「怪しいWebサイトを目視で見極めろ」は時代遅れ？ 究極のフィッシング対策は存在するのか：半径300メートルのIT

脅威が高度化し、見ただけでは本物かどうか区別できないメールやSMS、Webサイトが増加しています。フィッシング対策の中には、これらを目視で見分ける方法を教えるものもありますが、本質的な問題解決に役立つのでしょうか。

[宮田健，ITmedia]

　マルウェア「Emotet」やフィッシングなど巧妙な手口でこちらをだまそうとするサイバー攻撃が活発化しています。これに対抗するため、多くの組織が追加のセキュリティ研修を実施しています。テレワークを導入する組織であれば、オンラインでのチュートリアル研修もあるかもしれません。

　ただし注意しなければならないのは、セキュリティ対策は「本物」と「偽物」を見分ける「クイズ」ではないということです。むしろ正解にこそ落とし穴があるのではないかという面も忘れてはいけません。

併せて読みたい関連記事

• これからのサイバー攻撃は小規模企業も標的に？　変わるための第一歩を紹介
• 「自動退会対応フィッシング」が流行の兆し？　個人でできる対策を考える
• ゼロから始めるEmotet対策　3つの“基本のき”できていますか？

大切なのは「本物」か「偽物」かを見分けることではない

　差出人が本物かどうか分からないメールから感染を誘うEmotetなどのマルウェアが流行する中、サイバー空間の何かについて、どのように真偽を証明するかは非常に重要な問題です。ではメールやSMS、Webサイトにおいて真偽を判断するポイントはどこにあるのでしょうか。

　実は、そもそもこの考え方自体が今の時代に適していません。フィッシングにおいては真偽の判断を誤らせることが攻撃の糸口ですのでこれを真正面から受けてはいけないのです。私たちは「本物」か「偽物」かを判断することこそが危険だと認識をあらためる必要があります。