どうも。細々と活動しているスガ〜です。
ココナラのブログでどこまで書けるか試していきつつ、情報セキュリティに関する話題を出していこうと思います。
できるだけ分かり易く(と思い込んでいる)内容にしていきたいと思います。外部サイトへのリンクを貼れないので、みなさまが調べていけるように、外部の検索サイトで調べていけるキーワードを太字にして示します。なお、検索したときは、悪意のあるサイトにアクセスしないよう十分にご注意ください。
また、読み方が分かりにくいなぁと感じたIT系の用語は、角括弧[ ]内にカタカナで読み方を付けておりますので参考にしていただければと思います。
2023年11月18日に届いたメール
2023年11月18日のこと。
下の図のようなメールが届きました。
図1 メール表示内容
・・・5円ですよ。5円・・・。
図2 金額・・・
$5の間違いでは?と思うじゃないですか。
精巧に作られたフィッシングメールだと思うじゃないですか。
こんなときは、ボタンをクリックせずに、ブラウザーを起動して、URLを直接入力して、サイトにアクセスして、「アカウントサービス」ー>「ギフトカード」へと進みます。
図3 メール上のボタンは、クリックしない!
図4 ギフトカードの残高画面
あ、ちゃんと5円が入っている!
・・・早とちりでした。
フィッシングメールには気を付けよう!
まぁ、メールのソースをちゃんと確認していけばわかることなのですが、スマートフォンなどのメールアプリは、詳細まで踏み込んで確認することができない場合があります。
そのため、メールの内容だけでは、正しい企業から届いたメールなのかどうか、分かりにくい、判断しにくいものも出てきます。
最近、BIMI[ビミ](Brand Indicators for Message Identificationの略)を利用する企業も出てきているようですが、十分に認知されるのは先になりそうです。
そのため、自衛する手段としては「メール内のボタンやURLをクリックしない」ことが大事です。
サイトに、直接アクセスすることが重要になるのですが、URLをキーボードから入力するのも危険です。
なぜなら、タイプミスによって悪意のあるサイトにアクセスしてしまうこともあるからです。
このようなキーボードからの入力ミスを期待してアクセスを待ち受ける行為を、タイポスクワッティング(Typo squatting)と呼びます。
gmailのアドレスにメールを送信しようとしたら、gmaiにしちゃった、などは有名な話ですね。gamilなんてのもあります。
そのため、普段利用するサービスであれば、正しくアクセスしたときに、ブラウザーのお気に入りなどに登録しておいて利用し、正規のサイトにアクセスできるような手順を確立しておくと良いです。そこから、必要なページへ移動するようにします。
スマートフォンだったら、当該企業が提供しているアプリを使用するというのも対策の一つです。
ちょっと面倒なんですけどねぇ。自分を守るため、です。
参考:総務省、国民のためのサイバーセキュリティサイト、「フィッシング詐欺に注意」
www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/enduser/enduser_security01_05.html
(https://を前に付けて、アクセスしてください。)
この時期はフィッシングメールも増えるから、みなさまお気をつけて。
情報セキュリティのご相談を承ります!