2段階認証すら突破する場合も フィッシング詐欺から身を守るには？ NTTドコモに聞く（1/2 ページ）

[田中聡，ITmedia]

　携帯キャリアや宅配業者を装った、身に覚えのないSMSやメールが届いたことがあるという人は多いだろう。いわゆる「フィッシング詐欺」と呼ばれるものだが、大手キャリアも、メールに記載のURLにアクセスしないよう、また不正アプリをインストールしないよう、たびたび注意喚起をしている。

　フィッシング詐欺メールが届いたら、どう対応すればいいのか。本文に記載のURLにアクセスしてしまったら、どうすればいいのか。NTTドコモのマーケティングプラットフォーム推進部 セキュリティサービス担当課長の金野晃氏と、国際事業部 技術企画担当 主査の三谷咲子氏にお話を聞いた。

怪しいメールが届いたらどうすればいいのか

個人情報の窃取やマルウェアのインストールが目的

　金野氏によると、2018年頃から運送会社、クレジットカード会社、携帯キャリアをかたるフィッシング詐欺メールが増え始めたという。キャリアの名前をかたるメールでは、「料金が高額になっているのでご注意ください」というメッセージが、注意や関心を引きやすいことから多かったようだ。フィッシング詐欺の中で悪用されるサービスの中でも「携帯キャリアは突出して多い」と金野氏。フィッシング対策協議会が毎月出しているレポートでも、SMSではAmazon、au、ドコモをかたる文面が特に多いと報告されている。

フィッシング対策協議会に寄せられたフィッシング報告件数は、増えつつある（出典：フィッシング対策評議会）

　フィッシング詐欺の手口については、SMS、＋メッセージ、LINE、キャリアメールが多い。手口としては、不正サイトに誘導してdアカウントのID・パスワード、クレジットカードや銀行口座情報などの個人情報を窃取する、マルウェアをスマートフォンにインストールさせるというケースが多い。

　ドコモはセキュリティ対策として2段階認証を導入している。2段階認証とは、ID／パスワード入力の他に、アプリでのログイン可否の選択や、セキュリティコードの入力を追加することで、他人からの不正アクセスをより強固に防ぐ仕組み。しかし、この2段階認証すら突破する手口もある。まず、ユーザーに不正サイトでIDとパスワードを入力させ、その情報を使って詐欺業者が正規サイトにログイン。届いたセキュリティコードをユーザーが不正サイトに入力することで、詐欺業者はセキュリティコードを窃取でき、ユーザーになりすましてログインできてしまうというわけだ。

　マルウェアをインストールする際、セキュリティ対策ソフトをアンインストールし、マルウェアからフィッシングSMSを送信するケースもある。受信したユーザーは知人からのメッセージに見え、「なりすましかどうかが分かりづらくなる」（金野氏）という。

「不明なアプリのインストール」に注意

　SMSやメールに記載のURLにアクセスしても、「それ自体は実害にはならない」（金野氏）が、不正サイトを経由して個人情報を窃取されることで不正決済、マルウェアをインストールすることでフィッシング詐欺がさらに拡大する、といった実害が発生する。

URLにアクセスするだけなら実害は発生しないが、あらぬトラブルを防ぐためにも当然アクセスしない方がいい

　フィッシングSMSの送付先は、ユーザーが保存しているアドレス帳を使うこともあれば、保存していない宛先リストをフィッシングサイトから取得するケースもあるという。「不正アプリがそういった情報を持つフィッシングサーバと通信して、リストを取り込んでいます。お客さまのアドレス帳の中身も、マルウェアに権限を与えてしまうと取られてしまいます」と三谷氏は説明する。

　Androidでは、Google Play以外からアプリをインストールする際に、「不明なアプリのインストール」を個別に許可する必要がある。例えばChrome経由でアプリをインストールする際、「不明なアプリのインストール」でChromeを選んで許可をオンにする必要がある。ただし、「不明なところ（Google Play以外）からアプリをインストールしようとすると、マルウェアに感染する確率が上がる」と三谷氏は警鐘を鳴らす。ドコモとしては、信頼の置けるマーケットからダウンロードするよう注意喚起している。

　セキュリティ対策サービスの「あんしんセキュリティ」の利用も推奨している。万が一マルウェアをインストールしようとした場合に警告画面を出すことで、感染を防ぐ仕組みだ。

不明なアプリをインストールすると、個人情報が攻撃を受ける可能性があるため、オンにしない方が望ましい

フィッシング詐欺メールを見分けるには？

　明らかなフィッシング詐欺メールだと分かったら無視をするのが一番だが、詐欺メールや不正サイトだと見分けにくいこともあり、「セキュリティ意識があってもだまされやすい」（金野氏）という。金野氏は、「送信情報をしっかりと見て、（正規の）メッセージかどうかを判断してほしい」と話す。

　ドコモの場合、同社からユーザーに送信するメッセージは「メッセージR」「メッセージS」「通常メール」に分けられる。このうち、メッセージR／Sは「独自の方式で作っており、第三者がなりすませない」ため、「安心して見てほしい」と同氏。通常メールは、ドコモから発信しているものには公式のチェックマークが付く。これはAndroidでは「ドコモメール」アプリから判別できる。iPhoneの場合、ドコモメールはiOS用のメーラーを使っている関係で公式マークを出せず、ブラウザ版のメーラーから確認する必要がある。

企業の宣伝メールやドコモからのお知らせが多いが、メッセージR／S自体に危険性はない

　＋メッセージの場合、公式アカウントからのメールについては、角の取れた四角形アイコンとチェックマークが表示される。それ以外のメールはアイコンが丸くなるため、そこが大きな判断基準となる。

＋メッセージでは角の取れた四角形アイコンのメールには、公式アカウントを示すマークが付く

　どうしても判断がつかない場合は、本文に記載されている電話番号やURLにはアクセスせず、ドコモの提供サービス一覧から公式サイトにアクセスしてほしいと金野氏は呼びかける。また、2段階認証のセキュリティコードを窃取されてアカウントを乗っ取られないよう、ドコモは生体認証やロック画面で認証を行う「パスワードレス認証」の利用を推奨している。