ニュース

LINEのフィッシング詐欺を見抜くには? 被害に遭う前に覚えておきたいこと

  • 磯谷 智仁

2018年6月12日 06:00

 実在する企業を装った不審なメールが届いたとき、どう対処すれば良いのか? LINE株式会社は、IT事業会社や一般ユーザーを対象にインターネットセキュリティに関するセミナーを6月8日に開催し、フィッシング詐欺への対策方法について解説した。同日から行われているセキュリティリテラシーを高めるためのキャンペーン「サイバー防災訓練」に合わせて実施したもの。

ユーザーに注意喚起するメールそのものが偽物の場合も

 フィッシング詐欺とは、企業や団体になりすまして個人情報を盗み出すことをいう。主にメールで偽サイトへ誘導し、そこでユーザーのアカウント情報やクレジットカード情報を入力させて詐取する。

 全国の15~69歳を対象に、LINEが5月に行った「サイバーセキュリティリテラシー調査」では、フィッシング詐欺自体の認知度が4割を切っていること(「どんなものかよく知っている」「ある程度知っている」回答の合計)が分かった。また、フィッシング詐欺の接触経路としてはメールが最も多いが、サイト/アプリ経由での接触経路もあることが説明された。

フィッシング詐欺の接触経路(「サイバーセキュリティリテラシー調査」より)

 メールを使ったフィッシング詐欺が多いのは、一度で大量にばらまけることだと高元伸氏(ヤフー株式会社リスクマネジメント室プリンシパル)は述べる。各社サービスが実際にユーザー宛に送るメールの内容に似せるなど工夫を凝らすことで、さらに被害を拡大させている。

 LINEをかたるフィッシングメールの報告が5月以降に増えてたとして、フィッシング対策協議会は注意喚起情報を出しているが(6月6日付関連記事『LINEをかたるフィシングメールの報告が5月から増加、引き続き警戒を』参照)、LINEに限らず、拡散されているフィッシングメールは、サービスのメンテナンスあるいはユーザーのアカウントに不審なログインがあったとして、誘導先の偽サイトでアカウント情報の入力を求めるものが多く見られる。

 このように、ユーザーへ注意喚起を促すメールそのものが偽物の場合もあるとして、間仁田裕美氏(日本サイバー犯罪対策センター:JC3)は警告する。これらのフィッシングメールはターゲットを焦らせて判断を鈍らせる手法のため、まずは落ち着いてメールの送信元や記載されたURLのリンク先が正規のものか確認する必要があるとしている。また、各社公式サイトの告知情報から判断することも推奨している。

 フィッシング対策協議会やJC3、警視庁サイバーセキュリティ対策本部のTwitterアカウント(@MPD_cybersec)では、拡散されているフィッシングメールの本文や画像を公開しているため、それらも参考にすると良いだろう。

フィッシング対策協議会の注意喚起情報ページ
JC3の注意喚起情報ページ

フィッシング詐欺の見分け方~LINEの場合

 そもそも、LINEではアカウント情報の再設定を促すメールを現時点では送信していないと中村智史氏(LINEアプリケーションセキュリティチーム)は述べる。そのため、送られてきた時点で偽物だと判断できるそうだ。

 もし、誤ってリンク先のフィッシングサイトを開いた場合、見分けるポイントはいくつかある。

 例えば、アプリの初期起動時のみ現れるはずのログイン画面がリンク先のサイトで表示された場合は偽物と判断できる。こうしたサイトは画面上部にURLが表示されているのも特徴だという。また、サイトに使用されているフォントも正規のものと異なる場合があるとしている。

正規アプリの初期起動時に現れる画面(左)とフィッシングメールのリンク先に表示された偽サイト(右)

 このように、あらかじめ知っていれば対処しやすいものもあるが、判断に困った場合は公式サイトの告知情報を確認することが重要だ。

個人情報から使用しているサービスまで全て把握されることも――パスワードの使い回しに注意

 アカウント情報の詐取は、金銭獲得までの通過点に過ぎない。もし、パスワードを他社のサービスでも使い回している場合、被害はさらに拡大するだろう。特にメールアカウントに関しては、1つのアカウントでユーザーの個人情報や、使用している複数のサービスをまとめて把握することができる。

 サイバーセキュリティリテラシー調査では、サービスごとに異なるパスワードを使う人は全体で5%程度にとどまるという結果が出た。パスワードを複雑なものに設定することを各社推奨しているものの、全てを覚えるのは難しい。そこで間仁田氏、高氏、中村氏がそれぞれ実践しているという方法を以下まとめた。

  • 長くて複雑なパスワードを1つ用意し、自分だけが知っているルールでサービスごとに一部を変える
  • パスワードの複雑さをアカウントの重要度に応じて変える
  • 二要素認証が提供されているサービスがあれば積極的に使用すること

 アカウントの重要度に応じてパスワードを変えているという高氏は、重要なものは20桁以上に設定している一方で、重要度の高くないものは初期化して都度パスワードを作成する程度の扱いになっているそうだ。

 なお、作成したパスワードの保管方法については、専用ツールやサービスを使用するなど、さまざまな方法があるが、ネットワーク越しに盗まれないという点で、紙に書き残す方法も一般家庭においては1つの手段として有効だそうだ。

 実際に、中村氏は母親のアカウント情報を手帳に記録して必要なとき以外は出さないように管理しているという。家庭内でセキュリティリテラシーの低い人のアカウント情報を管理する場合、それぞれに合ったパスワードの保管方法を見つけ出し、いざというときに相談できる体制も整えておくことが望ましいとしている。