フィッシング被害を防ぐには

今年になってから大手証券会社を中心に、フィッシングによるID・パスワードの盗難を経て不正に売買される被害が急増している。このような不正取引の被害に遭わないためには、フィッシングの被害を防ぐ行動が求められる。

いくつかの行動でリスクを激減できる

　今年に入ってから楽天証券など大手証券会社を中心に、証券口座の乗っ取りによる不正売買の被害が続出している。このような不正売買はまず犯罪者がフィッシングによって個人のIDやパスワードを盗み取り、それを使って証券口座にログインして無断で売買を行う。

今回問題になっているのがこのフィッシングという犯罪手法だ。パソコンのEメールや携帯のSMSなどに自分の口座番号、パスワード、あるいはクレジットカード番号などの入力を促す画面に誘導するメッセージがきて、指示通りに入力してしまうと相手の方に自分の口座番号、パスワード、クレジットカード番号などの情報が盗まれる。

　したがって大事なことは、フィッシングの被害を防止すること。フィッシングのメールはどんどん巧妙化している。現在不正売買が拡大している大手証券の名前が「from」欄に入っており、件名は「口座の本人確認をして下さい」などフィッシング防止のためのメールであるかのように見せかけるものも多い。だが実際はフィッシング防止のためのメールではなく、それがフィッシングメールそのものである。

　このようなフィッシング詐欺に引っかからないためには、まず以下のような点に気を付けることがいい。

1. メール差出人のドメインを見る

　Eメールの「from」には差出人の名前とメールアドレスが書かれている。そしてアドレスの@から右の部分がドメインだが、怪しいメールはまずそこに注目してみる。

　フィッシングメールは大手証券会社やAmazonなど有名なウェブサービスの名前を差出人欄に書いてくることが多く、そのような名前を使って受信者にクリックさせようとする。しかし差出人のドメイン部分まで詐称しているフィッシングメールはまだ少ない。

　例えば差出人が「Amazon」とあっても差出人アドレスのドメイン部分は本来のAmazon日本法人の「amazon.co.jp」ではなく別のドメインになっているものが多い。そのようなメールはフィッシングメールで確定と言える。

2. URLのドメインを見る

　フィッシングメールは「ここをクリックして手続きをして下さい」のように、クリックして特定のサイトに誘導するボタンがついている。そこをクリックせずにまずカーソルを当ててURLを表示させて見ると、差出人の大手企業のドメインではなく違うドメインになっているものがほとんどだ。

　違うドメインならフィッシングで確定だが、この方法を使う時はマウスを動かしてカーソルを当てるだけでクリックしてしまわないように気を付けないといけない。

3. メールのURL等をクリックしない

　すでに説明したように、フィッシングはメール等のURLやボタンをクリックしてIDパスワードを盗むサイトに誘導されることで被害になる。

　そこでメールを見てどうしても気になる内容なら、メールのURL等をクリックせずに直接そのサイトに行って手続きができるか確認してみる。たとえばAmazonを騙るメールがきた場合、メールのURLやボタンをクリックせずにAmazonのサイトに行ってメールの内容通り何らかの問題があるのか確認をすればいい。

4. カスタマーサポートに確認する

　フィッシングメールは大手企業を騙るものが多いので、気になる内容があったらボタンを押す前にカスタマーサポートに電話やメールなどで直接確認してみる。

5. 多要素認証を設定する

　フィッシング詐欺が増えているため、証券会社などではログイン時にワンタイムパスワード（OTP）など多要素認証を設定できるサイトが増えた。OTPは自分のメールアドレスや携帯に送られてくる毎回違うパスワードなので、これが設定されていると固定のIDやパスワードを盗まれても、その犯罪者はログインできない。

.

　これだけ実行すれば簡単にはフィッシング詐欺の被害には簡単には遭わないが、フィッシングは常に新しい手口が作られるので今後も100％防げる保証はない。新たな手口が出てきたら、そのような手法を回避するよう気を付けることが大切となる。