ESET/マルウェア情報局

グーグルのテストでフィッシング詐欺を見抜けるのか試した

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたフィッシング詐欺を見抜くことができるか?グーグル社のテストで試してみようを再編集したものです。

 グーグル社の技術インキュベーター *1として知られるジグソー社が、興味深いクイズをオンラインにて公開している。このクイズでは、自身がフィッシング詐欺を見抜く能力が備わっているかどうかを試すことができる。設問では、安全なメールとフィッシング詐欺メールを見分けることが求められる。テストでは詐欺師が金銭、データ、ID情報を盗むために使うごくありふれた手口が出題されていく。最後に、それぞれのメッセージがフィッシング詐欺である理由(あるいは、そうではない理由)について詳細な解説と合わせて確認することができる。

*1 「孵卵器」、すなわち卵をかえす装置という意味が転じ、起業をサポートする人、企業のことを指す。

 ジグソー社のブログ投稿によると、このテストはウクライナやシリア、エクアドルに及ぶ世界中のジャーナリスト、活動家、政治指導者など約10,000人を対象とした同社のセキュリティトレーニングに基づいて考案されたとのことだ。

 8つの設問はすべて、詐欺師が実際に利用している手法をもとに生み出されている。例えば、早急な対応を要求しているかのようにメールの件名などで煽ることで添付ファイルの開封を促す手口(ファイルを開封すると情報窃取のためのマルウェアがダウンロードされる)、Googleドライブで共有されたファイル、メールセキュリティアラート、Dropboxからの通知を利用した手口など多岐にわたる。

 フィッシング詐欺は、最も蔓延しているオンライン詐欺であるのはいうまでもないだろう。しかも、長期にわたって詐欺師が個人情報を盗むのに非常に効果的な方法であった。ジグソー社のデータによると、「現在送られてくるメールの1%はフィッシング詐欺メールである」という。

 実に、セキュリティインシデントの多くは、ユーザーが悪意のあるリンクをクリックすることや、メールやソーシャルメディアで頻繁に送られてくる危険な添付ファイルを開封することで発生している。メールフィルタリング機能を利用すれば、そのような多くの詐欺メールをしっかりと除去できるはずだ。しかし、中にはフィルターをすり抜けて受信ボックスに届くものもある。そのため、有名なセキュリティソフトウェアによく組み込まれているフィッシング対策機能に完全に頼らず、ユーザー自身のフィッシングを見抜く力が最後の砦となるのだ。

 また、ジグソー社が推奨しているように、二要素認証(2FA)をまだ有効にしていないのであれば、すみやかに対応すべきである。ステップを追加することで、比較的簡単に保護機能を向上させることができるからだ。認証を取得するには、テキストメッセージよりも(SMSはないよりましであるが)、専用のハードウェアデバイスか認証アプリを利用するのが最善の方法である。どのような二要素認証が各種オンラインサービスで利用できるかは、このサイトで確認するといいだろう。

 グーグル社のクイズに戻るが、もし全問正解できたのならば誇りに思ってもいい。しかし、自己満足に浸るほどの余裕はないはずだ。より巧妙で「専門家の目でも見抜きにくい」詐欺も常時、多量に発生していることを忘れないようにしたい。

 そして、8つの設問例のいくつかの手口を見抜けず全問正解とはならなかったとしても問題ではない。今回のテスト結果や詳細解説をもとに、これらの脅威についての理解を深め、実際のフィッシング詐欺から身を守るためにより多くの知識をインプットしていくといいだろう。

 このほかのテストを受けてみたいのであれば、ケンブリッジ大学やヘルシンキ大学の研究員が考案したこのアンケートを試してみるのもいい。このテストについては2018年の記事でも言及したが、オンライン詐欺やそのほかのインターネット犯罪にどれほどだまされやすいのかを判定することができる。

 参考URL:
 フィッシング詐欺にだまされないための5つの方法
 フィッシングアレルギー– フィッシングメッセージの見分け方
 フィッシング詐欺の手口を解明