ライフハッカー［日本版］

フィッシング詐欺やスピアフィッシングの見分け方

フィッシングは、騙そうとしていることに気づかれる前に個人情報を奪おうとするので、一般的な方法で広範囲に攻撃を仕掛けてきます。スピアフィッシングは、銀行口座が何者かにハッキングされ危険な状態にあるかもしれない、もしくは上司や自分の会社がデータを消してしまったというような理由で、個人からさらに情報を盗もうとするターゲットを絞った攻撃です。どちらの場合も、インターネットの怪しい情報を適切に疑う感覚を養うことが一番役に立つでしょう。

常に会社や仕事などでフォームを埋めるように求められていない限り、必要な情報の入力は最小限にし、なぜその情報が必要なのか、その情報をどのように使うのか理解できない場合は、一見まともな要求に見えても情報は決して渡さないようにしてください。信頼できる組織や団体なら、情報の使い道などの質問には答えられるはずです。直感を信じて、話がうますぎると感じた時はおそらく危険だということを、思い出しましょう。

怪しいメールや添付ファイルには要注意

こんなことは常識でしょうが、信用ならないところからきた添付ファイルは決して開かないでください。たとえ、それが信用できるところからのものでも、添付ファイルをダウンロードしたり開いたりする前に、添付ファイルの拡張子をよく見てみましょう。銀行、クレジットカード会社、関係のある会社などからの一見オフィシャルに見えるメールでも、ログインしたり、アカウントを確認するように言ってくるメールには要注意です。万が一、本当に送信先がそれらの会社からのメールだったとしても、メール内のリンクをクリックするのではなく、URLを手入力してその会社のWebサイトに行くなど、常に安全策をとりましょう。

ほとんどの会社は、メールで「アカウント情報を確認する必要があります」と言ったり、メール内のリンクをクリックするようにお願いしたりしません。メールクライアントに、リンクをマウスオーバーすると本当はどこに行くのかわかるような機能があれば、疑わしいメールのリンクのチェックをしましょう。そのようなURLは、本当の銀行のサイトではない可能性が高いです。そのリンクはクリックせず、URLを入力して銀行のWebサイトに行くか、サポートに電話してください。

メールアドレスはとても簡単になりすますことができるので、たとえ本当に信用ある会社や名前からきたメールでも、URLをクリックすると思いもよらないサイトに飛ばされることがあります。

Photo by Jeff Nelson.

アンチウィルス・マルウェアソフトをきちんと更新する

ウィルスやトロイの木馬が、それほど頻繁にニュースで採り上げられていないからといって、システムにアンチウィルス・マルウェアソフトを入れずにウィルス感染が避けられるというわけではありません。一度インストールしたら、それを更新することも同じくらい大事です。情報の古いアンチウィルス・マルウェアソフトはきちんと役に立ちません。

Windowsの『Microsoft Security Essentials』や、Macの『ClamXAV』のような無料で、システムリソースをあまり使わず、スキャンも更新も何もしなくてもバックグラウンドでやってくれるようなものもあります。学校や会社などの環境であれば、アンチウィルス・ソフトウェアのパッケージは無料で提供してくれるでしょうから、それを活用しましょう。

どこでもHTTPSを使う（少なくとも使えるところでは）

絶対確実というのはありませんが、よくいくサイトにはSSLで接続しているか確認することは、本当に自分が接続したいと思っているサイトに接続しているかを確認し、そのサイトとのコミュニケーションは暗号化されているかを確認する、一番いい方法です。以前ご紹介したFirefoxのアドオン『HTTPS Everywhere』を使えば、数百のサイトをHTTPSで接続するようにできますし、FacebookでもHTTPS接続はできますし、Twitterも同様です。ブラウザのカギアイコンをチェックしたり、アドレスバーのURLの横にある緑のボックスで安全なサイトなのかをきちんと確認しましょう。どちらもダメな場合は、URLの最初を「https://」に変えて、それでも見られるか試してみてください。

サイト毎に違う、強力で安全なパスワードを使う

パスワード管理の方法については、何度もライフハッカーでも採り上げてきましたが、それでもまだ複数のサイトで同じパスワードを使っていたり、辞書に載っている言葉をパスワードに使っていたり、自分のペットの名前をパスワードにしていたりする人はいませんか？　そんな人は、文字・数字・大文字・特殊文字などを組み合わせた強力なパスワードに、できるだけ早急に変更してください。『Keepass』や『LastPass』のようなサービスやパスワードマネージャを使って、あらゆるサイトやインターネットサービスで使う複数の強力なパスワードを作成・管理しましょう。

情報に通じ、疑り深く、用心深くなる

前述のように、インターネットを疑っている人たちの感覚は、色々な視点を与えてくれます。支払いの過程で、メールでクレジットカード番号を聞いてきた会社に電話をかけて確認するようなことは、かなり面倒臭いことです。しかし、IT関連の会社で働いたことのある人によると、「ネットワーク管理者は、クレジットカード番号の書いてあるメールが送信メッセージにあることに気づいたときには、かなりチェックしている」とのこと。誰かがやっていたとしても、決して本文中に番号を書くようなことはしないでください。何か変なことを頼んできた人がいたら、なぜその情報が必要なのかが明らかになるまでは、決して答えないようにしましょう。

お気に入りのオンラインショップが、アンケートに答えるだけで割引コードを発行してくれるというような、何かを約束するようなメールを受け取ったら、そのうまい話やプロモーションがネットにも載っているかを調べて、ソースもダブルチェックしましょう。送信者や、メールの内容のキーワードと「詐欺」という言葉を検索すれば、大体本当のことが明らかになります。

Photo by Yi Chen.