思わずクリック「フィッシング詐欺」メールの巧妙 専門家も見極め困難、2要素認証と「意識」が大切
東洋経済オンライン / 2024年5月7日 8時0分
では実際、フィッシングメールの被害を受けたらどうすればいいか。
よほど特殊な例でなければ、フィッシングメールを受信しただけ、開いただけで情報が抜き取られたり、マルウェアに感染することはない。受信・開封した時点で気がつけば、慌てずメールを無視することだ。会社や組織に報告の規定があればそれに従う。
もし、フィッシングメールとは気づかずに、文面内のリンクをクリックしてしまったとする。ここで気がついてサイトから離脱できれば、まだ直接の被害は起きていない。
だが、クリックした先で何らかの情報(たいていの画面はID・パスワード・暗証番号・そのほか個人情報の入力画面)を入力してしまった場合は、入力した情報が攻撃者の手に渡ったことになる。
ここで、気がついたらすみやかに当該サービスのパスワードを変更する。類似のパスワードを使っているサイト、同じパスワードを使っているサイトがあれば、これらも変更する。
重要度の高いサイト、よく使うサイトはすべて変更するくらいでもよい。会社や組織ならば、おそらくインシデントとして報告しなければならないはずだ。
それでも気づかなかった場合は、おそらくカードの不正利用の連絡を受けたり、身に覚えのない支払い通知が届いたり、自分のアカウントにログインできなくなったり、実際の被害が発生してから気づくことになる。
ただし、ログインアカウントに2要素認証・多要素認証(2FA・MFA)を設定していれば、なりすましが試行された段階で、メールやSMSに通知が届く。
ここで「自分のログインでない」とログインを拒否できれば、自分へのなりすましやカードの不正利用を阻止できる。IDやパスワードは漏れているので、パスワードの変更は必須である。
2要素認証と立ち止まって考える習慣を
大前提として、フィッシングメール攻撃を止めることはできない。これは犯罪が根絶できないのと同じだ。したがって、フィッシングメール攻撃の被害にあわない対策が重要となる。
まず、アカウントには2要素認証・多要素認証を必ず設定すること。面倒でもログイン処理にメールやSMSでの本人確認手順を含めるようにする。より確実なのは、Authenticatorと呼ばれている認証アプリ、FIDO2という認証サービスを使うことだ。
メールやSMSは、偽称が簡単なので2要素認証のメッセージが偽物である可能性を排除できない。詳しい説明は省くが、AuthenticatorやFIDO2は、これらより偽装・偽称が困難になっている。
この記事に関連するニュース
-
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
ITmedia NEWS / 2024年5月30日 16時57分
-
【調査】三井住友カード「Vpass」をかたる偽サイトに潜入 何がおきるのか?
おたくま経済新聞 / 2024年5月30日 14時37分
-
最近の偽アマゾンサイトの傾向は?→クレカ情報クレクレサイトになっていた
おたくま経済新聞 / 2024年5月23日 16時15分
-
東京ガスおよびマスターカードをかたるフィッシング詐欺に注意
マイナビニュース / 2024年5月20日 15時5分
-
イオンカードを偽るフィッシング確認、注意を
マイナビニュース / 2024年5月9日 8時35分
ランキング
-
1「富士山を黒幕で隠す」日本のダメダメ観光対策 「オーバーツーリズム」に嘆く日本に欠けた視点
東洋経済オンライン / 2024年6月2日 8時0分
-
2サクラクレパスの「こまごまファイル」が“想定外”のヒット、なぜ?
ITmedia ビジネスオンライン / 2024年6月1日 8時10分
-
3秋田で半世紀親しまれる「うどん・そば自販機」、「断腸の思い」で50円値上げ
読売新聞 / 2024年6月1日 13時57分
-
4食卓に「オレンジショック」=果汁が品薄、価格高騰
時事通信 / 2024年6月1日 13時55分
-
5「みどりの窓口削減計画」はなぜ大失敗したのか…JR東が誤解した「5割がえきねっとを使わない」本当の理由
プレジデントオンライン / 2024年6月2日 7時15分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください