有名企業を騙ったフィッシングサイトに引っ掛からない為に
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」10月4日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・有名企業を騙ったフィッシングサイトに引っ掛からない為に
・常に「人の弱さ」を狙う攻撃者たち
ニュース解説
フィッシングサイトに使われたURLのドメインを集計したレポートが公開されており、ドメインに含まれる文字列には、Amazonに関連する文字列や、パッと見ただけでは正しいURLに見える文字列が多かったようです。内容について見ていきましょう。
フィッシングとは、メールなどを通じて攻撃者が用意したWebサイトへ被害者を誘導し、重要な個人情報を窃取するサイバー攻撃です。正しいドメインをURLの一部に含むフィッシングサイトが増えており、目視だけでは正しいサイトと見分けがつきにくい場合があります。
フィッシングサイトのドメイン文字列に最も多く使用されたのは「amazon」で4.73%、次いで「payee」が4.54%、「secure」3.36%、「.co.jp」が3.21%と続いているとされています。amazonの文字列が多く使われているのは、外出自粛によるインターネット通販の利用増加などを背景にフィッシングサイトが増加傾向にあることが関連していると考えられます。なお、「.co.jp」「.com」は、トップレベルドメインではなく、ドメインの一部であるサブドメインとして使われたことが影響しています。
有名企業名を騙ったフィッシングサイトに引っ掛からない為に
有名企業名を騙ったフィッシングサイトに釣られないための対策として、目視に頼らず正しいURLにアクセスすることが必要です。具体的な内容について説明します。
フィッシングサイトのURLには、Amazonなどの通販サイトや銀行、支払いに関連する単語、Webメールやセキュアなログインで使われる単語などが多く使われていると先ほど説明しました。よって、目視だけでは見間違えてしまうリスクが大きく、フィッシングの被害にあってしまう可能性が考えられます。そこで、正しいURLにアクセスするために、まず、メール本文中のリンクはクリックしないことを原則とするべきです。メールだけでなく、ブログやSNSなどで第三者が投稿したURLも同様です。リッチテキストを利用して、表面上は完全に正しいURLに見える場合もありますので注意が必要です。
また、何度もアクセスするURLに対しては、ブックマークを活用にするようにします。特に先ほど説明した、よくフィッシングサイトに使われる単語を含むサイトはブックマークすることをお勧めします。一番最初にアクセスするときは、検索結果に頼らず、インターネット以外の手段で取得したURLを手動で入力することが確実です。URLが正しいかどうか自信がない時には、とにかくアクセスしないことが一番の対策となります。
その他のトピック
常に「人の弱さ」を狙う攻撃者たち
フィッシングサイトには今後も正しいドメイン名と見間違う文字列が多用されることが考えられます。理由は、攻撃者が常に人の弱さを狙っているからです。(全文はこちら)