「自分は騙されない」という人ほど注意、思わずクリックしてしまう「フィッシング詐欺」メールの巧妙手口
最新の攻撃メールが確認されると、フィッシング対策協議会(APC)やドコモなどの通信事業者が、ホームページを適宜更新するので参考にするとよい。自分が利用している金融機関や企業(をかたる)のフィッシングが流行っているのか、と注意喚起に役立つ。 また、さまざまなサイトにフィッシングサイトを見分けるポイント、正規ドメイン名かどうかの判定ポイントなどが公開されている(ドメイン名が正規のものか、意図的な誤植が含まれていないかなど)ものの、これだけで見分けるのは難しい。
リンク先の確認は心がけとして常に意識しておくべきことだが、現在のドメイン名の仕組み、URLの使い方は複雑で、「ここを見れば偽物かどうかわかる」というポイントは存在しないと考えたほうがいい。 正規サイトでも、キャンペーンごとにドメイン名を個別にするなど、企業名と連動しないものが増えている。 短縮URLやQRコードも注意が必要だが、これらは目視確認が困難だ(リンク先アドレスをコピーしてテキストファイルなどに張り付けて確認する必要がある)。特定の文字列が含まれていればOK、NGという判定方法に頼るのは、かえって危険である。
厄介なのは、正規のドメイン名が攻撃者によって再利用されるパターンだ。サービスや製品ごとに取得したドメイン名が、サービス終了や廃番によって放置されていることがある。 攻撃者は、これらをフィッシングメールの誘導先に利用する。このようなURLは、セキュリティシステムのブラックリストや悪性サイトのデータベースで排除できないことがある。 ドメイン名は(ほぼ)任意の文字列で登録することができる。持ち主が更新を忘れたり手放していれば、同じドメイン名は誰でも取得可能だ。
企業名や商品名が含まれたドメイン名は、一度は正規ドメインとして運用されていたものであり、検索エンジンに登録されている可能性が高い。誘導、フィッシングに最適だ。 2023年、NTTドコモは自社サービスのドメイン名を失効させてしまい、その名前が競売にかけられたことがある。同社は自動入札で最高値落札を余儀なくされたという事件も起きている。 ■入力したアカウント情報はどのように利用されるのか フィッシング詐欺によって直接被害を受けるのは、自分のアカウント(ID・パスワード等)やクレジットカードの情報だ。