そのリンクは開いて大丈夫ですか？

Q：メール（または、SMSや、LINE・Facebook・Twitter等のDM等）で、リンクが送られてきました。開いて大丈夫ですか？

A：（大丈夫だと断言できないなら）開くな

身も蓋もないですが、そういうことです。
君子危うきに近寄らず。わからなければ開いてはいけません。

何故危険なの？

危険な理由や内容をいくつか類型化します。

ちなみに「誰から送られてきたか」はあまり判断の根拠にならないです。アカウント乗っ取りとか、送信元詐称とかあるので。特にメールやSNS経由の場合。

リンク先が偽物なパターン

いわゆる「フィッシング詐欺」です。偽物のログインページや情報入力ページを表示して、そこから情報を盗むパターンです。

細かい例を挙げればキリがないですが、

• 「クレジットカードが不正利用されています」みたいな表示のクレジット会社からのように見えるメール・メッセージ

• 「お荷物をお届けできませんでした」という宅配便の人からっぽいメッセージ

• 「アカウントの利用料金支払いに失敗しました」という督促っぽいメール

いっぱいあります。総じて「おや、対応しなきゃ」という気分にさせるのが手口です。

ちなみに気をつけないといけない点として、

• そもそもリンク先のアドレスが怪しい

のはまだわかりやすいのですが、

• リンク先の表示を弄ってるやつがある

ことに注意が必要です。特にEメールの場合。
たとえば https://www.google.com と書いてあったら、Googleにいくと思うでしょ？　クリックして試してみてね？

クリックするカモを探してるパターン

これは、メッセージ自体が直接的な攻撃ではなく、攻撃の前段階として使われるパターンが多いです。

もうちょっと具体的に言うと、「リンクをホイホイクリックする人は、たくさん攻撃を仕掛ければ、1回や2回は引っかかるかもしれない」と思われるのです。つまり自分のリスクを上げちゃうパターンですね。

「リンクをクリックしただけでメアドとかバレるの？」と思うかもしれませんが、バレます。
というよりも、たとえば、

Aさん（hogehoge@example.com）には、 https://攻撃サイト/00001
Bさん（funifuni@example.com）には、 https://攻撃サイト/00002
Cさん（pekepee@example.com）には、 https://攻撃サイト/00003

のように、適当にメールやメッセージを送る過程で、それぞれ別のリンクを送るのです。あとはWebサイト側で「どのリンク（アドレス）がアクセスされてきたか」を記録しておけば、誰に送ったメールからリンクを開いたかがバレます。

なので「こんなフィッシングメール来たよ」みたいなメッセージのリンクを、たとえ画像の形式であっても、SNS等に掲載するのもお勧めしません。どっかのバカが興味本位で。あるいは貴方に悪意を持っている人が意図的に。そのリンクを入力して開いてしまった場合、攻撃に晒されるのは貴方でもあります。

危険なサイトに飛ばされるパターン

最近はあまりないですが、Webサイトにアクセスしただけで、端末にウィルス等が入ってくるパターンも「技術的には」存在し得ます。上に書いた2つに比べると、ソフトウェアのセキュリティ機能が強くなってきたので、リスクは下がってきてはいますが、ダイレクトに攻撃を受ける以上、軽視はできません。

特にOSやブラウザ等のバージョンアップをきちんとしてない人は、被害を受けるリスクが高いです。まだWindows7とか使ってる貴方は絶対に気をつけてください。

最後に

「安全かな？わかんないや」と思ったら開かない。これが重要。
ご安全に！