フィッシング詐欺への対策

2022年4月5日

フィッシング詐欺

2022年も4月になりました。桜が良い季節ですね。

さて、これだけフィッシング詐欺が騒がれていて、警察もいろいろと情報を出しているにもかかわらず、まだまだフィッシング詐欺は山のようにあります。以下の引用によれば、フィッシング詐欺の件数自体はかなりの数が存在しており、増え続けているようです。

一方で、フィッシング対策協議会が公表している「フィッシングレポート」等によれば、スミッシングを含めた2021年中のフィッシング報告件数は52万6,504件で、2020年の22万4,676件と比較して2倍以上増加しています。

日本サイバー犯罪対策センター : https://www.jc3.or.jp/threats/topics/article-430.html

何にしても、フィッシング詐欺に引っかからないようにどう気をつけるか、どう対策していくかという点についてお話していこうかと思います。

おおよそ、10分で読み終わります。

フィッシングの入り口

現在では、大きく分けて2つの入り口があると考えられています。一つはメールでの誘導、もう一つはSMSでの誘導です。

まだまだみかけるSMS

まず、大手銀行やクレジットカード会社が、その通知でSMSを使用することはありません。携帯会社にしても、未払いなどがあった場合にSMSを利用して通知してくることはありません。また、ほとんどの運送会社もSMSを使うことはありません。まず、これは覚えておきましょう。
SMSでの通知は、99%以上が詐欺と思った上で接した方が無難です。というか、ほぼすべて詐欺だと思っていただいて差し支えありません。なぜなら、大手銀行、クレジットカード会社、携帯会社は、いずれも郵送にて何らかの通知を送ってくるからです。

増え続けるメール

一方メールからの誘導はどうでしょう。SMSと異なり、大手のクレジットカード会社や銀行は、その通知にメールを使うことがあるかと思います。たとえば、「不正ログインがありました」みたいな通知は、リアルタイム性が優先されるという側面もあり、メールでの通知があるかと思います。この段階では詐欺かどうかは判断できません。

判断できない場合は、まずはリンク先は確認しましょう。見た目のリンク先が正しいドメインかどうか、見た目とは別の本当のリンク先が正しいドメインかどうか。この確認は非常に重要です。
本来であれば、目に見えるリンク先(リンク先として文字で表示されているアドレス)と、本当のリンクの飛び先は同じなのですが、ご存じの通り簡単に偽装できます。本当のリンクの飛び先は、PCであればリンクの文字列にカーソルを乗せていると、ブラウザ左下に出てきますのでそれで確認してみてください。

リンク先が正しいドメインかどうかわからない場合は、その会社を検索して、ドメインが一致しているかどうか調べてみるだけでも未然に防ぐことができます。
例えば偽amazonから「アカウントをロックしました」と来ていたら、ブラウザのURL欄に直接amazon.co.jpを打ち込んで、ログインしてみましょう。正常にログインできるようなら、すでにそのメールは詐欺です。

ただし、そのメールがどこから送信されているのか、というのはあてになりません。なぜなら、メールのfromを偽装することは、非常に簡単だからです。これは、本当にあてになりません。見た目が普段使っている銀行だからといって、ホイホイリンクをクリックするのは、本当に危険です。まずはリンク先の確認をしましょう。

よく使われる短縮URL

そして、もう一つが「短縮URL」です。短縮URL自体は様々なサービスが存在しているため、一概には言えないのですが、よく見るのがbit.lyで始まるURLです。いずれにしても、大手銀行やクレジットカード会社が短縮URLを使用することはありませんので、ほぼほぼ詐欺と思っても良いでしょう。

これは元のURLを隠蔽し、見た目ではわからないようにできてしまうことが問題です。本来は、文字数制限のあるツイッターでURLを短縮するのが目的だったのですが、隠蔽して詐欺をする目的で使われることも多くなっています。

この短縮URLですが、リンクをクリックするまでリンク先がわからないと思っている方が大勢いらっしゃいます。たとえば、bit.lyであれば、簡単に元のURLを調べることができます。
bit.ly/3v7TxHJ
これは、ここのブログのトップページへのリンクです。正直見た目ではまったくわかりませんね。ですが…
bit.ly/3v7TxHJ+
のように、末尾に+をつけるだけで、元のURLを調べることができます。このリンクはどちらも安全なリンクですので、実際にクリックしてみて動きを見てみると良いかと思います。そして、元のURLを調べる方法は、知っていても損はしませんので、覚えておきましょう。

いずれにしても、知らない人から来たメールやSMSにある短縮URLは、間違ってもクリックしてはいけません。

余談ですが、詐欺メールに記載されている短縮URLを含むリンク先は、URLの末尾に「何か」を特定する一意の文字列が付与されていることが多いのです。多くは送信先(あなたの)メールアドレスを加工した文字列です。これが付与されているリンクをクリックしてしまうと、「このメールアドレスは使われている」ということと、「このメールアドレスを使っている人間は、リンクを容易にクリックする」ということが相手に通知されてしまい、ますますフィッシング詐欺のメールが送られてくることになります。

電話してください、ってあるけど

フィッシング詐欺にある電話番号。これもダメです。間違ってもかけないでください。100%違うところにつながります。googleなどで会社名を検索し、その会社の公式サイトにある電話番号に電話しましょう。この一手間で大事です。

メールを開いてしまったら

詐欺につながるメールを開いてしまった場合はどうしたらよいでしょうか。簡単です。焦ることなく、そしてリンクをクリックすることなく、そっとメールを閉じましょう。そして、迷惑メールボタンを押すなり、削除ボタンを押しましょう。これでOKです。

まれに、開封通知を要求されることがありますが、これも無視して送らないようにすればOKです。

フィッシングサイトの見た目

ちょっと話がそれますが、フィッシングサイトの見た目はどうなっているでしょうか。

以前は、片言で怪しい日本語が多かった印象ですが、今は違います。企業のロゴはもちろん、ぱっと見では見分けがつかないくらい上手に作られています。まぁ、CSSは公開されているので、まねることは難しいことではないので、上手に作られているというのが語弊がありますね。

これはもう、URLが正しいかどうかを見て確かめるくらいしか判断基準がありません。なので、怪しいメールのリンクはクリックしないことが大事なのです。本当にぱっと見では見分けられません。

ブラウザをうまく使おう

Google社が提供しているブラウザである、chrome。これには実に様々なフィッシング詐欺への対策が盛り込まれています(Googleアカウントでログインしていることが前提です)。以下のように上手に使いましょう。

覚えられるパスワードはその時点でダメ

パスワード、覚えられるように簡単にしていませんか? 同じパスワードをいろんなサイトで使い回していませんか? chromeなら、安全なパスワードを自動で生成してくれて、IDとセットでchromeが勝手に保存してくれます。もうパスワードを自分で作る必要も、覚える必要もないのです。ログインが必要になったら、chromeが自動でIDとパスワードを入力してくれます。打ち込む必要もないのです。

なぜ覚えられるパスワードはその時点でダメなのでしょうか。答えは、「簡単にパスワードが推測できてしまうから」です。その人の好きな物や住んでる場所、生年月日や電話番号や車のナンバーなど、推測されやすい、または覚えられるものはすでに脆弱です。パスワードはchromeに生成させるか、パスワード生成サイトを使って規則性のない文字列を生成しましょう。文字数は、パスワードの限界文字数を指定しましょう。

閑話休題。実はこのパスワード保存機能ですが、詐欺を未然に防ぐという側面で本当に非常に役に立つのです。

なぜなら、「IDとパスワードを保存したドメインが一致している、画面上でIDとパスワードの入力を要求されている」の2点(実際にはもっと複雑な条件がありますが、この機能を使う分にはこの2点と思っていて差し支えありません)がそろったときに、保存しているIDとパスワードを自動で入力してくれます。

つまり、たとえフィッシング詐欺メールのリンクをクリックしてしまっても、IDとパスワードが自動入力されなかった時点で、「公式サイトとは違うのでは?」と怪しむことができるのです。そして、パスワードを覚えていないはずなので、入力することもできないのです。ほら、便利でしょ。

gmailもうまく使おう

Google社が提供しているgmail、これもいろんな側面からのフィッシング詐欺対策が行われています。過去にフィッシング詐欺に使用されていると判断されるメールは、自動で迷惑メールフォルダに振り分けられます。また、そのようなメールを開いた場合、

gmail赤い帯
フィッシング詐欺のメールに表示される真っ赤な警告

のように、メール上部にかなりきつい警告が表示されます。これが表示されたメールは、もう99%どころか120%くらいの確率でフィッシング詐欺です。gmailの素晴らしいところは、この警告が出たメールは、画像とリンクを排除してメールを見せてくれる点です。誤解を恐れずに言えば、リンクが存在しないので、開けるだけなら大丈夫なのです。

アンチウイルスについて

世の中には、様々なアンチウイルスが存在しています。そして、残念ながらそのすべてが安全だとは言えません。特に無料で使えるようなアンチウイルスは、それ自体がウイルスであることも大いにあります。

世間一般で評価が高いアンチウイルスは、国内ではcanonが販売代理店をやっているESETです。動作が軽く、1アカウントでPCやスマホなど5台まで使えます。もちろん常時監視してくれて、日に2-3回ほど更新がかかるほど頻繁にアップデートされ続けています。個人的にオススメです。

まとめると

  • 前提として、chromeはgoogleアカウントでログインした状態で使いましょう
  • その上で、chromeのパスワード保存機能は、積極的に使いましょう
  • 大手銀行やクレジットカード会社がSMSを使って通知してくることはありません
  • メールにあるリンクには十分注意しましょう
  • メールにある電話番号には電話しないで、公式サイトを調べて電話しましょう
  • SMSやメールを鵜呑みにするのはやめましょう
  • アンチウイルスは、常に最新に更新した状態で使おう

そして、chromeをgoogleアカウントででログインして使用する場合で、何よりも大事なのが、

googleアカウントは2要素認証をしましょう

という点です。自分の場合は、google社が提供しているアプリを使用して、ワンタイムパスワードを入力しないとログインすることができないようにしています。これも大事なことです。なぜなら、googleアカウントを突破されてしまうと、すべてのパスワードが流出してしまうことになるからです。これは絶対に避けなければなりません。

googleアカウントは、2要素認証(「ID・パスワードのセット」と、「SMSやメール、アプリ、生体認証など」その他のデバイスや人体などを利用した認証)を使えば、簡単に突破できる物ではありません。

特に、Webを利用するにあたり、自分の身を守るのは自分の行動のみです。くれぐれもお気をつけ下さい。