難しすぎるGoogleのフィッシングクイズを使い、どの部分に注目し、どうすれば回避できたか具体的に突き詰めていく。
そして、「フィッシング(偽サイト)を直前で悟る能力」の習得を押し付ける。
最初は悟れなくてもいずれ屈強な考えが身につき、体が拒絶し直前でストッパーがかかる。
フィッシングクイズの実践でレベル測定
さっそく、Googleのフィッシングクイズをやってもらう。
名前とメールアドレスは例に出されるだけなので、完全偽物適当でOKだ。全8問が終わったらこの記事に戻ってもらい、「どうすれば全問正解に持っていけるのか」具体的な作戦で回避していく。
メアドは「yarisugi@example.com」をコピペでも可。
これ以上先に読み進めると、ネタバレになっちゃうよ!
根本から抹殺するために、やらないこと一覧
「何問正解したのか」は関係なく、自分自身が完璧か思えなかったのなら満足していない。そして、一番重要なのがURL(ドメイン)判別というのが痛いほどわかっただろう。ここではそのURL判別をわかりやすく、クイズに出された問題のさらに根本にも触れる。
- ステップ.1流出済みのメールアドレスは使わない
とてつもない面倒と引き換えに、メールからのフィッシングを根こそぎ抹殺。実質最強だが、恐ろしく面倒。
- ステップ.2メールに記載されているURLを押さない
そもそも押さなきゃいいし、先に検索して怪しいか調べる。
- ステップ.3メール内に表示されている入力欄に入力しない
怪しすぎて大多数には問題ないはず。
- ステップ.4メールに記載されているURLで案内された入力欄に入力しない
本物かどうかわからないなら、事前に持っている本物のURLから飛べばいい。
- ステップ.5あらゆる添付ファイルは触らない
自分で頼んだ以外は触らない。頼んだのなら、アンチウイルスソフトで検査する。
流出済みのメールアドレスは使わない
流出済みのメールアドレスを使用していない私に「フィッシング詐欺迷惑メールは1通すらこない」ので、かなりの効果を期待して良い。
というわけで、メールでのフィッシング詐欺対策は変更するだけで終わる。
この作業はハードルが高すぎるから、流出しているかこのまま確認して、未来の自分に投げつけるといいよ(っ’-‘)╮ =͟͟͞͞ブォン
Firefoxのサービスで流出したかを確認できるので、試しに入れてみよう。
※Firefoxサービスへのメアド記入が怖いと感じる方へ:気のせい。
通常は「So far, so good(ここまでは順調ですね)」と言われるだけで終わるが、どこかの会社のマークがでてきたら流出済みだ。
慣れないと激ムズ!URL判別法
- https://www.yahoo.co.jp/
- https://chiebukuro.yahoo.co.jp/
- https://excesssecurity.com/
Yahoo!トップ・Yahoo知恵袋・当サイトのURLを例に確認してみよう。
上記リンクに黄色線を引いたが、ドットの後ろ部分が「トップレベルドメイン」だ。
この「トップレベルドメインの前にある文字列」でサイトを見分けるため、https://excesssecurity.com/だとしたら、「.com」より前にある「excesssecurity」で安全なサイトなのかを覚えておけば良い(要記憶)。
Yahooならyahoo.co.jpの部分、当サイトならexcesssecurity.comがセットで本物。
だが、フィッシングクイズの7問目は巧妙に作られており、URL左側しか見ていない場合、後半にある悪質な親の部分を見逃す。
そう、一番前に「.com」があるからその後が安全とは限らず、後ろのトップレベルドメインが優先される。
「https://google.com/amp/example.com/y7u8ewlr」だったとしたら、頭にGoogleと入っていても、「example.com」は別のURLであるため、Googleに偽装したサイトである……。と思ったら、そうも限らないようで非常に詳しい情報をコメント欄で教えてもらったので必読。
このように、「.com」・「.xyz」・「.net」など、ドットの後ろにあるものが重要であり、長いURLでも後ろに近いトップレベルドメインの存在確認を、怠ってはならない。
スパムとかは値段の安い適当なトップレベルドメインを使うから、最後まで確認しないと、私みたいに7問目だけ間違えることになるよ!
もちろん、1文字だけご丁寧に変更していたり、「l1oO–__」といったわかりにくい文字を使用していたりする(1問目がそう)。
さらに、aguse.jp: ウェブ調査やVirusTotalでURLを確認するといい。
ブラックリスト登録が追いつかない金融・仮想通貨業界などは、上記URL判別サイトで何の役にもたたない可能性があるため(ブラックリスト未登録)、本気で目視確認しよう。
忘れたころに復習チャンス
今までの情報を叩き込んだら、再度フィッシングクイズをしてみよう。
終わったら、偽サイトにアクセスした場合の対処や一流の対策ツールも紹介するので出戻り推奨。
メアドも再度置いておく「yarisugi@example.com」。
おかしいなと思ったら
「おかしい」という反応自体が経験を元にした拒絶反応なので、さきほどのaguse.jp: ウェブ調査やVirusTotalでURL確認したり、テクニックを使ってさらに検証していく。
適当に情報を入力
「適当に入力」→「エラー画面が一切でない」となった場合、完全にフィッシング詐欺だ。
これは、適当に入力した情報が犯人側からすれば判別できないためで、何も起こらなかった場合は偽サイトだと判別してしまって良い。
とりあえずおかしいと思ったら偽情報を入力して、1回はテストする癖を付けよう。
2段階認証を設定していた場合は「入力項目が現れなかったらフィッシング詐欺」と気づけるので、ひどいパスワードが64桁になるほどに強度を上げられる2段階認証は設定しておこう。
一番現実的なフィッシング詐欺対策だぞ。
セキュリティ意識の向上
パスワード管理ソフトの自動入力が反応しないため偽サイトだとわかったり、ソフトに登録してある本物URLから飛ぶと、自動的にフィッシング詐欺を防げる。
パスワード管理ソフト導入はかなりのセキュリティ向上かつ、意識の高い人は全員入れている常識ソフトなため、とりあえず入れておくだけで一気に安全になるぞ。
偽情報の取扱は中級者以上からだが、一応このようなテクニックも存在する。
コメント
> 「https://google.com/amp/example.com/y7u8ewlr」だったとしたら、頭にGoogleと入っていても、「example.com」は別のURLであるため、Googleに偽装したサイトである。
そんなことはないです。「https://」以降の最初のスラッシュよりも前に「google.com」があれば、それは確かにgoogle.comで間違いないです。
気をつけないといけないのは下記ケースなどですね。
・「https://google.com.hogehoge.example.com/」みたいにサブドメイン側に偽装文字列を仕込んでくるケース
・「https://example.com/hogehoge/google.com/」のような形でディレクトリ名以下に偽装文字列を仕込むケース
・ドメイン名自体を偽装するケース(ホモグリフ攻撃やタイポスクワッティングなど、また有名なドメイン名の先頭に文字列を追加した別のドメイン名を取得するなど)
最初のスラッシュよりも前は右から左の順に重要、最初のスラッシュ以降は左から右の順に重要となるのがややこしい部分です(余談ですが、WWWの生みの親は「ドメイン名は逆順にすべきだった」と後悔しているそうです。「http://com.excesssecurity/anti-phishing/」の順番であれば常に先頭から順に重要となるので、悪質な親の部分を見逃す可能性も減るはず、ということ)。
https://web.archive.org/web/20090320020015/http://www.itmedia.co.jp/news/articles/0903/16/news041.html
—-
んで、本件がややこしいのは「google.comの正しいサーバーを踏み台にして、悪意のあるサイトに誘導させるURLを作れてしまう」という点。
ネット閲覧時によく見かける「この先は外部のサイトに繋がります。本当に移動しますか?」みたいなやつを悪用したわけですね(今回の例に使われているAMP URLは本来の目的がまた別にあったりするのですが、今回の本筋からは外れるので説明は割愛します)。
メジャーなサイトにはクッションページが大抵実装されているので、それを使うと下記のようにいくらでも悪意のあるURLを作れてしまうことを考えれば「URL後半の確認が必要」という結論でも間違いではないと思います(が、「?」以降のURLパラメータに意味のない文字列を放り込みまくればいくらでもカモフラージュできてしまうので、そうして長大になったURLを一字一句確認させるのは限界があるのではとも思います)。
https://google.com/amp/excesssecurity.com
https://www.youtube.com/redirect?q=excesssecurity.com
https://l.facebook.com/l.php?u=https%3A%2F%2Fexcesssecurity.com
すっごい詳しいので、このコメント欄に流すようにしておきました!
ただ、かなり難しいので(私がピンときていない)、「詳しい情報があります」という促しをして、後ろを重視する方針のままでいきます。
オリジナルURLまで作っていただき、ありがとうございます!
ぷっぷ様へ
■パスワード管理ソフトに登録したURLから飛んでくださいね∩(・∀・∩
→なるほど!公式アプリでのログイン以外に、管理ソフトからのログインという手段がありましたか!!盲点でした!今後そうします!
■追伸
なぜ僕がフィッシング詐欺に引っかかったか?
①実は、SMSをタップした直後に、IDとパスワード入力した時点で、送信する前に、フィッシングだ!!って気づいたんです。
②送信していないけど、入力したパスワードをそのまま使用するのは気持ち悪かったので、その後直ぐにAmazonで、パスワード変更(2個目)しました。
③Amazonに変更後パスワード(2個目)で、ログインできるかどうか試そうと、その際に、Google検索欄に、Amazonログインと打ちました。
④実は、この検索結果で、再度フィッシングSMSで開いたインターフェースを再び呼び出してしまっていたのでした!!【上記①の時点で、画面スライドして、完全に消去すべきだったのに、iPhoneのホームボタンを1クリックしただけだったので、再びフィッシング画面が出現!!】
⑤AmazonIDとパスワード(2個目)を入力して、迷わず送信。そして、さらに個人情報を入力して送信。そして、流石の流石に、クレジットカード情報入力画面に遷移したときに。『あれ?なんか、オカシイぞ???』と、画面1番上を見ると、【URLにamozon】(aではなくてo)と記載があり、顔面蒼白!!
以上、やはり、朝一番の起きたて、直ぐに携帯見たらダメですね。注意散漫でした。
よって、ぷっぷ様の教えのとおり、パスワード管理ソフトからのログインも、一つの手段として、取り入れますね!
ありがとうございました。
m(_ _)m
ホイ( ・ω・)/
ぷっぷ様
早速の回答ありがとうございます!!
ぷっぷ様の回答①
→ファイヤーフォクスのデータ侵害=闇サイトで売りに出されていた、または無料で適当に公開された情報ということなんですね!了解しました。
ぷっぷ様の回答②
→お恥ずかしめを受けさせてしまい、すみません!!フットワーク軽くなるくらい(引越しできるくらい)僕もお金持ち目指します♪
ぷっぷ様の回答③
→お好みで結論出しました。新しいGメールを作ります!
→やはり、Gメールはフリーメールにもかかわらず2段階認証(Authy)にて保護できるので!!
→旧メールと混在するかも知れませんが、そこは今回の学び(不審なものは開かない、反応しない)でやっていきます!
■最後に
・今回も、たくさんの質問に、とても丁寧に・迅速に応えて頂き、感謝致します。
・フィッシング被害にあった時に、色々対策した後で、最終的にぷっぷ様に相談させて頂こうと思っていました。
・大満足です。これからも、お役に立つ情報発信等、楽しみにしています。ありがとうございました。
m(_ _)m
メールやSMS経由でログインしなければ避けられたりするので、できるだけ銀行やショッピングサイトのログインは、ブックマークやパスワード管理ソフトに登録したURLから飛んでくださいね∩(・∀・∩
ぷっぷ様
早速のご回答ありがとうございます。本当にありがとうございます。
お手間を取らせてしまい申し訳ありませんが、ご回答の中で、追加質問させて頂きたく存じます。よろしくお願いします。
m(_ _)m
■質問①
そもそも、ファイヤーフォックスのデータ侵害検索で、僕のGメールを入力しましたが、データ侵害形跡はありません。
→そもそも、データ侵害とは、Gメール自体ののアカウント情報にアクセスされたということですか?
→因みに、侵害検索にヒットすると、かなり危険なのですか?(フィッシング詐欺の最終形態ということですか?)
→侵害検索にヒットしたメールアドレスは、絶対に凍結しなさい!ということですよね?
■決意表明
(ログインIDのメールアドレス変更は)ただ、とにかく変更に時間がかかるため、Amazonや住所を入力しそうなショッピング系だけ新メールアドレス、その他は面倒なのでそのままにするのが落とし所としておすすめ
→今週中には、対応します!(新メールアドレス作成、各種アプリの変更、なかなか大変そうです)
■質問②
基本はこれで乗り切れます。
これらはお金持ちになると抜群にフットワークが軽くなるので、私はお金持ちを目指しています
→お金持ちになると抜群にフットワークが軽くなるので、とは、どういう意味(比喩)ですか?理解力がなくてすみません。
■質問③
補足:Gmailはすべてのアカウントをくっつけて管理することが可能です。そのため、新アカウントに旧アカウントに届くメールを同じ管理画面で閲覧できます。
→これは、逆にいうと、現在のGメールと、今度新しく作るGメールが、混在することになりますよね?
→つまり、もし仮に現在のGメールに迷惑メールが来た時に、これは、現在のGメールに来たメールであると、判別は可能なのですか?(受信メールアドレスを見るということですか?)
以上、またまた、長文質問すみませんです。
また、お時間ある時に、よろしくお願いします。
心配性で、すみません。
m(_ _)m
ここで言うデータ侵害=闇サイトで売りに出されていた、または無料で適当に公開された情報のことです。
なので、侵入されたかどうかは別の話であって、それは自分で調べる必要があります!
そして、前回述べたとおり、漏洩済みメールアドレスは迷惑メールが来るくらいしか困ることはないので、どうでもいいサービス用に残しておくのはアリです!
つまり、凍結の必要はありません。
最近YahooもSMS認証始めちゃって、アカウント作成するの手間だし数増やすの難しいんで、昔のアカウントは貴重なんです(´ε`;)
えー、これ私が説明するの恥ずかしいやつじゃん! オラァ( っ・∀・)≡⊃ ゚∀゚)・∵.
お金持ちになるとですね、お金より時間と安心優先に考え方が変わるっぽいので、引っ越しで住所を強制変更するほど考えが柔軟になるー的な意味です!
そうです。
混在しますし、迷惑メールフィルタが仕事しないなら直通で新アカウントにメールが来ます。
なので、メールアドレスそのものがどのアカウントに宛てたものなのかを見る必要があります。
あらためて書くと難しそう(´ε`;)
うーん、あんまり人に勧められない方法だったかも。これはお好みで!