思わずクリック「フィッシング詐欺」メールの巧妙 専門家も見極め困難、2要素認証と「意識」が大切
ここで、気がついたらすみやかに当該サービスのパスワードを変更する。類似のパスワードを使っているサイト、同じパスワードを使っているサイトがあれば、これらも変更する。
重要度の高いサイト、よく使うサイトはすべて変更するくらいでもよい。会社や組織ならば、おそらくインシデントとして報告しなければならないはずだ。
それでも気づかなかった場合は、おそらくカードの不正利用の連絡を受けたり、身に覚えのない支払い通知が届いたり、自分のアカウントにログインできなくなったり、実際の被害が発生してから気づくことになる。
ただし、ログインアカウントに2要素認証・多要素認証(2FA・MFA)を設定していれば、なりすましが試行された段階で、メールやSMSに通知が届く。
ここで「自分のログインでない」とログインを拒否できれば、自分へのなりすましやカードの不正利用を阻止できる。IDやパスワードは漏れているので、パスワードの変更は必須である。
2要素認証と立ち止まって考える習慣を
大前提として、フィッシングメール攻撃を止めることはできない。これは犯罪が根絶できないのと同じだ。したがって、フィッシングメール攻撃の被害にあわない対策が重要となる。
まず、アカウントには2要素認証・多要素認証を必ず設定すること。面倒でもログイン処理にメールやSMSでの本人確認手順を含めるようにする。より確実なのは、Authenticatorと呼ばれている認証アプリ、FIDO2という認証サービスを使うことだ。
メールやSMSは、偽称が簡単なので2要素認証のメッセージが偽物である可能性を排除できない。詳しい説明は省くが、AuthenticatorやFIDO2は、これらより偽装・偽称が困難になっている。
Authenticatorはアプリなので自分でインストールすることができる。FIDO2は、サイトやサービス側が導入していないと使うことができない。利用しているサービスが対応していれば設定することを心掛けたい。
そして、もう1つ重要なポイントは常にフィッシングに対する意識を持つこと。リンクをクリックする前に、「STOP・THINK・CONNECT(STC)」を思い出す習慣をつける。
つまり、すぐにクリックしないでいったん立ち止まる(STOP)。そして考える(THINK)。問題ないと思ったらクリックして接続(CONNECT)する。
STCはフィッシング詐欺対策の行動規範としてAPWG(Anti Phishing Working Group)とNCSA(National Cyber Security Alliance)によって提唱されたキャンペーンだ。今では、ネット全体を通じて安全に利用するための行動習慣となっている。
東洋経済Tech×サイバーセキュリティのトップページはこちら
記事をマイページに保存
できます。
無料会員登録はこちら
ログインはこちら
印刷ページの表示はログインが必要です。
無料会員登録はこちら
ログインはこちら
無料会員登録はこちら
ログインはこちら