やらないことを探し、フィッシング詐欺(偽サイト)対策

セキュリティの心得

重要なのは、「機能に任せつつそれだけではフォローできない部分を直前で悟ること」。

基本はアンチウイルスソフト(セキュリティソフト)で防御できるが、それ以外は「やらない」というルールで選別し、流出抽選当選回数を極限まで減らそう

最初は悟れなくてもいずれ屈強な考えが身につき、体が拒絶し直前で止まる。

スポンサーリンク

やらないこと一覧

  1. 流出済みのメールアドレスは使わない
  2. メールに記載されているURLを押さない
  3. メール内に表示されている入力欄に入力しない
  4. メールに記載されているURLで案内された入力欄に入力しない
  5. あらゆる添付ファイルは触らない

箇条書きで言われてもわかりにくいので、一つ一つ破壊していこう。

流出したメールアドレス確認方法

流出済みのメールアドレスを使用していない私に「フィッシング詐欺迷惑メールは1通すらこない」ので、かなりの効果を期待して良い。

というわけで、メールでのフィッシング詐欺対策は変更するだけで終わる

すべてのアカウントを新しいメールアドレスに変更するのが億劫なら、最低でも銀行など金融関係だけやっておこう。そうすれば「やらないこと2~4の手順」が減り、流出抽選回数が減る。

Firefoxのサービスで流出元をある程度確認できるので、試しに入れてみよう。

メールアドレスを入力

通常は「So far, so good(ここまでは順調ですね)」と言われるだけで終わるが、どこかの会社のマークがでてきたら流出済みだ。

大丈夫だとSo far so goodと言われる

メールアドレス調査Firefox Monitor

URL判別法

Yahoo!トップ・Yahoo知恵袋・当サイトのURLを例に確認してみよう。

  • https://www.yahoo.co.jp/
  • https://chiebukuro.yahoo.co.jp/
  • https://excesssecurity.com/

上記URLの後ろに文字列が付いていたり(この記事ならanti-phishingの部分)、前にchiebukuroなどと付いていても無視して良く、重要なのは以下の説明にある親の部分だけ。

Yahooならyahoo.co.jpの部分、当サイトならexcesssecurity.comが親のURL。

この親は世界に一つだけで捏造不可能となっており、この親のURLが合っているかを確認するだけでよく、親の後ろに「/」で区切られているもの、親の前にある「.」で区切られているもの(上記だとwww・chiebukuro)は完全無視で良い。

1文字だけご丁寧に変更していたり、l1oOといったわかりにくい文字を使用していたりするが、大抵は公式サイトの面影もないURLなので大体気づくだろう。

上記方法は「フィッシング詐欺の世界的ブラックリストに登録されていない場合の必須スキル」だが、aguse.jp: ウェブ調査で先に確認する方法も活用するといい。

ただし、ブラックリスト登録が追いつかない仮想通貨業界などは目で見ること。

パソコンならリンクにカーソルを乗せると、URLがブラウザの左下に表示される。スマホでは簡単にできないため、「金融関係だけはリンクから飛ばない」などのルールで簡略化しよう。
スポンサーリンク

おかしいなと思ったら

「おかしい」という反応自体が経験を元にした拒絶反応なので、さきほどのaguse.jp: ウェブ調査でURL確認したり、テクニックを使ってさらに検証していく。

適当に情報を入力

「適当に入力」→「エラー画面が一切でない」となった場合、完全にフィッシング詐欺だ。

これは適当に入力した情報が犯人側からすれば判別できないためで、何も起こらなかった場合は偽サイトだと判別してしまって良い。

ただし、必ずエラー表示になる画面を用意すればいいだけなので、そのパターンのフィッシング詐欺には効果なし。

とりあえずおかしいと思ったら偽情報を入力して、1回はテストする癖を付けよう。

癖でなくても「金融関係は必ず1回失敗させる」というルールでも可。

2段階認証を設定していた場合は「入力項目が現れなかったらフィッシング詐欺」と気づけるので、ひどいパスワードが64桁になるほどに強度を上げられる2段階認証は設定しておこう。

セキュリティ意識の向上

パスワード管理ソフトの自動入力が反応しないため偽サイトだとわかったり、ソフトに登録してある本物URLから飛ぶと自動的にフィッシング詐欺を防げる。

パスワード管理ソフト導入はかなりのセキュリティ向上かつ意識の高い人は全員入れている常識ソフトなため、とりあえず入れておくだけで一気に安全になるぞ。

最大の弱点は人間なので、意識を高めるこちらの記事も参照されたし。

偽情報の取扱は中級者以上からだが、一応このようなテクニックも存在する。

コメント

  1. シャル より:

    お世話になります。

    ちょっとお聞きしますが、パソコンやスマホにセキュリティソフトを入れようかと思っているのですが、何かオススメはありますでしょうか?

    そちらがパソコンやスマホに使ってらっしゃるセキュリティソフトは何でしょうか?

    • ぷっぷ ぷっぷ より:

      つ、ついに来てしまった……セキュリティサイトなのにセキュリティソフト(アンチウイルスソフト)紹介していない問題(´・ω・`)
      現在調査中で後回しにしていますが(まだ貧乏なの)、「軽さで決めるのが正義」だと悟りました。
      事実、昔と違いフリーソフトをあれもこれもと入れていたときと比べるとマルウェア(ウイルス)と一切出会わないし、最近でいうWindows10標準についているWindows Defenderでおそらく十分です。

      というわけで、私が「現状」オススメするなら

      1. ESET
      2. Kaspersky
      3. Bitdefender

      という、一般常識として検知率を重要視していない、邪道な順位になります。
      私自身はCOMODOを使用してひもじく利用していますが、お金持ちになり次第PCmaticにする予定です。
      やっぱり有料による不安払拭効果・プロ厳選安心感がほしい(*´ω`*)
      PCMaticはいわゆるホワイトリスト方式で、事実上最強になる可能性を秘めていますが、アフィリエイトが抹殺されてさらに無名に……
      上記順位に加わっていないのは、上記はメジャーなブラックリスト方式で、別枠のような存在だからです。

      次にスマホ(Android)ですが、適当にAvastを入れています。こちらはおそらく不要(検出したことがない)。
      Googleは以前要らないといっていたし(結構昔なので状況が違うかも)、だいたい「ちょっとの利便性に対してアプリをインストールした方」が狙われているだけであって、その程度を我慢する私には関係がないようです。
      とりあえずGoogleアプリだけとは言わず、「大手のアプリしか使わない」状態なだけでもまず遭遇しません。
      が、ホイホイ入れてしまう癖があるならば絶対に必要。
      というわけで、スマホだと

      1. Bitdefender
      2. AvastやAVGなど、PCで実績があるもの適当

      という感じかな~(゚~゚o)スマホのみの実績は、「必然的に歴史が浅いのではないか」というひどい憶測で避けています。
      ちなみに、PC版セキュリティソフト次第でスマホも使えるようですので、購入の際は確認してね!