思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

ここで、気がついたらすみやかに当該サービスのパスワードを変更する。類似のパスワードを使っているサイト、同じパスワードを使っているサイトがあれば、これらも変更する。

重要度の高いサイト、よく使うサイトはすべて変更するくらいでもよい。会社や組織ならば、おそらくインシデントとして報告しなければならないはずだ。

それでも気づかなかった場合は、おそらくカードの不正利用の連絡を受けたり、身に覚えのない支払い通知が届いたり、自分のアカウントにログインできなくなったり、実際の被害が発生してから気づくことになる。

ただし、ログインアカウントに2要素認証・多要素認証（2FA・MFA）を設定していれば、なりすましが試行された段階で、メールやSMSに通知が届く。

ここで「自分のログインでない」とログインを拒否できれば、自分へのなりすましやカードの不正利用を阻止できる。IDやパスワードは漏れているので、パスワードの変更は必須である。

2要素認証と立ち止まって考える習慣を

大前提として、フィッシングメール攻撃を止めることはできない。これは犯罪が根絶できないのと同じだ。したがって、フィッシングメール攻撃の被害にあわない対策が重要となる。

まず、アカウントには2要素認証・多要素認証を必ず設定すること。面倒でもログイン処理にメールやSMSでの本人確認手順を含めるようにする。より確実なのは、Authenticatorと呼ばれている認証アプリ、FIDO2という認証サービスを使うことだ。

メールやSMSは、偽称が簡単なので2要素認証のメッセージが偽物である可能性を排除できない。詳しい説明は省くが、AuthenticatorやFIDO2は、これらより偽装・偽称が困難になっている。

Authenticatorはアプリなので自分でインストールすることができる。FIDO2は、サイトやサービス側が導入していないと使うことができない。利用しているサービスが対応していれば設定することを心掛けたい。

そして、もう1つ重要なポイントは常にフィッシングに対する意識を持つこと。リンクをクリックする前に、「STOP・THINK・CONNECT（STC）」を思い出す習慣をつける。

つまり、すぐにクリックしないでいったん立ち止まる（STOP）。そして考える（THINK）。問題ないと思ったらクリックして接続（CONNECT）する。

STCはフィッシング詐欺対策の行動規範としてAPWG（Anti Phishing Working Group）とNCSA（National Cyber Security Alliance）によって提唱されたキャンペーンだ。今では、ネット全体を通じて安全に利用するための行動習慣となっている。

東洋経済Tech×サイバーセキュリティのトップページはこちら

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。