無料会員登録
「フィッシング詐欺」が急激に増加しているようです。このサイトを見ている方は、セキュリティ意識が高い方が多いと思われますが、だからこそ一般の方の感覚とズレている可能性もあります。
今回は、一般の方がフィッシング詐欺に騙されないようにするにはどうすれば良いのか、考えて行きたいと思います。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
“自称”専門家のフィッシング対策に注意
今回この記事を書こうと思ったのは、SNSのプチ炎上が切っ掛けでした。気象庁を真似たフィッシングサイトの話題が出た際に、東大准教授の肩書の方がAbemaTVで「https:であれば90%安全」という発言をしたのです。
これにセキュリティエンジニアたちが危機感を持ちました。今やフィッシングサイトでもSSLを使っているのは常識です。正しい情報を草の根で発信していかないと、自称専門家のトンデモ説が独り歩きしかねない、と。
“正しいフィッシング対策”とは?
そして、本当の専門家たちが説明を始めて行ったのですが、その内容も問題がありました。いえ、説明は正しいのです。
- ドメインの正当性を確認する
- WHOISを見てみる
このような説明が出てくるんですね。これらはもちろん正しいのですが、”フィッシング詐欺に騙される人がそこまで理解しようとするか”が問題なんです。
技術的に正しくても一般人には届かない
ドメインに注目するにしても一般人が「https://www.google.com」と「https://www. goog1e.com」をパッと見て区別をつけて怪しいと思えるか、という話です。
一般人に理解してもらうには、技術的な正しさを説明してもなかなか届きません。”感覚的に納得してもらうこと”が必要になります。だからこそ「https:なら90%安全」発言は危険なのです。「これならオレにも判別できる」となりますから。
見分けることを諦める
一般の方に私が勧めるとしたら「見分けることを諦める」ことです。最初からフィッシング詐欺だとの前提で”SMSやメールのリンクは押さない”、これに尽きます。
「本当の通知だったらどうするんだ」という話に当然なりますね。その場合は”現実世界で”確認すれば良いのです。銀行であれば、近くの支店に確認する。通販であればリンクから飛ばずに、ブックマークか検索サイトで正しいサイトに行ってから、電話番号を確認して電話を架ける。
バーチャルのことをバーチャルの中で確認しようとするから、見分け方が難しくなるんです。バーチャルの世界でそっくりなサイトを作れても、現実世界まで住所・電話番号が同じ「ニセの会社」を用意することはできません。
最後に
フィッシングサイトに騙されないよう、一般の方に推奨するなら、
- SMSやメールのリンクを押さない
- 確認が必要なら、webでなく現実世界で確認する
これでかなり危険は避けられると思います。
Web上で完結しなければ、フィッシング詐欺に騙される確率はかなり減ります。生兵法は大怪我のもと、とも言います。無理に見分けようとしないで、安全な道を行きましょう。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
3Dセキュア(本人認証サービス)とは?仕組みやメリット、注意点など徹底解説
カミンスキー攻撃とは?その概要と対策方法まとめ
欺瞞的フィッシング(Deceptive Phishing)とは?もっとも多用されるフィッシング手段について解説
エターナルブルーとは?脆弱性を悪用する仕組みや対策について徹底解説
マイナンバーの漏洩で起こる3つの影響とは
個人情報の廃棄・削除方法とは?注意点や委託時のポイントについて徹底解説
三菱東京UFJ銀行から流出した振込情報、架空請求詐欺に悪用
ビッシング・リバースビッシングとは?仕組みや危険性、対策方法について徹底解説
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
