フィッシング詐欺に騙されない4つのポイント
こんにちは。クレヨン・ネットワーク鈴木です。
最近またフィッシング詐欺が増えてきているようで、お客さんからの問い合わせも多くなってきました。
そこで、フィッシング詐欺にひっかからないためにどういった点に注意すればいいのか、もう一度考えてみたいと思います。
フィッシング詐欺とは?
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
総務省サイトより
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html
フィッシング詐欺はメールからリンクをクリックさせてニセのサイトに誘導しIDやパスワード、クレジットカード番号を盗む。という手法です。
ということは、これと逆のことをするように心がけると防ぐことができる!ということになります。ちょっと強引だけど(笑)
- メールをよく読む。たいてい日本語の使い方がおかしい。
- メールのリンクをクリックしない、ブックマーク(お気に入り)からアクセスする
- リンクをクリックした時にアドレスを確認する
- IDとパスワードは使いまわさない。でも覚えきれないのでソフトを使って管理する
1) メールをよく読む。たいてい日本語の使い方がおかしい。
フィッシング詐欺のメールはほとんどの場合、日本語がおかしいです。なので、落ち着いてよく読むと変だとわかることがほとんどなので、ちゃんと読むというのが最重要です。
例えば昔あったメールだと、銀行からのメールを装って「貴様の口座が危険な状態なのでパスワードを変更して下さい」のように極端な間違いが多かったのですが最近は日本人も仲間に加わっているのかずいぶん日本語も巧みになってきています。
しかしやはり所詮は犯罪者なので、そもそもの言葉遣いがおかしく、「ら抜き言葉」だったり「~してるので」など、まともな会社が公式のメールで使用するはずのない言葉づかいが多く使用されています。こういった言葉があった場合、フィッシング詐欺を疑いましょう。
ただ、たいていの文面がセキュリティに関する警告を装っているので、読んだ方もあわててしまって思わずクリックしてしまうということも多いようです。重要なメールだと感じたらまずは落ち着いてよく読んでみる。銀行や証券会社は電話での問い合わせができることも多いので、先方に電話で確認してみるなども有効な対策です。
2) メールのリンクをクリックしない、ブックマーク(お気に入り)からアクセスする
フィッシング詐欺にはほぼ100%リンクが記載されています。リンクをクリックしてサイトを開くだけなら問題ないことが多いのですが、一部にはサイトを開いた時点でウイルスのダウンロードなどをされることもあるようなので、やはりリンクをクリックしないことが一番確実です。
ではどうするかというと、自分のブックマーク(お気に入り)からアクセスするか、検索エンジンで検索してアクセスします。
セキュリティ関係の事案が発生しているような事態であれば自社のトップページに注意喚起やお知らせを載せていることが多いです。
なので、メールを見る→送信元の会社のWEBサイトにブックマークや検索サイトからいってみる→同じようなお知らせがWEBサイトに掲載されているか確認する。
こういった手順をとることも有効です。
要はオレオレ詐欺が来たら、自分の電話から息子にかけてみる。というようなことと同じです。
3)リンクをクリックした時にはアドレスを確認する
ではリンクをクリックしてしまった時にはどうすればいいでしょうか。
前の項目にも記載しましたが、ウイルスの配布が目的なら開いた時点で感染することもあるので、駆除等の対策に移ります。
しかし、フィッシング詐欺はIDなどを盗むのが目的なので、ウイルスの感染などをすることはほとんどありません。
セキュリティソフトに検知されてしまうと必要な情報が盗めなくなってしまうからです。
そのため、ほんものそっくりに見える偽サイトを表示させてID等の入力をさせようとしてきます。
その際に確認するのがURL(アドレス)です。そして2つのポイントがあります。
SSLの確認
IDやパスワードを入力するようなサイトの場合、SSLという暗号化された通信方法で通信することがほとんどです。見分け方はサイトのアドレスの先頭のhttp://~という部分がhttps://~というようにhttpsで始まっているかどうかです。
ドメインの確認
例えばちょいサポの場合choisapo.comという部分がドメインになります。ポイントは最後から確認すること。choisapo.com.co.jpみたいな紛らわしいアドレスだった場合、全く別のサイトになります。他にもo(オー)と0(ゼロ)などを変えていることもあります。
特にドメインは確実な証明になることが多いので注意して確認しましょう。
4)IDとパスワードは使いまわさない。でも覚えきれないのでソフトを使って管理する
IDとパスワードを盗む理由は、他のサイトや銀行などでも同じパスワードを使っている人が多いからです。
セキュリティの甘いサイトの登録情報からパスワードとIDを盗み、それを利用して銀行やクレジットカードを使用して金品を盗むということも有り得るので、IDやパスワードを使いまわさないということはとても大切です。
最近はスマホなどでも利用することが多いのでパスワードを覚えやすいものに統一したりしている人も多いかもしれませんが、フィッシング詐欺で自分のIDやパスワードが漏れても芋づる式に被害にあわないために、それぞれのサイトでのIDやパスワードを別々にしておくことが大切です。
その際に有用なのがパスワード管理ソフトです。
スマホのアプリやPC用のソフトなど色々ありますが、スマホのアプリはそれ自体がパスワードを盗むためのアプリだったりすることもあるので、私はPC用のソフトをオススメします。
また、クラウド対応などもありますが、パスワードを管理するという性格上、パソコンでだけ動くものの方が良いと思います。
私がオススメするのは、サイトー企画のパスワード総合管理というソフトです。
http://hide.maruo.co.jp/software/pwinte.html
IT業界では知らない人はいない秀丸エディタというソフトを昔から販売しているところなんですが、お値段も1,000円ぐらいで買い切りなので、毎月の利用料等は必要ありません。
気の利いた機能というのはありませんが、逆にシンプルで使いやすいと思います。IDが5件までは無料で使用できますので、試してみてはいかがでしょうか?
最後に
フィッシング詐欺などの被害にあうと金品を奪われたりする害はもちろんですが、自分の大切な情報や領域を侵されるという精神的なダメージも大きいと思います。
上記の注意点をクセづけて、くれぐれも被害に合わないようにしたいですね。
PR ベクターのセキュリティ対策ソフト特集ページです