頻繁にというほどではありませんが、幾度となくフィッシングメールを受信しています。多くは、
といった理由でメール本文中にあるURLをクリックさせ偽サイトへ誘導する仕組みです。その偽サイトでログインが促されIDやパスワードを入力するとそれらの情報が盗みとられるわけです。そうなるとなりすましが可能になりますから、口座内の預金が払い出されたり、不正な買い物、アカウントない情報の改変、なりすましによる第三者への攻撃等、様々な被害を被り、また第三者に被害を及ぼす踏み台に利用されることになります。
- クレジットカード、キャシュカードが第三者に使用された
- 口座に不正なアクセスがあった
- アカウントをロックした
- システムをアップグレードした
真正なサイトへのログインならば、ワンタイムパスワードや二段階認証が、悪意ある第三者からの不正アクセスに対し有効な方策です。しかしながら、フィッシングメールでは偽のサイトに本人自らがIDやパスワードを入力してしまいます。
その前にこの詐欺メールについて思う処を少し。これまで様々なフィッシングメールを受信しました。送信元は、JCB、MUFJカード、三菱UFJ銀行、住信SBIネット銀行、ゆうちょ銀行、ヤマト運輸、佐川急便、日米のAmazon、Apple、を騙って偽サイトへの誘導を促してきました。メール本文の日本語が怪しい、そもそもアカウントを持っていない場合にはフィッシングメールとの判断が可能です。しかしながら、以前の詐欺メールに比し、メールの日本語が徐々に上達し、内容も巧妙になっているのを実感している今日この頃です。
正直な処、Gmailの迷惑メール、詐欺メール検出機能に随分助けられてきました。冒頭に”詐欺メール”と注意喚起され、その前提で構えてメールを読んで成る程と感じることも少なからずありました。警告がなく、注意力が低下した状態でフィッシングメールを斜め読みした時、偽サイトへのリンクを100%クリックしないという自信はありません。常日頃メール本文中のURLをクリックしていますから、URLクリックに対する抵抗が余りに低いことは重々自覚しています。フィッシングメールの被害を避けるために、”メール本文内のURLをクリックしない”というアドバイスはしばしば見聞しますが、不可能です。正当なメールで余りに多用されていますから。メールの仕様とかルールとしてすべからく”URLを記載しない/URLクリックができない”が採用されない限り難しい話です。
このGmailの迷惑メール、詐欺メール検出機能に助けられているのはおそらく私だけではないはずです。日本のGmailユーザーのほぼ全てが大なり小なりこの機能の恩恵にあずかっているのではないでしょうか。Gmailユーザーであって、上記銀行、クレジットカード会社、宅配業者、ネット通販サイトにアカウントをまったく保有せず、利用もしていないなら話は別ですが。未成年者や学生には関係のない話ではあります。
この機能は、名を騙られる企業にとっても有難いものであるのは間違いありません。自社の顧客が詐欺被害に合い、自社サイトにある顧客の資産が盗まれることを未然に防いでいるわけですから。確かに企業側としては、一方的に名を騙られ、詐欺の舞台にされているだけであって、顧客が詐欺被害に会ったとしても責任は大きくないのかもしれません。
しかしながら、顧客(資産)の保護という視点に立って見た時、”全く責任はない”とはならず、一定の責任は免れないのではないか、と考えます。それはフィッシングメールの注意喚起をし、定期的なパスワードの変更を促せば済む話でもないだろうと。
フィッシングメールに対し、上記各社はGmailの検出機能におんぶに抱っこ、換言すればタダ乗りという状況になっています。Google様に足を向けて寝られない、場合によっては日米安保における思いやり予算にも似た、用心棒代が支払われていてもおかしくないようにも受け止めています。
日米Amazonについては米Amazonにフィッシングメールの通報サイトがありました。ただ、それがどこまで効果的に活用されるか量りかねる部分もあります。いずれにせよ、上記各社の顧客を保護に対する姿勢というものを改めて問い直したい処です。いつまでもGoogle様におまかせというわけにはいかないだろうということです。
昨今、巨大IT企業GAFAの独占的姿勢に対し規制を導入しようとする動きがあります。特に欧州で積極的ですが日本でもそういった論調を見聞します。ただやはりそういった姿勢は、自分のケツは自分で拭けるようになってからの話なんじゃないかと思った次第です。
さて、それではこういったフィッシングメールを受信した際、詐欺被害に合わないための方策について記します。
それは簡単に言えば
これはあくまで個人利用に限定したPCにのみ適用できる使い方ですが、
このログインした状態で、フィッシングメールを受信、メール内のURLをクリックするとパスワード入力を促す偽サイトに飛ばされるわけですが、そもそもログインしていますから真正なサイトであればパスワード入力は求められないはずです。面倒なパスワードで覚えてませんし...”パスワードを記したメモを見る”という行為によって一呼吸置くことにもなり、反射的なパスワード入力を妨げる、そういった効果も期待できるのではないかと。
日米Amazonについては米Amazonにフィッシングメールの通報サイトがありました。ただ、それがどこまで効果的に活用されるか量りかねる部分もあります。いずれにせよ、上記各社の顧客を保護に対する姿勢というものを改めて問い直したい処です。いつまでもGoogle様におまかせというわけにはいかないだろうということです。
昨今、巨大IT企業GAFAの独占的姿勢に対し規制を導入しようとする動きがあります。特に欧州で積極的ですが日本でもそういった論調を見聞します。ただやはりそういった姿勢は、自分のケツは自分で拭けるようになってからの話なんじゃないかと思った次第です。
さて、それではこういったフィッシングメールを受信した際、詐欺被害に合わないための方策について記します。
それは簡単に言えば
パスワードを失念することです。パスワードを失念してしまえば、例え偽サイトに誘導されパスワード入力を促されても入力しようがありません。なにしろ忘れてますから。後はパスワード入力が必要な時にはどうするか、という問題に対処すればいいわけです。
これはあくまで個人利用に限定したPCにのみ適用できる使い方ですが、
- ログアウトしない
- OSのパスワード保存機能を利用する
極力パスワードを入力してログインすることを習慣にしないということです。勿論メモとして記録しておくことは必要ですが、記憶できないパスワードを設定しログインしたままにしておくわけです。勿論、二段階認証や安全なPCとしての登録が前提です。Yahoo!、Google、Amazon辺りは意識してログアウトしない限りログイン状態が保持されます。パスワードを入力する頻度が減れば減るほど、それが特殊な操作、不慣れな操作となるわけです。
このログインした状態で、フィッシングメールを受信、メール内のURLをクリックするとパスワード入力を促す偽サイトに飛ばされるわけですが、そもそもログインしていますから真正なサイトであればパスワード入力は求められないはずです。面倒なパスワードで覚えてませんし...”パスワードを記したメモを見る”という行為によって一呼吸置くことにもなり、反射的なパスワード入力を妨げる、そういった効果も期待できるのではないかと。
ログイン操作が頻繁な場合、忘れ難い簡単なパスワードを設定してしまい、又、パスワード入力が習慣化してしまうわけです。そうなるとフィッシングメール内のURLをクリック、促されると習慣的にパスワードを入力してしまいます。
ログイン操作を習慣化しない、これがポイントではないでしょうか。
そうは言っても銀行や証券会社の口座にアクセスしっ放しというのも精神衛生上よろしくはありません。サイトによってはログイン後一定時間操作しないと自動的にログアウトさせる機能が組み込まれているサイトも少なくありません。そうなると複雑怪奇なパスワードでは入力が大変です。
この時に有用となるのがブラウザに組み込まれているパスワードの保存機能です。最初に面倒で失念しそうなパスワードを設定し該機能で保存、その後忘れてしまいます。この機能により設定したサイトにログインしようとすれば、自動的にパスワードが入力されているはずです。フィッシングメールに引っ掛かってメール内のURLをクリックするとどうなるか?確認はしていませんがパスワードの入力を求められるのではないかと。真正のサイトと同じように見せ掛けた偽のサイトですから。
この時パスワードを忘れていれば入力できません。この機能を利用すればログアウトもできますし、再ログインしてもパスワードは自動で入力されるはずですから、パスワードを失念しても差し支えがありません。
この場合の懸念としては、PCからの情報流出、及び、遠隔操作等のPCへの不正アクセスが想定されます。しかしながら、どの程度その危険に晒されているか一律には判断できません。
PCをどういった環境、目的で利用しているかによります。マルウェアやスパイウェアの多くはメール添付や怪しげなソフトのダウンロード経由で仕組まれますから、日常的にそういった使い方を避ければその脅威は大きくはないと考えます。プロバイダやGmailのスパムメール検出、アンチウィルスソフト辺りが適切に機能していればさほど心配は不要ではないかと。
より大きな脅威は、使用者であるアナタ自身の、不用意、習慣、欲とかスケベ心といった人為的部分に由来していると断言します。
0 件のコメント:
コメントを投稿