【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。
******
フィッシング詐欺とは、利用者の不注意や無知に付け込み、インターネット上で銀行や官公庁、有名企業などを装って不正なリンクや添付ファイルを開かせることで、個人情報や金銭をだまし取る行為を指す。
だまし取ると聞いて、俺の頭に浮かぶのは「怪盗ルパン」の末裔:ルパン三世であるが、インターネット時代は「怪盗フィッシング」である。
日本でのインターネット人口普及率が60%を突破した2003年に、フィッシング詐欺がアメリカで発見され、2004年には日本国内でも被害が発生するなど、ここ数年で猛威を奮っているランサムウェア恐喝などと比較すると、由緒ある(?)セキュリティ脅威なのだ。
ちなみに、フィッシング詐欺の「フィッシング」を英語で記載すると、「Fishing」ではなく「Phishing」となる。由来は、洗練されたという意味のsophisticated と (情報などを)釣り上げる fishing の組み合わせ / 長距離電話を不正にかけることを指すphreaking から など諸説あるらしい。
2000年代はスマホもまだ無く、フィッシング詐欺に利用されるツールはほぼメールに限定されていたが、その後スマホが普及し、今となってはメールに加えてSMS(ショートメールサービス)やSNS(Xなど)もフィッシング詐欺に利用されている。
ツールは変われど、手口は基本変わらない。「スミッシング」と呼ばれる、SMSで行われるフィッシングメッセージも、
「お客様のアカウントに不正アクセスの疑いがあります。至急、以下のリンクからパスワードを変更してください。」
「当選金をお受け取りになるためには、以下のリンクから必要事項をご入力ください。」
「配送先住所の確認のため、以下のリンクからお名前と電話番号を教えてください。」
など、危機感や射幸心を利用する点は同じである。
こういったメッセージには本物に類似した偽サイトへ誘導するURLリンクが貼られており、開くと個人情報や口座番号、パスワードなどを入力する画面が表示される。入力した情報は詐欺師に渡り、不正な振り込みや引き出し、不正利用などの被害に遭う、という仕組み。
しかも、偽サイトを開いた段階で気付き、情報入力はせずに慌ててブラウザを閉じた場合であっても、ウイルスやスパイウェアなどに感染し、端末の不具合、情報漏洩などの被害が発生する可能性がある。
メールやSMS、SNSを問わず、上記のようなフィッシングURLを開いてしまった場合には以下のような対処を至急行ってほしい。
・開いたPCなどの端末をネットワークから切断する
PCの場合、Wi-Fiを切る、またはLANケーブルを抜く / スマホの場合は、Wi-Fiを切り、モバイルデータ通信をOFF
・ログイン情報などを入力してしまった場合には、すぐにパスワードを変更する(先にネットワークから切断しているため別の端末から行う)
・不正利用がないか口座やクレジットカードの明細を確認し、相談窓口に連絡する
・ウイルス対策ソフトでパソコンやスマホをチェックする
こういったフィッシング詐欺にあわないためには、以下のような心構えが必要だ。
・メールやメッセージに含まれるリンクや添付ファイルをうかつに開かない
・送信元や文面に不審な点がないか確認する
・Webサイトにアクセスする場合は、登録済みブックマークやWeb検索結果から開く
・個人情報を入力する前に、サイトのURLやセキュリティ証明書が正しいか確認する
また海外ではスーパーのチラシや自転車のシェアリング支払用の正規QRコードの上に、不正なQRコードを貼り付ける、「QRフィッシング」「Quishing(クイッシング)」と呼ばれる、ルパンか!と言いたくなるようなユニークな手口も発見されている。
QRコードに変装された日には、とっつぁんもお手上げである。
油断も隙もない世の中であるが、またつまらぬものを踏んでしまった、、、とならないよう充分に注意し、またいつルパンに遭遇してもおかしくないと考え、最小限の被害に食い止めるための対処方法だけは身につけておきたい。
