【実践】Googleのフィッシング詐欺対策で、直前に悟る能力の習得

セキュリティの心得

難しすぎるGoogleのフィッシングクイズを使い、どの部分に注目し、どうすれば回避できたか具体的に突き詰めていく。

そして、「フィッシング(偽サイト)を直前で悟る能力」の習得を押し付ける。

フィッシングクイズの他にも使える必殺技があるため、「やらないルール」の存在を認知し、流出抽選回数を極限まで減らす行為も抱き合わせで習得してもらう。

最初は悟れなくてもいずれ屈強な考えが身につき、体が拒絶し直前でストッパーがかかる。

スポンサーリンク

フィッシングクイズの実践でレベル測定

名前とメアドを入力
フィッシングクイズの冒頭

さっそく、Googleのフィッシングクイズをやってもらう。

名前とメールアドレスは例に出されるだけなので、完全偽物適当でOKだ。全8問が終わったらこの記事に戻ってもらい、「どうすれば全問正解に持っていけるのか」具体的な作戦で回避していく。

メアドは「yarisugi@example.com」をコピペでも可。

かなり難易度が高いため、腕試しのガチで攻めるといい。熟考すると全部で15分くらいかかるので、ガチでやるなら余裕のある時にしよう。

ぷっぷ
ぷっぷ

これ以上先に読み進めると、ネタバレになっちゃうよ!

スポンサーリンク

根本から抹殺するために、やらないこと一覧

「何問正解したのか」は関係なく、自分自身が完璧か思えなかったのなら満足していない。そして、一番重要なのがURL(ドメイン)判別というのが痛いほどわかっただろう。ここではそのURL判別をわかりやすく、クイズに出された問題のさらに根本にも触れる。

やらないこと一覧
  • ステップ.1
    流出済みのメールアドレスは使わない

    とてつもない面倒と引き換えに、メールからのフィッシングを根こそぎ抹殺。実質最強だが、恐ろしく面倒。

  • ステップ.2
    メールに記載されているURLを押さない

    そもそも押さなきゃいいし、先に検索して怪しいか調べる。

  • ステップ.3
    メール内に表示されている入力欄に入力しない

    怪しすぎて大多数には問題ないはず。

  • ステップ.4
    メールに記載されているURLで案内された入力欄に入力しない

    本物かどうかわからないなら、事前に持っている本物のURLから飛べばいい。

  • ステップ.5
    あらゆる添付ファイルは触らない

    自分で頼んだ以外は触らない。頼んだのなら、アンチウイルスソフトで検査する。

流出済みのメールアドレスは使わない

流出済みのメールアドレスを使用していない私に「フィッシング詐欺迷惑メールは1通すらこない」ので、かなりの効果を期待して良い。

というわけで、メールでのフィッシング詐欺対策は変更するだけで終わる

すべてのアカウントを新しいメールアドレスに変更するのが億劫なら、最低でも銀行など、金融関係だけやっておこう。そうすれば「やらないこと2~4の手順」が減り、流出抽選回数が減る。
ぷっぷ
ぷっぷ

この作業はハードルが高すぎるから、流出しているかこのまま確認して、未来の自分に投げつけるといいよ(っ’-‘)╮ =͟͟͞͞ブォン

Firefoxのサービスで流出したかを確認できるので、試しに入れてみよう。

※Firefoxサービスへのメアド記入が怖いと感じる方へ:気のせい。

メールアドレスを入力

通常は「So far, so good(ここまでは順調ですね)」と言われるだけで終わるが、どこかの会社のマークがでてきたら流出済みだ。

大丈夫だとSo far so goodと言われる

慣れないと激ムズ!URL判別法

  • https://www.yahoo.co.jp/
  • https://chiebukuro.yahoo.co.jp/
  • https://excesssecurity.com/

Yahoo!トップ・Yahoo知恵袋・当サイトのURLを例に確認してみよう。

トップレベルドメイン
トップレベルドメイン

上記リンクに黄色線を引いたが、ドットの後ろ部分が「トップレベルドメイン」だ。

この「トップレベルドメインの前にある文字列」でサイトを見分けるため、https://excesssecurity.com/だとしたら、「.com」より前にある「excesssecurity」で安全なサイトなのかを覚えておけば良い(要記憶)。

Yahooならyahoo.co.jpの部分、当サイトならexcesssecurity.comがセットで本物。

だが、フィッシングクイズの7問目は巧妙に作られており、URL左側しか見ていない場合、後半にある悪質な親の部分を見逃す

そう、一番前に「.com」があるからその後が安全とは限らず、後ろのトップレベルドメインが優先される。

Googleを利用したフィッシング例

「https://google.com/amp/example.com/y7u8ewlr」だったとしたら、頭にGoogleと入っていても、「example.com」は別のURLであるため、Googleに偽装したサイトである。

このように、「.com」・「.xyz」・「.net」など、ドットの後ろにあるものが重要であり、長いURLでも後ろに近いトップレベルドメインの存在確認を、怠ってはならない。

ぷっぷ
ぷっぷ

スパムとかは値段の安い適当なトップレベルドメインを使うから、最後まで確認しないと、私みたいに7問目だけ間違えることになるよ!

もちろん、1文字だけご丁寧に変更していたり、「l1oO–__」といったわかりにくい文字を使用していたりする(1問目がそう)。

さらに、aguse.jp: ウェブ調査VirusTotalでURLを確認するといい。

ブラックリスト登録が追いつかない金融・仮想通貨業界などは、上記URL判別サイトで何の役にもたたない可能性があるため(ブラックリスト未登録)、本気で目視確認しよう。

パソコンならリンクにカーソルを乗せると、URLがブラウザの左下に表示される。スマホでは簡単にできないため、「金融関係だけはリンクから飛ばない」などのルールで簡略化しよう。

忘れたころに復習チャンス

今までの情報を叩き込んだら、再度フィッシングクイズをしてみよう。

終わったら、偽サイトにアクセスした場合の対処や一流の対策ツールも紹介するので出戻り推奨。

メアドも再度置いておく「yarisugi@example.com」。

スポンサーリンク

おかしいなと思ったら

「おかしい」という反応自体が経験を元にした拒絶反応なので、さきほどのaguse.jp: ウェブ調査VirusTotalでURL確認したり、テクニックを使ってさらに検証していく。

適当に情報を入力

本来はフィッシング(偽)サイトにアクセスすること自体避けたほうがいいのだが、ここではアクセスしてしまった前提で話を進める。

「適当に入力」→「エラー画面が一切でない」となった場合、完全にフィッシング詐欺だ。

これは、適当に入力した情報が犯人側からすれば判別できないためで、何も起こらなかった場合は偽サイトだと判別してしまって良い。

とりあえずおかしいと思ったら偽情報を入力して、1回はテストする癖を付けよう。

癖でなくても「金融関係は必ず1回失敗させる」というルールでも可。

2段階認証を設定していた場合は「入力項目が現れなかったらフィッシング詐欺」と気づけるので、ひどいパスワードが64桁になるほどに強度を上げられる2段階認証は設定しておこう。

一番現実的なフィッシング詐欺対策だぞ。

スポンサーリンク

セキュリティ意識の向上

パスワード管理ソフトの自動入力が反応しないため偽サイトだとわかったり、ソフトに登録してある本物URLから飛ぶと、自動的にフィッシング詐欺を防げる。

パスワード管理ソフト導入はかなりのセキュリティ向上かつ、意識の高い人は全員入れている常識ソフトなため、とりあえず入れておくだけで一気に安全になるぞ。

偽情報の取扱は中級者以上からだが、一応このようなテクニックも存在する。

コメント

  1. シャル より:

    お世話になります。

    ちょっとお聞きしますが、パソコンやスマホにセキュリティソフトを入れようかと思っているのですが、何かオススメはありますでしょうか?

    そちらがパソコンやスマホに使ってらっしゃるセキュリティソフトは何でしょうか?

    • ぷっぷ ぷっぷ より:

      つ、ついに来てしまった……セキュリティサイトなのにセキュリティソフト(アンチウイルスソフト)紹介していない問題(´・ω・`)
      現在調査中で後回しにしていますが(まだ貧乏なの)、「軽さで決めるのが正義」だと悟りました。
      事実、昔と違いフリーソフトをあれもこれもと入れていたときと比べるとマルウェア(ウイルス)と一切出会わないし、最近でいうWindows10標準についているWindows Defenderでおそらく十分です。

      というわけで、私が「現状」オススメするなら

      1. ESET
      2. Kaspersky
      3. Bitdefender

      という、一般常識として検知率を重要視していない、邪道な順位になります。
      私自身はCOMODOを使用してひもじく利用していますが、お金持ちになり次第PCmaticにする予定です。
      やっぱり有料による不安払拭効果・プロ厳選安心感がほしい(*´ω`*)
      PCMaticはいわゆるホワイトリスト方式で、事実上最強になる可能性を秘めていますが、アフィリエイトが抹殺されてさらに無名に……
      上記順位に加わっていないのは、上記はメジャーなブラックリスト方式で、別枠のような存在だからです。

      次にスマホ(Android)ですが、適当にAvastを入れています。こちらはおそらく不要(検出したことがない)。
      Googleは以前要らないといっていたし(結構昔なので状況が違うかも)、だいたい「ちょっとの利便性に対してアプリをインストールした方」が狙われているだけであって、その程度を我慢する私には関係がないようです。
      とりあえずGoogleアプリだけとは言わず、「大手のアプリしか使わない」状態なだけでもまず遭遇しません。
      が、ホイホイ入れてしまう癖があるならば絶対に必要。
      というわけで、スマホだと

      1. Bitdefender
      2. AvastやAVGなど、PCで実績があるもの適当

      という感じかな~(゚~゚o)スマホのみの実績は、「必然的に歴史が浅いのではないか」というひどい憶測で避けています。
      ちなみに、PC版セキュリティソフト次第でスマホも使えるようですので、購入の際は確認してね!

  2. 匿名 より:

    AndroidもChromeOSみたいな基本的にブラウザを使うような感じになってほしいですね〜
    日本製アプリは出来悪いからネットバンクのアプリとか入れようと思わないし

    • ぷっぷ ぷっぷ より:

      日本製アプリを入れる気になれないのはホント同意です! ChromeOS仕様はどっちでもいいかな~(゚~゚o)
      多分適応しちゃう……というより、ChromeOS仕様にした際のメリットを私がわかってなーい(*゚▽゚)

      ネットバンクアプリの独自なのは、困るを通り越して迷惑かも。
      現に住信SBIネット銀行の「ログインする前にこのアプリでロック解除してね!じゃないとログインできないよ!」アプリを使ってるけど、
      久しぶりにログインする際独自アプリの存在を忘れるし、「2段階認証ってGoogleのじゃダメなの?」という感じだし、選択肢がほしいー(゚´Д`゚)゚。
      住信の愚痴になっちゃってるけど、ログイン失敗した際に「アプリのロック解除忘れてない?」的な表示を入れればまだマシなのにー(´ε`;)ブ-

      • 匿名 より:

        ネットバンクとか証券会社の仕様は謎ですよね〜
        2要素認証でわざわざ出来の悪い自社アプリ入れさせられるという(笑)
        むしろセキュリティホール作ってる感しかないですね

      • 匿名 より:

        ああ、あとSMS認証ですね。
        音声通話契約してない人も増えてるんだから汎用の認証システム使わせろ!

        • ぷっぷ ぷっぷ より:

          そうだそうだ(;`O´)o
          優れたツールがあるのに自社にこだわるのはんたーい!
          優れたツールのベンダーロックイン歓迎(屮・∀・)屮