トピックス 2020.11.27 本物そっくりの偽サイトからログイン情報を盗み取る方法 〜対策編〜

フィッシング詐欺に対しては、サイト自体を偽物と判別することも大事ですが、それ以上にサイトを開く前に今開こうとしているサイトが安全なのかを確認することが重要になります。

今回の記事では、フィッシング詐欺の被害に遭わないためのポイントをいくつかご紹介しますので参考にしてみてください。

フィッシング詐欺は多くの場合メールが利用されますが、最近ではスマートフォンのメッセージ機能やSNSのメッセージ機能を悪用するケースが確認されています。

いずれの場合も気を付けるポイントは大きく変わりませんので基本的なポイントを改めて確認しておきましょう。

ログインや利用情報の更新を求めるメッセージが届いた場合、まずは宛先や件名、本文にある自分の氏名や会員番号などが正しいものか確認しましょう。

これらの記載が無かったり誤っていたりする場合には、無差別に送られてきたメールの可能性があります。

メールなどの「送信者」の表示も確認することである程度メールの信頼性をチェックするために役立ちます。

過去に連絡を受けたことのある相手なのか、送信者情報に不審な点が無いか最低限確認するようにしましょう。

　パスワードの変更やユーザー情報の再設定を依頼する連絡が届いた場合は、送られてきたリンクは利用せずに、公式ウェブサイトなどを自分で確認し、同じ情報が掲載されているか確認しましょう。また、実際にフィッシングを意図した内容である場合はフィッシング対策協議会などで注意が行われている場合があります。

●フィッシング対策協議会
https://www.antiphishing.jp/

数年前は日本語のフィッシングメールは少なく、確認されてもひどい日本語で、すぐに怪しいと気づくことができました。しかし、最近は日本語が上手になり、かなり違和感がなくなっています。それでも全体で見ると文章のつながりがおかしい部分があるので、そのような場合はフィッシングを疑いましょう。

フィッシングはメールやメッセージもそうですが、無料のWi-Fi利用する際にも注意が必要です。

Wi-Fiルーターが攻撃者に乗っ取られてしまっていたり、攻撃者によって用意されている偽のアクセスポイントに接続してしまうと、偽のログイン画面を表示することができたり通信の中身を簡単に盗聴されてしまいます。

また、ブックマークなどから正しいURLを入力していたとしても、攻撃者が遷移先を書き換えて偽のWebサイトへ誘導するといったことも可能になるため提供者が不明なWi-Fiのアクセスポイントは利用しないなどの注意が必要です。

人的ミスを根本的に無くすためには、技術的な対策を行う以外に3つのアプローチが必要となります。

今回ご紹介したようにフィッシング詐欺を行う攻撃者は、専門的な知識があれば比較的容易に攻撃を行うことができるという理由もあり、被害がなかなか減っていません。

フィッシング詐欺を防ぐ上でも、システムで守れる部分よりも人が自分で判断するしかない部分が大きいのも特徴です。

そのため、私たち一人ひとりが攻撃者の手法を理解したうえで普段からインターネットを利用することが一層重要になります。

【関連リンク】

・本物そっくりの偽サイトからログイン情報を盗み取る方法 〜導入編〜
https://securitynews.so-net.ne.jp/topics/sec_20100.html

・本物そっくりの偽サイトからログイン情報を盗み取る方法 〜実践編〜
https://securitynews.so-net.ne.jp/topics/sec_20101.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock