WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： たかし
カテゴリー： トレンド >TIPS

最近、銀行や大手通販サイトを装った、本物そっくりな偽サイト（なりすましサイト）が増えています。

こうした偽サイトに、うっかりパスワードやクレジットカード情報を入力してしまうと、金銭的な被害はもちろん、アカウントの乗っ取りや、さらなるフィッシング攻撃のターゲットになるなど、取り返しのつかない事態につながりかねません。

「疑うこと」こそが、自分自身を守るための最強のセキュリティ対策です。

今回は、悪質な「なりすましサイト」を見破るためのチェックリストをご紹介します。

サイトのドメインを疑う

サイトのデザインは模倣できますが、Webサイトのドメインだけは、正規のものとは絶対に一致しません。

何をみるか	正しい状態	偽物（なりすまし）
ドメイン	企業名が正確なドメイン名になっている（例：amazon.co.jp）	企業名が途中に含まれる：amazon.co.jp-secure.com のように、企業名の後ろに無関係な文字列がくっついている
プロトコル	アドレスが「https://」から始まり、鍵マークがついている	「http://」のように s が抜けている、または鍵マークがない。
情報源	重要な連絡は、公式Webサイトからの通知、またはメールで正しいURLが送られている。	DMやメールに短縮URLが使われている、またはリンク先がブックマークしたURLと異なる。

対策

ブックマークを活用
普段利用するサイトは必ずブックマークし、メールやDMのリンクではなく、ブックマークからアクセスする習慣をつけましょう。

URLの確認
アドレスバーに表示されたURLを、企業名と一字一句照合する癖をつけましょう。

メッセージの「緊急度」と「情報要求」を疑う

攻撃者は、時間的なプレッシャーと、本来正規のサービスでは要求しない「秘密の情報」を求めてきます。

何をみるか	正しい状態	偽物の証拠（なりすまし）
メッセージのトーン	期限が迫っていても、冷静かつ丁寧な言葉で、解決のための手順を案内している。	「24時間以内に凍結」「今すぐ手続き」など、過度に緊急性や不安を煽る言葉を使っている。
要求される情報	ログイン済みの状態で、パスワードや二段階認証コードを再度入力させることはない。	暗証番号、クレジットカードの全情報、二段階認証コードの入力を求められる。
連絡内容	知人からの連絡でも、金銭や個人情報に関わる話は別の手段でも確認ができる。	知人になりすまし、「緊急でお金が必要」など、いつもと違う不自然な要求をしてくる。

対策

深呼吸
緊急性を煽るメッセージが来ても、まずは深呼吸し、期限を無視して真偽を調べましょう。

教えない
二段階認証コードや暗証番号は、いかなる理由でも他人に教えないでください。

本人確認
知人からの不審な要求は、必ず電話など別の連絡手段で本人に確認しましょう。

もし入力してしまったら

万が一、偽サイトに情報を入力してしまった場合は、被害の拡大を防ぐために対策を講じる必要があります。

対策

パスワードの即時変更
被害に遭ったアカウントだけでなく、同じパスワードを使い回している全てのサービスのパスワードを、すぐに複雑でランダムな新しい一意のパスワードに変更してください。

金融機関への連絡
クレジットカード情報や銀行口座情報を入力した場合は、すぐにカード会社や銀行の公式窓口へ連絡し、利用停止を依頼しましょう。

セキュリティ対策の導入
「二段階認証」を有効化し、パスワード管理ツール（1Password など） を導入して、今後のセキュリティ体制を強化しましょう。

警察への相談
金銭的な被害や情報漏洩が確定した場合、最寄りの警察署のサイバー犯罪相談窓口に相談しましょう。

まとめ

なりすまし攻撃の巧妙化は止まりません。
ですが、正規の情報と比較するとなんらかの違和感はあります。

このチェックリストは、基本的なものですが、これらの行動を習慣化するだけで、安全性は大幅に向上します。

今日から意識して安全にインターネットを利用していきましょう。