような偽メールやサイトを検知してアクセスを遮断します。
もちろん、セキュリティソフトを導入したからといって対策の知識が必要無いというわけではありません。知識を持った上でセキュリティソフトを使用することがフィッシング詐欺に騙される可能性を大きく下げます。また、マルウェアとの複合型など、進化を続けるフィッシング詐欺に対し常に各種ソフトウェアを最新に保つことも忘れてはなりません。
3-1. セキュリティソフトで守ることができる部分
セキュリティソフトでは以下のような機能でフィッシング詐欺を防ぎます。
- スパムメール・フィッシングメールの検知
メールのフィルタリング機能により、スパムメールやフィッシグメールを検知します。検知したメールを受信箱に入れないような設定を行うことにより、読む必要が無いメールを見る機会そのものを減らします。
- SNS上で表示される危険なリンクを確認
FacebookなどのSNSで投稿されるリンクに危険がないかスキャンします。危険なリンクがあった場合はユーザーに知らせ、リンクをクリックすることを防ぎます。(一部のセキュリティソフトのみ)
- フィッシング詐欺ページのアクセスを遮断
アクセス時に警告を出し、フィッシング詐欺の疑いがあるページへのアクセスを遮断します。各種Webブラウザにも同様の機能が搭載されています。
また、フィッシング詐欺の手順の中には含まれないものの、セキュリティソフトには検索エンジンの検索結果に出てくるリンクが安全かどうか確認・表示する機能があります。(セーフサーチ機能) このような機能を用いて偽サイトを判別することもできます。
3-2. フィッシング対策機能がある主なセキュリティソフト
上記のようなフィッシング詐欺対策機能を持つセキュリティソフトは基本的に有料のもののみになります。無料版のセキュリティソフトは有料版にアップグレードすることによってフィッシング対策機能が追加されるものがあります。 以下、これらの機能を持つ代表的なセキュリティソフトです。
セキュリティソフト名 | 体験版日数 |
---|---|
ノートン 360 | 30日間 |
カスペルスキー セキュリティ | 30日間 |
マカフィー トータルプロテクション | 30日間 |
ウイルスバスター クラウド | 30日間 |
4. まとめ
サイバー犯罪者、そしてフィッシング詐欺は進化しており、場合によっては電話でメールのリンククリックを指示するなど、コンピュータ以外の連絡手段を介して行われるものもあります。また、マルウェアとの複合型も報告されています。
ただ、フィッシング攻撃者はあなたの個人情報を入手するために原則として「偽サイトに誘導」「偽サイトで情報を入力」という2つの大きなハードルをクリアしなければなりません。その2つのハードルをさらに高くするための対策情報は既にご覧の通りです。
この対策情報があなたのネットライフをより安全なものにすることを願っています。
※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。
その他の情報
ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。