連載
» 2021年01月19日 07時00分 公開

全てを「見抜く」のも限界…… フィッシング詐欺を防ぐ「正しい怖がり方」半径300メートルのIT

SMSや電話を利用したフィッシング詐欺の手口は、ますます巧妙化しています。こうした詐欺を全て「見抜く」ことが困難になってきたからといって、全てのWebサイトや電話を怪しむ状態は健全とは言い難いでしょう。今回は対策の一つとして「正しく怖がる」ことを提案します。

[宮田健,ITmedia]

 先日家族の元に、地方在住のやや年上の親戚から電話が来ました。横で聞いていると「不在の宅配に関するSMSが届いたが、何か送ったか?」という電話の内容でした。家族は「SMSや携帯メールに届いた情報は全部無視していい」とぴしゃりと返答していました。

 宅配事業者を装うSMSを利用した詐欺はずいぶんと前から発生しており、最近はSMSに記載されたリンクをクリックすると、銀行をかたったフィッシングサイトにつながり、ログイン情報を盗もうとする手口も登場しています。冷静に考えれば全く違うサイトに誘導されるため気が付くのではないかと思いますが、一定の被害が発生しているのも事実です。

いろいろ来るSMS 全部無視していいのだろうか

 暫定的ですが「SMSや携帯メールに届いた情報は全部無視していい」という対処は正しいといえるのでしょうか。恐らくほとんどの場合は無視して良いでしょう。宅配に関してはそもそも不在票がポストに入っているはずです。各事業者の中には「当社では荷物の集配についてショートメール(SMS)によるご案内は実施していません」と明言しているところもあります。

 SMSの内容が「現金をプレゼントします」や「抽選に当選しました」など身に覚えのない「うまい話」である場合には特に注意が必要です。攻撃者の最終的な目標は、銀行口座の暗証番号やクレジットカードの決済情報一式、オンラインバンキングの認証情報などの窃取です。SMS詐欺の手口は、要約すると「数十万円を振り込む代わりに、暗証番号を教えてくれ」といわれているのと同義ですので、無視するのが一番です。

 総務省は今後、マイナンバーカードを持っていない人に向けて、必要な申請書を郵送すると発表しています。恐らくこれに関連する詐欺が多発するものと思われますので、皆さんも覚えておいてください。

 上記で「無視するのが一番」と記載しましたが、先日判断に困る事件が起きました。埼玉県警察犯罪情報官によるツイートで「市役所職員を装う者から『敬老祝い金があります。銀行の口座番号を教えてください』などの詐欺電話が確認されています」という内容の注意喚起がTwitterアカウントから発せられました。

 しかしその後、上記のTwitterアカウントから「詐欺電話ではなく、実際に市役所職員が該当者に対して電話で連絡をしていたことが判明しました」という内容がツイートされました。紛らわしい事例であるため、警察犯罪情報官が間違ってしまうのも無理はないでしょう。

 これは詐欺行為がはびこることで通常の運用に負担がかかる実例といえます。もし私が市役所側の人間であれば「詐欺行為と誤解される恐れがある」という前提で考えて、まずは市役所のWebサイトやSNSアカウントなど、市役所からでしか発信できないところに情報を記載して、その後電話やメール、ハガキで情報を発信する手法を取ります。電話やメールで詳細についてはWebサイトなどを参照するよう伝えておくことも有効です。同時にブックマークからWebサイトにアクセスすることを心がけてください。メールなどに記載のURLは信用しないということも対策の1つです。

 これを実践する際には、外部の人間が不正なテキストを埋め込めないようにWebサイトにおける「改ざん対策」や特定メンバーだけが操作できるようにSNSアカウントを2段階認証で保護しておく必要があるでしょう。

巧妙化する詐欺の手口 安全策にはリスクもある

 フィッシングをはじめとして、詐欺の手口は日々巧妙化しています。そのため「見抜く」という前提で考えているといつか破綻するでしょう。一方で全てのWebサイトや電話を怪しむ状態は健全とはいえません。

 ITセキュリティにおいては「正しく怖がる」ことが重要です。全てのITツールを怖がり使用しないという選択はどうしても不便が生じます。先述の「SMSを全て無視する」という対策は、簡単である一方で有用な情報を取り逃す可能性を否定できません。

 「判断がつかないため安全な手法を取る」からできればもう一歩進み「インターネットは半信半疑」で考えてみましょう。そのためには「なぜ信じるか」または「なぜ疑うか」を判断する「知識」が必要です。日々のセキュリティニュースや企業のインシデント事例を学び、インプットを蓄える重要性が分かってきたのではないでしょうか。

 この考え方におけるもう一つの重要な要素は、サービス提供側の情報発信にあります。企業は「顧客向けのサービスにおいては、B2CだけでなくB2Bも含めて重要情報を狙う詐欺に遭う可能性がある」という前提に立ち、顧客がだまされないよう正しい情報を的確なタイミングで発信する必要があります。SNSなどで自社や自社ブランドをかたる怪しいメールやSMSが来ているかどうかを定期的にチェックして発見次第公式に否定する情報を発信しましょう。

 顧客側である私たちからも、詐欺と思わしき怪しいメールが来たらフィッシング対策協議会などに情報を提供することが重要です。「情報提供はハードルが高い」という場合は、積極的にSNSなどで投稿して情報を共有することで、被害に遭う人を減らしていきましょう。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ