Facebookアカウントをフィッシング攻撃から守る7つの対策

2015年4月8日

フィッシングは個人情報を狙った攻撃の一種で、偽のメールまたはWebサイトといった手口が使われます。一見、本物のように見えますが、実はそうではありません。

bait

たとえば、内容から見た目まで何もかも、よくあるFacebookのメッセージにそっくりのメールが届くかもしれません。唯一異なるのは、パスワードのリセットを求める内容であってログイン用のリンクまで用意されていることです。このリンクをクリックすると、FacebookそっくりのWebページが表示されますが、これも偽物。ここでログインIDとパスワードを入力すればフィッシング攻撃は成功です。

facebook-phishing-example-en

フィッシングは、ユーザーの信頼につけこむ詐欺。わかりやすいのは、Facebookの例でしょう。どこからでも使えるこのSNSプラットフォームは、近年、フィッシングの道具として使われることが増えています。詐欺師はFacebookの人気と個人情報を失うことに対する人々の恐怖につけこみ、さもFacebookが発信したかのような偽メールでパスワードのリセットを促し、データを奪います。なんとも皮肉なことです。

個人情報の入力を求めるメールが届いても、その指示に従ってはいけない

もちろん、Facebookを騙るメールだけがフィッシングの手口ではありません。大手銀行やクレジットカード会社のメールにそっくりな偽装メッセージを送信し、あわよくば個人の金融情報やオンラインアカウントを入手しようと企む者もいます。どのWebサービスを騙るものであれ、フィッシング攻撃の目的はただ1つ – 有名企業や組織に対する信頼感を悪用してユーザー名、メールアドレス、パスワード、暗証番号を手に入れることです。

フィッシングに引っかからないための対策は、いくつかあります。どの対策にも共通するのは、オンラインで個人情報の入力を求められたら、まずフィッシングを疑ってみるということです。

  1. 個人情報の入力を求めるメールが届いても、その指示に従ってはいけません。
  2. 個人情報を入力するのは、安全で保護されたWebサイトだけにしてください。URLが「https://」で始まっていて、インターネットブラウザーのアドレスバーに錠前のアイコンが表示されていれば、そのWebサイトは安全です。錠前のアイコンをクリックすると、そのサイトのセキュリティ証明書が表示されます。
  3. 個人情報を要求するメールが届いたら、詐欺メールとわかる特徴がないか確認しましょう。誤字脱字が見つかったら、まず間違いないと思ってください。データを入力するWebページのリンクが、思っていたサイトのURLと異なる場合は、確実にフィッシング攻撃です。
  4. 個人情報入力用のリンクはクリックしないでください。代わりに、このURLを手動でブラウザーに入力し、問題のサイトへ直接アクセスしてみましょう。
  5. 使用しているコンピューターのアンチウイルス製品にフィッシング詐欺対策機能が備わっていることを確認してください。
  6. コンピューターのWebブラウザー、アンチウイルスなど、あらゆるソフトウェアを常にアップデートし、最新のセキュリティパッチが適用された最新バージョンを維持するようにしてください。
  7. 怪しいメッセージを受け取ったら、すぐに該当する銀行やSNS運営会社に連絡してください。