フィッシング
ITセキュリティの話の中で、「フィッシング」(Phishing)という言葉がよく出てきます。よく考えてみると、オンラインでのフィッシングは、実際の釣り(Fishing=フィッシング)とそんなに違いはありません。大きな違いは、オンラインの釣り人は犯罪者であるということ。こういった詐欺師が狙う獲物は、趣味で釣る鯛やカレイではなく、個人情報や銀行の認証情報などです。
フィッシングとは、一般的に、偽物のサイトに誘導してパスワードやIDを入力させ、入力されたデータを盗み取るという一種の詐欺です。フィッシング攻撃に対する有効な策は、残念ながら、エンドユーザー側で厳しすぎるほど厳重に警戒することしかありません。この脅威は、言ってみればインフルエンザのようなもので、攻撃方法を変えながら進化し続けています。フィッシング作戦は、特定の組織の社員や自宅で留守番をしている母親などの個人を狙って展開されることもあります。
「引っかかり方」もさまざまです。無料Wi-Fiにアクセスする、偽のWebサイトにログインする、年末年始の特別セールをほのめかす「魅力的な」ディスカウントメールのリンクをクリックするなど、枚挙にいとまがありません。
つまり、引っかかるのは簡単なのです。では、いったいどうすれば自分の身を守れるのでしょう?
- 自分が開こうとしているリンクを必ずチェックする。スペルが怪しいなと思ったら、そのスペルで本当に合っているかどうか、念のために再確認してください。詐欺師が偽のページに連れて行こうとしているのかもしれません。
- ユーザー名やパスワードは、接続が保護されている場合だけ入力する。接続が保護されているかどうかを見分けるポイントは、URLの冒頭部分が「http」ではなく「https」であることです。「https」の「s」は「secure」(安全)の「s」、と覚えましょう。
- 親友から来たメッセージやメールであっても、友だち自身が騙されている可能性や、友達のアカウントがハッキングされている可能性があることを覚えておく。どのような場合でも油断は禁物です。
- 銀行や税務署、オンラインショップ、旅行会社、航空会社など、世間に名の知れた組織からのメールでも、話は同じです。自分の勤務先からでも安心しないでください。本物のように見える偽メールをでっちあげるのは、それほど難しいことではありません。
- 偽メールや偽Webサイトは、本物そっくりで見分けがつかないこともあります。しかし、ハイパーリンクには、不審な点が残っていることが多々あります。スペルミスがあったり、クリックしたとき実際に表示されるのは別のWebサイトだったりします。メールやWebサイトの真偽を判断するには、そのあたりにも注意してみてください。
- このようなメールに記載されているリンクは一切クリックしない。代わりにブラウザーを開き、銀行やオンラインショップのURLを自分の手で入力しましょう。
ゲームをする人が、狙われています。オンラインゲーマーをターゲットとするランサムウェア「TeslaCrypt」が現れました。 https://t.co/AgTBB6SCkQ pic.twitter.com/KfaAKOgxeV
— カスペルスキー 公式 (@kaspersky_japan) March 26, 2015
- 敵のフィッシング作戦を見破ったら、しかるべきところへ報告する。たとえば、それが銀行からのメールを装ったものであれば銀行へ、SNSのユーザーから悪意あるリンクが送られてきたのであればSNSのサポートデスクへ、不審なメールやメッセージがあったことを連絡してください。犯罪者を捕まえるのに有力な情報となり得ますから。
- カフェや公共の場所にある公衆Wi-Fiネットワークからは、オンラインバンキングなどのサービスにできるかぎりログインしない。ログインするなら、モバイル接続を使用するようにしましょう。というのは、接続しようとしているWi-Fiネットワークが詐欺師の作った偽ネットワークかもしれないからです。そんなネットワークに接続すると、偽装Webアドレスを通じて偽サイトにリダイレクトされてしまいます。
- MMORPG(大規模多人数同時参加型オンラインRPG)の味方が送ってきたファイルも要注意。悪意あるランサムウェアやスパイウェアの可能性があります。メッセージやメールの添付ファイルと同じです。油断大敵!
- セキュリティ製品をインストールして、製品によって表示される警告や推奨事項に従う。たとえばカスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、問題の大半を自動的に解決しますし、必要に応じて警告を表示します。
ヒント