巧妙化するフィッシング詐欺を防ぐためには2段階認証やID管理で対策を (2018/8/9 JIJICO)
セキュリティーソフトでは防げないフィッシング被害
最近のフィッシング詐欺の手口はかなり巧妙化しています。一見本物と思えるほど作り込まれた通販偽メールや、URLリンクの文字を微妙に変えて本物と錯誤させるフィッシングメール、ついには(安全性が高いはずの)SSLのフィッシングサイトまで出現しています。情報リテラシーが高い人でもまったく油断できない状況になっています。
それらの多くはセキュリティーソフトでは防ぐことがほとんどできず、一般のユーザーが見極めるのも至難の業。かといってリテラシーの向上に期待したくても一朝一夕でどうにかなる話ではありません。そこで、少しでも被害を回避する一般的な方法やサポート事例を基にした有効な対策を考えてみます。
2段階認証を有効にする
LINE等のSNSをはじめ、多くのWebサービスでは「2段階認証」を推奨しています。不正アクセス被害で最初のログインパスワードを突破されても、その先の重要プロセスへのアクセスに再度認証が必要となり、そこで食い止めて被害を防ぐというものです。
設定に多少面倒な面もありますが、利用中の各Webサービスに2段階認証を設定しておくことで、被害の未然防止策になります。
2段階認証の注意点…設定時の情報を忘れないように!
2段階認証で安全性はかなり高くなりますが、サポート事例でも問い合わせが多い問題点があります。それは、2段階認証に必要な設定時のメールアドレスや電話番号といった情報を失念したり、喪失・廃棄してしまうと認証ができなくなることです。「どうにかなりませんか?」という問い合わせは多いですが、ほとんどの場合どうにもなりません。
実際、「どうしても必要なのでどうにかしてください!」と懇願されることもあります。しかし、よく考えてみてください。これが簡単にどうにかなったとしたら2段階認証の意味は無く、それこそ大問題です。ですから、日頃から自身のIDの整理や管理を行い、特に2段階認証用のアドレス等は簡単に喪失しないものにしておく必要があります。
IDの管理だけで有効な防衛策にする
日頃からID管理がいかに重要か、2段階認証の例でもわかりますが、実はIDの管理でフィッシングメールをある程度判別することが可能です。
WebサービスなどのIDを目的別、サイト別などで分けてカテゴリ分けします。サービスそれぞれに違うメールアドレスを割り当てて設定します。面倒だという事で一つのメインアドレスをすべてのWebサービスID、認証メールなどに設定していると、本物から偽物まですべてのメールがそのアドレスにやってきますので判別が難しくなります。
それぞれのWebサービスに特定のアドレスを割り当てておけば、設定していないアドレスに届いたWebサービスを名乗るメールは明らかに偽物とわかります。要するに通販に使用しないアドレスに届く通販メールは偽物だと言えます。
例えば、通常のメインアドレスを「a」とし通販に一切使用せず、R社通販には「b」Y社通販には「c」というメールアドレスを設定します。もし、メインアドレス「a」にR社通販やY社通販からの請求メールが届いた場合、その通販会社から請求メールが本来届くことはありませんのですぐに偽物とわかります。
また、アドレス「b」にY社通販、 アドレス「c」にR社通販からの請求メールが届くことはありませんから判別可能になります。これで本当に判別が必要なフィッシングメールを絞り込むことができます。
もっとも、複数のIDの管理は、無理をすると複雑になり、かえって機能しませんから自分の管理可能な範囲で行ってください。
メール内容とWebサービス内の情報と照合する
メールやWebサイトの料金請求表示などに少しでも変だと感じたら、内容に騙されることなく慎重に取り扱います。各サイトのユーザー管理ページで、送られてきた内容と同じ情報掲載があるか照合しましょう。重要なお知らせの場合、管理ページでも「お知らせ」などで目立つ場所にわかりやすく表示されているはずです。
メールのような請求がユーザー管理ページに実際にないと確認できれば放置で良いですが、もし、本当に被害に遭っていた場合は直ちに警察はもちろん、関係各者へ連絡を行ってください。
- 著者プロフィール
-
古賀 竜一/インターネットコンサルタント
ハードウェアに強く、短時間で的確な対応とアドバイスを提供
ハードとソフトの的確な切り分け判断により、短時間で信頼性の高いサポートを提供。データ復旧から新規導入、設定、廃棄処理までオールインワンで煩わしいコンピューターの環境改善をお任せいただけます。
- 関連記事
- セキュリティ対策基礎の基礎!意外とやってない「2段階認証」とは?
- 「パスワードを変更しない習慣」は根付くか?
- 近年のフィッシング詐欺
- セキュリティーソフトは必要?ITリテラシーを高めることが最大のセキュリティ
- PCやスマホのデータなど死後「デジタル遺品」となるものの整理方法