フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?|サイバーセキュリティ.com

フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?



フィッシング詐欺」が急激に増加しているようです。このサイトを見ている方は、セキュリティ意識が高い方が多いと思われますが、だからこそ一般の方の感覚とズレている可能性もあります。

今回は、一般の方がフィッシング詐欺に騙されないようにするにはどうすれば良いのか、考えて行きたいと思います。

“自称”専門家のフィッシング対策に注意

今回この記事を書こうと思ったのは、SNSのプチ炎上が切っ掛けでした。気象庁を真似たフィッシングサイトの話題が出た際に、東大准教授の肩書の方がAbemaTVで「https:であれば90%安全」という発言をしたのです。

これにセキュリティエンジニアたちが危機感を持ちました。今やフィッシングサイトでもSSLを使っているのは常識です。正しい情報を草の根で発信していかないと、自称専門家のトンデモ説が独り歩きしかねない、と。

“正しいフィッシング対策”とは?

そして、本当の専門家たちが説明を始めて行ったのですが、その内容も問題がありました。いえ、説明は正しいのです。

  • ドメインの正当性を確認する
  • WHOISを見てみる

このような説明が出てくるんですね。これらはもちろん正しいのですが、”フィッシング詐欺に騙される人がそこまで理解しようとするか”が問題なんです。

技術的に正しくても一般人には届かない

ドメインに注目するにしても一般人が「https://www.google.com」と「https://www. goog1e.com」をパッと見て区別をつけて怪しいと思えるか、という話です。

一般人に理解してもらうには、技術的な正しさを説明してもなかなか届きません。”感覚的に納得してもらうこと”が必要になります。だからこそ「https:なら90%安全」発言は危険なのです。「これならオレにも判別できる」となりますから。

見分けることを諦める

一般の方に私が勧めるとしたら「見分けることを諦める」ことです。最初からフィッシング詐欺だとの前提で”SMSやメールのリンクは押さない”、これに尽きます。

「本当の通知だったらどうするんだ」という話に当然なりますね。その場合は”現実世界で”確認すれば良いのです。銀行であれば、近くの支店に確認する。通販であればリンクから飛ばずに、ブックマークか検索サイトで正しいサイトに行ってから、電話番号を確認して電話を架ける。

バーチャルのことをバーチャルの中で確認しようとするから、見分け方が難しくなるんです。バーチャルの世界でそっくりなサイトを作れても、現実世界まで住所・電話番号が同じ「ニセの会社」を用意することはできません。

最後に

フィッシングサイトに騙されないよう、一般の方に推奨するなら、

  • SMSやメールのリンクを押さない
  • 確認が必要なら、webでなく現実世界で確認する

これでかなり危険は避けられると思います。

Web上で完結しなければ、フィッシング詐欺に騙される確率はかなり減ります。生兵法は大怪我のもと、とも言います。無理に見分けようとしないで、安全な道を行きましょう。


SNSでもご購読できます。