フィッシング詐欺を防ぐには、リンクは全て信用しない!
公式サイトに手動でアクセスして確認する
よく言われるのが、「リンクのURLやドメインを確認する」というもの。詐欺サイトは公式サイトに近いドメインを使用しているものの、数文字違い、記号の位置がズレている、トップレベルドメインが異なっているなど、公式とは違う部分がある。
例えば、日本の企業なのに中国のドメインとなっている場合は、明らかに怪しい。こういった不審な点があれば、高確率でフィッシングメールとなるわけだ。
といっても、元々公式のドメインを知らなければ判断できないし、短縮URLなどが使われていればこの判別は難しい。また、メールをHTML表示している場合、リンク先のURLの確認が難しいというのもある。
可能な限り安全な方法を選ぶのであれば、リンクは全て信用しない方がいい。ブラウザーから手動で公式サイトへとアクセスし、届いたメールの内容をサポートに質問するのが確実だ。本当に不正アクセスがあり、サービスが制限されている場合でも、これなら安全に解除してもらえる。
公式アプリを提供されている場合、ブラウザーからアクセスするのではなく、アプリからアクセスするというのも安全な方法だ。
なお、メールでの通知がフィッシング詐欺だった場合、公式サイトの分かりやすい場所にフィッシングに関する情報が出ていることが多い。それだけに、まずは公式サイトにアクセスするというのは安全面で優れた方法と言えるだろう。
もし間違えてリンクをクリックしてしまい、フィッシング詐欺サイトにアクセスしてしまったとしても、個人情報を入力していなければギリギリセーフと思っている方もいるかもしれないが、アクセスした時点でアドウェアなどのインストールが始まるようなケースもあるので楽観は禁物だ。もちろん、フィッシングに気づいたら即座に情報の入力をやめ、ウィンドウを閉じるようにしよう。
これ以外にも、メールの差出人を確認する、SSLサーバー証明書を確認するなど、ユーザー側でもやれることはある。しかし、最近はフィッシングサイトでもSSL証明書を利用していることがあり、それだけで安全なサイトであるという証拠にはならないし、毎回こうした確認を行うのは大変だ。また、手口が年々巧妙化しているうえ、人力による確認ではうっかりミスもつきもの。どんなに注意深い人であっても、いつか間違ってしまう可能性が高い。
そこでオススメなのが、フィッシング詐欺サイトを瞬時に見破ってくれるセキュリティ対策ソフトの活用だ。
ESET インターネット セキュリティのフィッシング対策機能を使う
実は、Google Chromeであれば「セーフブラウジング」、Microsoft Edgeであれば「Microsoft Defender SmartScreen」、Firefoxであれば「詐欺コンテンツと危険なソフトウェアからの防護」といったように、各ブラウザーにはフィッシング対策機能が組み込まれている。
どの機能も基本的な動作は同じだ。アクセス時のURLを元にデータベースを参照し、フィッシング詐欺サイトのリストに登録されていないかを確認する、ブラックリストチェック方式というものだ。もし一致するURLがあれば、その通信を停止。ユーザーに注意喚起を促し、詐欺サイトへのアクセスを未然に防いでくれる。
ESET インターネット セキュリティの持つフィッシング対策機能も同じで、このブラックリスト方式を採用しており、参照元となるブラックリストはクラウド上に置かれている。
ウイルス検出のように、データを手元のデバイスへとダウンロードしておかない理由は、更新が20分毎と頻繁に行われるため。新しくできては消えていく詐欺サイトに追従するには、このくらいのスピード感がなければ間に合わないのだ。
なお、誤検出などによって正規のサイトにも関わらずブロックされてしまった場合、このブロックを解除してアクセスすることも可能だ。また、誤ってブロックされたとして報告することもできる。
これとは逆に、新しい詐欺サイトを見つけた場合は、そのURLを報告することもできる。ESETのメイン画面から「設定」「インターネット保護」を開き、「フィッシング対策機能」の詳細設定を開くと、報告可能だ。
報告が早ければ早いほど、詐欺被害に遭う人が減る。もし見つけたら、積極的に報告して欲しい。
ちなみに、ブラウザーのフィッシング対策機能とは、特に競合せずに同時利用が可能だ。その場合、どちらかの警告画面が先に表示され(ブラウザーによって異なる)、警告を無視してアクセスしようとすると、もう一方の警告画面が表示される。チェックが二重になるため、より安全性が高まる。ESET インターネット セキュリティをインストールしているからとブラウザー側の機能はオフにせず、そのまま使うのがオススメだ。
週刊アスキーの最新情報を購読しよう