フィッシングメールの対処法|サイトの安全性チェックに使えるサイトおすすめ3選
(Webエンジニア)
こんにちは、タクです。最近フィッシングメールが届くことが多いので、この記事では僕の経験と調査結果を元にフィッシングメール受信後のリスクと対処法についてまとめます。困ってる方は参考にされてみてください。
Contents
1、フィッシングメールの対処法
ここではフィッシングメールの対処法について、ユーザーがとった行動によるリスクを踏まえ解説していきます。まず前提として、フィッシング対策は
「普段届いたことのない怪しいメールは絶対開かない」
が基本です。気になるリスクに関してですが、フィッシングメールはただ開いただけでもリスクはあり、問題が起こる可能性はあります(開かずに削除すれば概ねOK!)。その後、メール内のURLをクリックしたり、対象のWebサイトにログインしたりなどの行動をとることで実質的な被害を被るリスクは高くなっていきます。
1、メールを開いただけの場合のリスクと対処
フィッシングメールはただ開いただけの場合も問題が起こる可能性は0ではありません。通常のテキストメールではないHTMLメールはWebページと同じ言語で書かれている為、開くだけでも問題が起こる可能性があります。
フィッシングメールを開いた時、Webページが勝手に立ち上がったりなどもし何かしらの問題が起こればすぐ下記2の対処をします。さらに必要に応じて下記「通報・情報提供先」へ連絡を行ってから即削除する。フィッシングメールか否かを見分ける方法は「【事例】フィッシングメールの見分け方|特徴・チェック項目5選」にて。
また、メール文中にURLが記載されている場合、下記「Webサイトの安全性チェックに使えるサイト3選」を利用するとリスクなく安全なWebサイトか否かを確認できます。
【▼通報・情報提供先】
- 警察庁の「フィッシング110番」・・・フィッシング情報通報先の定番。都道府県別の窓口が用意されてます。
- フィッシング対策協議会・・・フィッシング情報提供先の定番。フォームからブランド名・URL情報を簡単送信できます。
【▼Webサイトの安全性チェックに使えるおすすめサイト3選】
- トレンドマイクロ|Site Safety Center ・・・Webサイトの安全性を4段階で評価。
- Google|セーフブラウジング ・・・安全ではないコンテンツの有無をGoogleが最新データベースから確認してくれます。
- SecURL(セキュアール) ・・・詐欺サイトの判定他、スクリーンショット等詳細情報を取得できます。
(記事下に各サイトの詳細あり。)
2、メール内のURLをクリック、添付ファイルを開く、アプリのインストール等をした場合のリスクと対処
フィッシングメールは基本的に個人情報を抜き取って悪用することが目的です。ゆえに例えメール内のURLをクリックしてWebページを開いても、こちらの何かしらの個人情報を送信していなければ大抵は問題ありません。
ただし、上記のURLクリック含め、添付ファイルを開く、アプリのインストール等をした後、パソコン端末の動作が異常に重くなるなど何かしらの不具合が見られた場合は問題です。悪質なスパムメールによるマルウェア(ウイルス他)感染の可能性も考えられるので、すぐ次の対処をしておきましょう。
- ネット接続を切る。
- セキュリティソフトでスキャンする(脅威発見時は案内に従って削除する)。
ユーザー側が何らかの行動を起こした後の端末不具合時は、端末内にある各種ソフトの不正利用や個人情報流出を防ぐため、まずは「1、ネット接続を切る。」を即実行します。WiFiなら切断タブをクリックし、有線ならケーブルを抜くだけでOK。そして2「セキュリティソフトでスキャンする。」を実行して異常なければ概ね問題ありません。
スキャンはWindowsセキュリティを例にとれば、数分で済む簡易的な「クイックスキャン」と時間がかかりデバイス上の全ファイルを調べる「フルスキャン」。大抵のセキュリティソフトには名称に違いはあれどこの2通りのスキャンが必ずあります。
もし直近でマルウェア感染を許すような操作をしてしまったのではないかという疑いからスキャンを実行する場合はとりあえずクイックスキャンでOK。クイックスキャンは脅威が見つかる可能性の高い最近変更されたファイル・フォルダのみを対象にして行われるので効率的です。時間があってできる限り懸念を払拭したい場合にはフルスキャンを実行すると良いです。
また、開かれたスパムサイトによってはプログラムにより緊急時を装ったWebページを開いた状態から閉じれなくしてこちらの行動を促してくるケースも多いようです。その場合は下記1もしくは2の対処をします。
- 【1、ブラウザを終了する】①画面最下部で右クリックして「タスクマネージャ」を開く ⇒ ②対象のブラウザ名の上で右クリックして「タスクを終了する」をクリックする。
- 【2、再起動をかける】通常通り左下のスタートメニューから「再起動」をクリックする。(悪質なプログラムによりこれができない場合も存在します。その場合は電源ボタンを長押しして強制終了させ、再び電源ボタンから起動させましょう。)
また、もしスキャンにより何らかの脅威が見つかった場合や一時的にでも端末の不具合が見られた場合は、マルウェア感染により個人情報漏洩のリスクが0ではありません。その場合は下記「3、個人情報を送信してしまった場合」も確認して対処しておくのがおすすめです。
3、個人情報を送信してしまった可能性がある場合のリスクと対処
フィッシングメールの多くはこれが目的。「個人情報を抜き取って不正に利用すること」です。ECサイトやSNS等のID・パスワード、その他クレジットカード情報や金融機関のネットバンキング情報など重要な秘匿情報を入力・送信してしまった場合の対処方法は下記。
大抵は何かしらの緊急時を装った問題を提示して僕たちの行動を促してきます。具体的には、金融機関のサイトそっくりに作った偽物のWebサイトに問題発生を提示して解決の為にログインさせたり、最近の買い物で「正常に決済できなかった」等の理由で偽物のショッピングサイトにログインさせたりなどが多いですね。
1、クレジットカード・ネットバンキング情報のケース
・・・直ちに対象となるサービスや金融機関のサポート窓口に連絡・相談する。クレジットカードは即利用停止と再発行の申請をする。ネットバンキング情報はアカウントを(ユーザーID・パスワード共に)変更する。個人で最も大きな被害が懸念されるケースなので、気づき次第1秒でも早く対処すること。
2、EC・ショッピングサイト等のID・パスワードのケース
・・・すぐにパスワードを変更する。サービスにログインし、不審なログイン履歴や利用履歴がないかを確認する。必要に応じてサポート窓口等に相談すること。
3、SNSアカウントのケース
・・・上記同様SNSもすぐにパスワードを変更する。TwitterやFacebookなどのSNSアカウントは、アカウント乗っ取りによる不正投稿により繋がっているたくさんのユーザーをフィッシングサイトに誘導させてしまう等の害を及ぼすリスクがあります。自分1人の問題ではないという意味では、クレジットカード情報等よりも多大な問題発生に繋がる可能性があります。また、お支払い方法の登録が済んでいる広告設定をしているSNSアカウントの場合は広告を悪用される懸念もあります。
上記の他にも金銭発生リスクがあるWebサイトを優先して早めにパスワード変更を行いましょう。もし金銭を引き落とされる等の実害を確認した場合は下記「消費者ホットライン」へ相談する。お近くの消費生活センターを案内してもらえます。
・【相談】消費者ホットライン(消費生活センター)
2、Webサイトの安全性チェックに使えるおすすめサイト3選
ここでは、上記で紹介したWebサイトの安全性をチェックできるおすすめのサイト3つについて具体的に紹介していきます。
まず大手セキュリティソフト「ウイルスバスター」で知られる1、トレンドマイクロのSite Safety Center。こちらはWebサイトの安全性を「安全」「不審」「危険」「未評価」の4段階でカテゴリジャンルと共に簡潔に判定してくれます。
2、Google|セーフブラウジングは、対象URLについて安全ではないコンテンツが見つかったか否かを最新の調査結果を元に白黒判定してくれます。Googleによると、安全ではないコンテンツのあるWebサイトは毎日数千件ほど見つかっているそうです。
3、SecURL(セキュアール)はWebサイトの安全性についてかなり詳しく解析してくれます。ウイルス情報や詐欺サイトの判定に加え、サイトTOPのスクリーンショットなんかも取得してくれます。ユーザーの端末を危険にさらすことなくサイト情報を得ることができる点がメリットです。
Webサイトの安全性チェック方法おすすめとしては、まず1、Site Safety Centerで「安全」と出れば基本的にはOK。「危険」は言うまでもなく絶対アクセス禁止。もしここで「不審」や「未評価」と出た場合には2、Google|セーフブラウジングも使ってみます。どんなサイトか知りたい場合は3、セキュアールも使ってみると良いです。
3、SSL化されているサイトは安全か?【結論:SSLは意味なし】
ちなみに、フィッシング対策のサイトに今もたまに見かけるのですが、「SSL化(https://~|🔒)されているサイトは安全性が高い」といった文言についてです。
結論としては全くのデタラメ。SSL(https://~)というのは、ユーザーがWebページに入力した情報を送信時に暗号化することにより第三者への情報流出を防ぐことができるものです。ゆえにフィッシングメールのそもそもの送信元である第一者への情報流出は当然のことながら防ぐことはできません(第二者はメールを受け取ったユーザーとする)。
さらにはSSL自体、現在は多くのレンタルサーバーサービス等で無料オプションとして提供されているものでもあります。フィッシング詐欺対策において、Webサイトの安全性を図る際にSSL化されているか否かという点はほとんど関係ないと言えるでしょう。
別記事で紹介しましたが、先日僕に届いたフィッシングメールの文中に書かれていたサイトURLもやはりSSL化されていました。フィッシングサイトも今の時代はSSL化されていて当然と言えます。
4、おわりに
フィッシング対策協議会によれば、2021年のフィッシング詐欺被害の全国届け出件数はなんと52万件超えとなっています。多いですよね。それら各被害発生のきっかけは何もフィッシングメールに限ったことではなく、SNSへの投稿や電話などでも相手をだまして金銭等を搾取しようとしてきます。
「これはフィッシング詐欺かもしれない!」と思う出来事に直面したら早急な対処をしておくことで、実質的な被害を被ることを防げます。ID・パスワード等を盗まれたかもしれない‥と思ったなら1秒でも早く対象サービスにログインしてパスワードを変更することが先決です。
その為に、当記事で紹介させていただいたフィッシング詐欺の行動別知識が役立てばとても嬉しいです。
では今日はこの辺で終わりますね。
お読みいただきありがとうございました😃