フィッシング対策は視野が狭くなると益々犯罪者の思う壺
「フィッシングとはネット版のオレオレ詐欺」という言葉がしっくりきます。
フィッシングメールはその文面だけで看破る方法に拘ったり、引っかかる前だけに拘ると事実上対策が不可能という結論になり対策を見誤ってしまいます。
引っかかることを回避することだけではなく、大切なものを被害から守り抜くことが第一と視座をあげましょう。
失敗の多くはチェックを枝のプロセスとして後付けすることで手順がスキップされることにあります。
送金や口座の変更、連絡先の変更など大事な処理の変更はメールだけでなく、そのメール以前に知り得た電話番号に掛け確認する。その相手方と同じ組織の上司など別の人間に確認するなど手順として相手に誘導されないよう一連のプロセスに検証手順を組み込みましょう。
個人の責任で負いきれない判断結果責任を、個人の判断に委ねること自体が筋違いです。都度判断ができないのであれば判断プロセスと基準自体を承認し、責任範囲を逸脱する状態を作らせないようにするのが組織としての責任のあり方です。
それでもプロセスの承認が後手後手になることはあり得ます。その場合以下の言葉を肝に置き、外部からの搬入作業よろしく危険なものを組織内に入れない検証作業としてしっかり責任を果たしましょう。
大原則:〇〇だから安心と思考停止するのは、責任放棄に等しい
他に大切なマインドは、他組織への相談や人を巻き込むことを臆さないこと、手順にない不備を発見・伝達することは組織にとってプラスとあることです。
マインドセットはできましたね。
それでは基礎知識から確認しましょう。
ドメインを正しく知る
原則:最初のスラッシュ直前がそのコンテンツの持ち主のドメイン
次の3つのドメイン(①〜③)がどこのコンテンツか上の原則に従って回答してみましょう。
何となく前から読むと間違ってしまうものです
abc.xxx.com/def ⇨ xxx.comのコンテンツです。
abc-xxx.com/def⇨ abc-xxx.comのコンテンツです。
abc.com@xxx.com/def⇨ xxx.comのコンテンツです。メールなどはこの形式ですね
0とoや1とl、oとcといった見かけが似た文字で「acc0unt.micrcsoft.com」なんて書かれていると一瞬あってそうですが、
「acc0unt.micrcsoft.com」と「2箇所」違っています。
サイト、メール、SMSを正しく知る
原則:メールもサイトもSMSも複製できるもの、そして見た目と中身をどれも別にできる
Webサイトについて
WebサイトがHTMLでできているのは皆さんもご存知かと思います。
パソコンであれば右クリック、ページのソースを表示とできればこのページがどのようなHTMLで表示されたものか判ります。
このHTMLと同じように書けば表示上同じにすることは容易です。同時に表示されていない指示もたくさん書かれていることに気づくはずです。
この表示されていない部分を悪意あるコンテンツに置き換えたとしても、表示上は気づくことができません。
HTTPSだからは信用できません。最近は詐欺サイトもHTTPSです(ただしEV証明書ではない)
二段階認証であっても詐欺サイトは簡単に作成できてしまいます。ログイン情報さえ盗めれば攻撃者はそれで良いので
メールについて
差出人(From)の偽装、リンクの偽装、拡張子の偽装、メールアイコン、ロゴの偽装が可能です。
基本はカーソルを置いて意図したドメインが異なる場合や、拡張子とアイコンが合わない(見た目ワードのアイコンだが .exeなど)をチェックします。
本物の過去メールやマニュアル、テンプレートまで持っているケースまであるので、「不自然な日本語」で看破るのは事実上不可能です。
やりとりの間に差し込まれるケースもあるので、フリーWi -Fiでのやり取り時、口座や連絡先の変更を含む、契約や取り決め変更するような重要な処理を促される場合は、過去に知り得た電話番号による確認(メールに書かれている電話番号は偽物かもしれない)、相手組織の上長など別の人間に確認するを手順に組み込むようにしましょう。
SMSについて
URLリンクもそうですが、電話番号が記載されている場合はその番号にかけることで詐欺に巻き込まれる可能性があるため、電話をかける必然性がない限り元々知っているメールアドレスや、サービスの公式ページのお問い合わせページから確認するのも手順としてあっても良いでしょう。
認証したタイミングでないにも関わらず、追加認証のSMSが来た場合も直接SMSを触らず、そのサービスの認証状態を直接確認しましょう。
ウィルスソフトやフィルターに関して正しく知る
対策ソフトを入れているから安心ではありません。攻撃する側も対策ソフトを購入しており引っかからない検証の上攻撃しております。
特に日本では背景調査が事実上できておらず、ウィルス対策ソフトの悪用した犯人もまともに逮捕すらできず逃してしまっている始末です。
ようやく経済安全保証関連法ができましたが、世間は個人の権利が侵害されるの意見に便乗し思考停止するリテラシーのレベルです。
公(おおやけ)の安全があって私活動ができていることを自覚しましょう。もちろん政府の介入が過剰であればCheck&Blanceが大切になります。
迷惑メールの判定基準と言っても基本的には
・ドメインを取得してからの期間
・送信元ドメイン認証の設定状態
・スパム報告数
・バウンス率
なので、犯人側が容易したドメインが正規のドメインよりスコアが良いケースすらあります。
スコア公開されており、mail-tester.comで検証できます。
さらにドロップキャッチと言って、ドメインを不更新とした場合、そのリリースの瞬間を狙ってドメインを取得され転売され悪用されるケースが後を経ちません。
元々正規に利用していたドメインですから、疑う方が困難です。
元々過去から関係がある取引先が紆余曲折でフィルターを緩めているケースもよくあります。
その取引先の担当者が退職した場合、フィルターの基準を組織の基準に見直しているでしょうか。
自組織・他組織問わず退職・異動など情報を正しい状態にし、現状からしてあり得ないコンタクトがあった場合に気付ける体制が必要となります。
そしてこのような情報をセキュリティ組織などに連携し組織として横断的に異常に気付けるようにすることで、一人の目線、一つの対象への検証では気付けなかったフィッシングへの対処が可能になります。
そしてひとつひっかかってしまっても詐欺が成立する前に止めることができれば被害を出さないことできるということを念頭に、一連の作業が終わるまでに異常があればそれ以上進めず、所定の組織、上長、同僚を巻き込み個人の問題で抱えきれない責任を持ち続けないことを必ず実施するような組織文化を作っていきましょう。
以上です。参考になれば幸いです。