最近、SNS(特にFacebook)で見かけるようになったのですが、一般の方がフィッシングメールを受信した際に「注意喚起」の意味でスクリーンショットと共に投稿する事例が見受けられます。しかしながら、私共の立場からするとその注意喚起は不正確で、被害を拡大させる恐れがあるものなので心を痛めております。ちなみに、何故、Facebookで良く見かけるようになったのに対して、Twitterでさほど見かけないのかと言うと、Twitter界隈は多くのセキュリティ関係者が見ているから、不正確な投稿をすると「マサカリ」が飛んでくるからなのです。そんなTwitterに対して、Facebookは友達限定投稿が多いほかに、不正確さを指摘することが否定される文化であるという事が「不正確な注意喚起」が横行する原因になっているのでしょう。
さて、実際の投稿の一例を挙げてみます。
一生懸命、長文を書かれていますが要約すると以下のようになります。
- そもそも、そういう企業・役所はメールで連絡してこない
- 使われている漢字がおかしい(日本語ではない部分がある)
- リンクに書かれているドメインがおかしい
- 文章がおかしい
と言った感じでしょうか。以前は多く言われていたことですが、最近はそういう見分け方を主張する専門家は見かけません。なので、古い知識で「見破り方」を伝授しているという事になります。が、実際には
- そういう判断を一般の方が老若男女問わず出来るのか?
- そういう部分は日々アップデートされていき、おかしさが解消されていくものである
- 一般の方が老若男女問わず正しいドメインを理解しているのか?
- 文章も日々アップデートされていき、おかしさが解消されていくものである
なのです。だから、専門家は先のような指摘をしなくなったのです。
実際、最近のフィッシングメールは精巧になってきており、一般の方が見分けるのは難しくなってきているくらいに「自然な感じ」に仕上がっていますし、なんなら、専門家ですら一瞬「本物?」と思うような出来のフィッシングメールも届くようになってきています。もっと言えば、最近は逆に本物のメールがフィッシングメールに見えちゃうくらいに差違は少なくなってきています。良くないことではありますが、本物のメールがフィッシングメールに近づいてきている印象すらあります。
さて、ではどのように見分けたら良いのでしょうか?
私共の経験から2パターンあると考えています。いずれもリンクをクリックして判断するという感じになりますが、怪しいと思ったらリンクをクリックしないの原則は生きていますので、その上で誤ってリンクをクリックした際の対応となります。
- リンクをクリックして開かれたページで、いきなりログイン情報を除く個人情報を入力させる場合は「絶対に」入力しない
- リンクをクリックして開かれたページがログイン画面の場合、手入力でユーザー名やパスワードを入力しない
という感じです。
前者は、今までの長い期間インターネットを活用してきた経験から言うと、メールに記載されているリンクをクリックして「いきなり個人情報入力画面になることはありません」と言えます。稀にあるかもしれませんが、それはサイトの作りが悪いのであって正規のサイトであっても入力しないのが確実です。国税庁を装ったフィッシングの場合は支払方法選択画面になる場合もありますが、その時に個人商店でもないのに支払手段が1つしかないのは完全に偽サイトであると言っても過言ではないでしょう。
後者は、どうすれば良いの?って話だと思いますが、本メルマガでパスワードに関する題材を取り上げた時にも書きましたし、随所で指摘している話ではありますが「パスワード管理ツールを使え」という一択になります。ブラウザに覚えさせるのも可です。理由は簡単で、パスワード管理ツールはアカウント登録した際の「ドメイン」「ユーザー名」「パスワード」の3点をセットで覚えてくれ、その時に覚えられたドメインのログイン画面の時にはユーザー名とパスワードを自動的にセットしてくれます。だから、手入力しないといけないログイン画面は偽物であると判断できます。人間が見分けなくてもアプリが見分けてくれるという事です。楽ちんですね。
今のフィッシングメールは見分けるのが困難であるという前提の元に、専門家は日々研究をして対策を啓蒙しています。そういう努力を無にするような誤った情報の拡散は止めて頂きたいのと同時に、一般の方が流している情報には誤りがあるのであるという前提で対応して頂ければと思います。