セキュリティ対策:詐欺メールや脅しWebに騙されないようにする方法
インターリンクシステム創成研究所 所長 許先明
前回のコラム(※リンク 前回のコラム)で、総務省が公開している「サイバーセキュリティ初心者のための三原則」を紹介しました。
そこには、
・原則1 ソフトウェアの更新
・原則2 IDとパスワードの適切な管理
・原則3 ウィルス対策ソフト(ウィルス対策サービス)の導入
が挙げられていること、それを「毎日毎日徹底させるのは難しいが、そこにこそあなた方の命がかかっている」ということをお話ししました。
今回は、その続きを書こうと思っていたところに、筆者の手元に「金融機関」を装った電子メールが届きました。非常によくできており、思わず騙されそうになったのです。
なので、この手の対策を先に書いておこうかと思い立ちました。いきなりの脱線ですが、今回は吊りメール(Phishing Mail)や「脅しWeb」に騙されにくくなる方法を書いてみようかと思います。
今時のシステムは、きちんとシステムの更新を行い、ウィルス対策ソフトをしっかり保守していれば、もちろん完璧はありませんが、かなり安全であると言ってもいいでしょう。
しかし、それでも攻撃を受ける端末は決して少なくはありません。どこから攻撃を受けるのでしょうか?
筆者が見る限りの範囲でいうと、一般の利用者への攻撃は「Web経由」、「電子メール経由」が多いと思われます。
Webページを見ている時に「あなたのマシンはウィルスに感染しています」といったウィンドウがいきなり表示されたり、メールを読んでいる時に「あなたのアカウントの決済情報が不正です。確認してください」といったメールが来ていたりするというものです。この亜流として、「SNSやSMS経由」のものもあります。
一昔前のこの種の攻撃は「日本語として出来が悪」かったり、リンクが「微妙なURL」だったりしたため、なんとか判別できました。しかし今時は、一眼見ただけでは判別することはまずできません。
筆者も時々騙されそうになります。こういう時に、どう対応すれば良いのでしょうか?
大事なことは、「きちんとシステムの更新を行い、ウィルス対策ソフトをしっかり保守していれば、かなり安全」ということを正しく認識し、正しく対処することです。
まずは「脅しWeb」から。
「きちんと更新を行い、ウィルス対策ソフトをしっかり保守しているシステム」のブラウザならば、Webページを見るだけでウィルスなどのMalwareに感染することはほぼありません。
ほぼと書いたのは、「未知の脆弱性やバグがないとは言えない」からです。ただし、脆弱性やバグなどは、判明したら早急に対処され、更新されるはずです。更新すれば修正されるのですから、危険な期間は短いと言えるでしょう(もちろん、データなどはちゃんとバックアップをとるなどの対策をしておくことは重要ですが、そのあたりは今回割愛します)。
ですから、そのような「脅しWeb」のページが表示されたら、「余計なことをせずに、そっとそのブラウザを終了し、ブラウザキャッシュを削除」しましょう。仮に信用がおけるサービスであっても、「広告などにMalwareへのLinkが紛れ込む」ことは十分ありえます。「安全なサイト」は幻想だと思っておきましょう。
次に、詐欺メールの場合です。
メールの場合、問題になるのは、「そのメールが正しいメールか攻撃メールかを判断するのが難しい」ということです。メールの文面からこれを判断するのは、一般にはまず不可能だと思って良いです。
ですから、以下に比較的安全な対処方法をお教えします。
・添付ファイルは信用しない。信用していいのは信用できる手法で送られてきたもののみ(SMIMEやPGP/GPGなどで信用できる状況が担保されているなら信用して良い)
→暗号化添付ファイルを用いるならば、パスワードは電子メールで送ってはいけません。SMSや電話などのメール以外の手法を用いて通知するかGPGやSMIMEを利用するべきです。共有ファイル倉庫をどこかに準備して、ファイルのやり取りはそこを利用するのも良い手段です。他にも手法は色々あるので、やり取りする相手と手段を事前に決めておきましょう。いずれにしても電子メールでパスワードを通知するのはもってのほかです。
・本文内のLinkは全て信用してはいけません。メールに記載されたリンクではなく、自分が知っているサービサー(債権回収会社)のWebページから通知や連絡などを確認しましょう。
→金融機関や普段利用しているショッピングサイトから確認メールが来ると焦ります。まず落ち着くこと。そして、メールの内容をサービスサイトで確認することが重要です。
要するに、電子メールを信用しないことです。受け取った情報を鵜呑みにせず、別のチャンネルからも情報を取って比較して判断することです。
上記は面倒です。添付ファイルは便利ですし、メール内のLinkも便利です。脅しWebがくれば一瞬焦ります。しかし、無差別攻撃を行う攻撃者は、人間の行動をよく知っています。そしてそれを利用します。
ですから、明らかに大丈夫というもの以外は疑ってかかりましょう。それだけでずいぶん安全になるのです。
それではまた、お目にかかれればと思います。