2段階認証すら突破する場合も フィッシング詐欺から身を守るには? NTTドコモに聞く(1/2 ページ)
携帯キャリアや宅配業者を装った、身に覚えのないSMSやメールが届いたことがある、という人は多いだろう。個人情報を盗まれてアカウントを乗っ取られたり、不正なアプリをインスールしたりする恐れがある。こうした「フィッシング詐欺」で被害に遭わないための対策をNTTドコモに聞いた。
携帯キャリアや宅配業者を装った、身に覚えのないSMSやメールが届いたことがあるという人は多いだろう。いわゆる「フィッシング詐欺」と呼ばれるものだが、大手キャリアも、メールに記載のURLにアクセスしないよう、また不正アプリをインストールしないよう、たびたび注意喚起をしている。
フィッシング詐欺メールが届いたら、どう対応すればいいのか。本文に記載のURLにアクセスしてしまったら、どうすればいいのか。NTTドコモのマーケティングプラットフォーム推進部 セキュリティサービス担当課長の金野晃氏と、国際事業部 技術企画担当 主査の三谷咲子氏にお話を聞いた。
個人情報の窃取やマルウェアのインストールが目的
金野氏によると、2018年頃から運送会社、クレジットカード会社、携帯キャリアをかたるフィッシング詐欺メールが増え始めたという。キャリアの名前をかたるメールでは、「料金が高額になっているのでご注意ください」というメッセージが、注意や関心を引きやすいことから多かったようだ。フィッシング詐欺の中で悪用されるサービスの中でも「携帯キャリアは突出して多い」と金野氏。フィッシング対策協議会が毎月出しているレポートでも、SMSではAmazon、au、ドコモをかたる文面が特に多いと報告されている。
フィッシング詐欺の手口については、SMS、+メッセージ、LINE、キャリアメールが多い。手口としては、不正サイトに誘導してdアカウントのID・パスワード、クレジットカードや銀行口座情報などの個人情報を窃取する、マルウェアをスマートフォンにインストールさせるというケースが多い。
ドコモはセキュリティ対策として2段階認証を導入している。2段階認証とは、ID/パスワード入力の他に、アプリでのログイン可否の選択や、セキュリティコードの入力を追加することで、他人からの不正アクセスをより強固に防ぐ仕組み。しかし、この2段階認証すら突破する手口もある。まず、ユーザーに不正サイトでIDとパスワードを入力させ、その情報を使って詐欺業者が正規サイトにログイン。届いたセキュリティコードをユーザーが不正サイトに入力することで、詐欺業者はセキュリティコードを窃取でき、ユーザーになりすましてログインできてしまうというわけだ。
マルウェアをインストールする際、セキュリティ対策ソフトをアンインストールし、マルウェアからフィッシングSMSを送信するケースもある。受信したユーザーは知人からのメッセージに見え、「なりすましかどうかが分かりづらくなる」(金野氏)という。
「不明なアプリのインストール」に注意
SMSやメールに記載のURLにアクセスしても、「それ自体は実害にはならない」(金野氏)が、不正サイトを経由して個人情報を窃取されることで不正決済、マルウェアをインストールすることでフィッシング詐欺がさらに拡大する、といった実害が発生する。
フィッシングSMSの送付先は、ユーザーが保存しているアドレス帳を使うこともあれば、保存していない宛先リストをフィッシングサイトから取得するケースもあるという。「不正アプリがそういった情報を持つフィッシングサーバと通信して、リストを取り込んでいます。お客さまのアドレス帳の中身も、マルウェアに権限を与えてしまうと取られてしまいます」と三谷氏は説明する。
Androidでは、Google Play以外からアプリをインストールする際に、「不明なアプリのインストール」を個別に許可する必要がある。例えばChrome経由でアプリをインストールする際、「不明なアプリのインストール」でChromeを選んで許可をオンにする必要がある。ただし、「不明なところ(Google Play以外)からアプリをインストールしようとすると、マルウェアに感染する確率が上がる」と三谷氏は警鐘を鳴らす。ドコモとしては、信頼の置けるマーケットからダウンロードするよう注意喚起している。
セキュリティ対策サービスの「あんしんセキュリティ」の利用も推奨している。万が一マルウェアをインストールしようとした場合に警告画面を出すことで、感染を防ぐ仕組みだ。
フィッシング詐欺メールを見分けるには?
明らかなフィッシング詐欺メールだと分かったら無視をするのが一番だが、詐欺メールや不正サイトだと見分けにくいこともあり、「セキュリティ意識があってもだまされやすい」(金野氏)という。金野氏は、「送信情報をしっかりと見て、(正規の)メッセージかどうかを判断してほしい」と話す。
ドコモの場合、同社からユーザーに送信するメッセージは「メッセージR」「メッセージS」「通常メール」に分けられる。このうち、メッセージR/Sは「独自の方式で作っており、第三者がなりすませない」ため、「安心して見てほしい」と同氏。通常メールは、ドコモから発信しているものには公式のチェックマークが付く。これはAndroidでは「ドコモメール」アプリから判別できる。iPhoneの場合、ドコモメールはiOS用のメーラーを使っている関係で公式マークを出せず、ブラウザ版のメーラーから確認する必要がある。
+メッセージの場合、公式アカウントからのメールについては、角の取れた四角形アイコンとチェックマークが表示される。それ以外のメールはアイコンが丸くなるため、そこが大きな判断基準となる。
どうしても判断がつかない場合は、本文に記載されている電話番号やURLにはアクセスせず、ドコモの提供サービス一覧から公式サイトにアクセスしてほしいと金野氏は呼びかける。また、2段階認証のセキュリティコードを窃取されてアカウントを乗っ取られないよう、ドコモは生体認証やロック画面で認証を行う「パスワードレス認証」の利用を推奨している。
関連記事
- 不正アプリをインストールしてしまったら? 携帯各社がフィッシング詐欺へ注意喚起
NTTドコモ、KDDI、ソフトバンク、楽天モバイルは、通信事業者などを装うフィッシング詐欺へ注意喚起。被害を防ぐためにユーザーが注意すべき点や、不正なサイトへのアクセスや不正アプリのダウンロード時の対応についても案内している。 - dアカウントの「パスワードレス認証」が生体認証“非対応”スマホでも利用可能に 10月22日から
NTTドコモの「dアカウント」において、同社の生体認証非対応スマホでもパスワードレス認証を利用できるようになる。対象は5機種で、パスワードの代わりに画面ロックの解除方法を使って認証できるようになる。 - ドコモ、オンラインショップを装ったフィッシングメールへ注意喚起
NTTドコモは、ドコモオンラインショップを装ったフィッシングメールへ注意喚起。メール本文中に記載されたリンク先にアクセスすると個人情報の入力を求められる事例が報告されており、アクセスしないよう呼びかけている。 - 「dアカウントの一時的な利用停止」のフィッシングメール ドコモが注意喚起
NTTドコモは、同社を装った「dアカウントの一時的な利用停止」に関するフィッシングメールについて注意喚起を行った。dアカウントのIDやパスワードなどの個人情報の入力を求められる事例が報告されている。 - 「ドコモメール公式アカウント」提供開始 フィッシング詐欺対策で送信元を明示
NTTドコモは、新機能「ドコモメール公式アカウント」を提供開始。申込企業や団体の公式アカウントから送信されたメールだと明示し、送信元を容易に判別できるようにしてフィッシング詐欺メールを防ぐ。
Copyright © ITmedia, Inc. All Rights Reserved.