フィッシングサイトにパスワード等を入力してしまうことを防ぐ方法

インターネット上には、ユーザーアカウントを乗っ取ることを目的として、IDやパスワード等の個人情報を盗み取る、公式サイト（ホームページ）と全く同じように作られたフィッシングサイトが多数存在しています。

ユーザーアカウントが乗っ取られると、誰かが貴方になりすまして詐欺等の犯罪に利用されたりする可能性があります。

フィッシングサイトへアクセスすることを出来るだけ避け、アクセスしても気付いて回避する為にはどうすれば良いか考えてみます。

フィッシングサイトへ誘導される経路

そもそも、どのようにしてフィッシングサイトへアクセスしてしまうのでしょうか。例として以下のようなものがあります。

システムの脆弱性を突かれたことにより、システムに異常が発生している状態です。表面上は何も問題が無いように見えて、ログインする時や決済（支払い）をする時だけ、偽サイトに飛ばされます。

URL（ホームページのアドレス）のドメイン（https://の後ろの文字列）が別のもに変わっていないかチェックする手もありますが、決済の部分だけ決済会社のサイトへ遷移するサイトもありますので、決済画面が偽物かどうかを目視で見分けるのは難しいでしょう。

「アカウントがロックされました」といった緊急性の高さから早急な行動を促してくるメールから、「カード決済のお知らせ」といった普段利用しているサービスに見せかけたメールなど、色々あります。

自分が何か手続きをした時、例えばパスワードを変更した時、サービスに新規登録した時など、そのような場合のみメール内のURLをクリックし、それ以外は出来るだけ控えるべきです。クリックするなら、アクセスした先が正しいものかどうかを判断しなければなりません。

SNSで見知らぬ人から突然連絡が来たことをきっかけに、個人的なやり取りが始まり、ある程度の信頼関係を築いた上で、言葉巧みにフィッシングサイトへ誘導されることがあります。相手の気を引く「誘惑のアメ」を置いて待ち構え、接触してきた人を誘導するパターンもあります。

最終的に行きつく先がフィッシングサイトでなくとも、何らかの不利益を被る可能性が高いので気を付けましょう。

なお、このような手口を「ソーシャルエンジニアリング」と言います。

誤って個人情報を入力して盗み取られないようにする為に、以下の行動を意識して行うと良いでしょう。

これはとても簡単です。普段利用しているサイトをブックマークしておき、次回以降に利用する時は、必ずブックマークからアクセスします。（ルータの設定を書き換えられる攻撃を受けると、この方法でも偽サイトに繋がってしまう可能性がありますが、滅多にないのでここでは説明を省きます。）

この機能について簡単に説明すると、予めIDとパスワードを管理ツールに登録した状態でアクセスした際、自動で入力するポップアップを表示してくれます。下記は”Tサイト”へアクセスした時の画面です。

入力の上に吹き出しのようなものが出ています。これをクリックすると、登録している情報が入力されます。IDとパスワードを自分で打ち込む必要も、覚えておく必要も無くなります。

また、スマホの場合は下記のように「パスワードマネージャーを使ってログインしますか？」というポップアップが表示されます。（iOSの例です）

URLが異なるフィッシングサイトへアクセスしても、入力支援機能は動きませんので、それを判断材料として本物の公式サイトかどうかを簡単に見分けられます。

このような機能を提供する製品はいくつかあるでしょうが、かの有名なセキュリティソフトの１つである「ノートン」も提供しています。私はこの製品を長い期間使い続けています。

「パスワードマネージャー」という機能がIDとパスワードを管理し、「ブラウザ拡張機能」が入力支援機能を提供します。

IDとパスワードだけでなく、カード情報・住所・メモを安全に保管出来ます。しかし、カード情報と住所は、どのようなサイトに対しても、それを入力すると思われる場所を自動判別してポップアップを出しますので、そこで入力しても問題ないかの判断は自身に委ねられます。

また、「ノートンセーフウェブ」は、訪れたサイトが危険では無いかを自動的に分析し、危険と判断された場合は即座にアクセスが遮断される機能です。フィッシングサイトの検知もしてくれるそうなので、対策の１つとして有効であると言えるでしょう。

説明は以上となります。フィッシングサイトへの対策として、少しでもお役に立てたのであれば幸いです。