フィッシングの見破り方として逆効果じゃないかな

2023/5/4作成

入力フォームの見た目は本物そっくり! 「NHKプラス」を騙る怪しいフィッシングメールが届いた

この記事だけが問題というわけではないのですが、問題点の典型かなと思うので挙げています。何が問題かというと、記事にある「本物そっくりのフォーム」という見分け方です。これ、むしろ今後フィッシング被害を増大させかねない危険な指南記事だなぁと思います。

どういうことかとういと、デジタルデータの場合本物を完全にコピーすることは容易なんです。だから「本物と同一かどうか」を見分ける手段に使うことは意味がないんです。フォームが本物と少し違ってたからとか、ロゴ画像の色や形が少し間違ってるとか、文章が直訳したようなこなれてない日本語だったなどで、フィッシングサイトを見破ることはあります。その時点ではいいんですよ。確かにそれらの不完全なサイトはフィッシングサイトですから。しかし、見分け方が「本物と同一であるかどうか」に頼るようになると、次のステップとして本物と完全に同じフォームを用意されたら、容易にひっかかってしまうわけですね。むしろ、そうした罠にはめるために初回はわざと稚拙なフォームを用意してくる手口だって考えられます。だから、本物と同一であるかどうかを見分け方にしてはダメなんですよ。

ではフィッシングに騙されないためにはどうしたらいいか。基本的にメールなどに書かれたURLはクリックしないしかありません。リンク先が正しいか確認しましょうと言ってもURL偽装があり得ます。開いたページの証明書を確認しましょうと言っても、今どき詐欺サイトだってデジタル証明書を取得してます。もうとにかくメールのURLを踏んじゃダメなんですよ。踏んでいいのは、そのメールが確かに本物から送られてきたものだと確証できる場合のみ。具体的には自分がウェブサイトからメール送信を依頼した場合のみですかね。そのウェブサイトも本物であるという確証があっての話ですが。毎月定期的に送られてくるメールも大丈夫そうな気がしますが、定期送信スケジュールに合わせて詐欺メールが配信される可能性もあるから、やっぱりダメかなぁ。

ということで、とにかくメールのURLを踏むのはやめましょう。ウェブサイト上のリンクも、サイト管理者が設置したと確信できるリンクしか踏んじゃダメですよね。投稿サイトでユーザが投稿したURLを踏むのは相当に警戒しないといけないいし、どうしても踏む場合でもリンク先のフォームには何も入力してはいけない。そんな感じかなと思います。