初出:2021/09/03
改稿:2023/04/27
フィッシング詐欺、怖いですね。俺も危うく引っかかるところでしたよ。
まあ、いきなり「ウイルスに感染しています!」とか出てきたら、知らなければ驚くのも無理はない。
我々だってそういうのにビビった時期があった訳ですから、しょうがないですよね。
ええ? 先生方にもそんな時期があったんですか?
インターネット黎明期の頃から使ってると色々なものを見るんじゃよ。
まあ、長年使って来た分、いろんな事例を見聞きしてスレたってことですね。
その割にはスピリタスで釣られてましたけど・・・
誰しも弱点はあるんだよ・・・
![ポルモス ワルシャワ スピリタス [ ウォッカ 500ml ]](https://m.media-amazon.com/images/I/31+lOsMp07L._SL160_.jpg)
「ウイルスに感染してます」といきなり言われるアレの正体とは!?
どうも。Jokerです。対談動画でフィッシング詐欺について触れました。
「ウイルスに感染してる!」とか「あなたのパソコンを綺麗にしてスピードアップ!」みたいな広告を通じてタチの悪いアドウェアとかマルウェアを入れさせたり、偽サイトへ誘導して最終的にログイン情報やクレジットカード番号を盗みだす、そういう詐欺の事ですね。
今回はその辺について動画で触れきれなかった部分も含めて解説していこうと思います。
フィッシング詐欺とは何か
フィッシング詐欺は「Fishing」ではなく「Phishing」と書きます。語源はいくつか説がありますが、まあ、魚釣りに引っかけたハッカー的なスラングがそのまま使われている感じ。
端的に言えば、偽の情報をちらつかせて、やはり偽のウェブサイト、フィッシングサイトや、怪しげなアプリをインストールさせようとする、その行為が魚釣りみたいだからそう呼ばれている、と思っておけばOKです。
手口は多種多様。その昔は銀行を騙ってCD-ROMを送り付け、それをパソコンに入れると勝手にフィッシングサイトに繋がってお金を騙し取られる、なんて事例もあるくらいです。
年々、巧妙化が進んでおり、昔からあるEメールからの誘導や、SNSのDM(レイバンのサングラスとか懐かしい)、スマホ宛てのメッセージ、そして動画で最初に触れたウェブ広告からの誘導など・・・
これらはすべてフィッシング詐欺です。
![[レイバン] サングラス 0RB3447N ROUND METAL 001/3F CLEAR GRADIENT BLUE 50](https://m.media-amazon.com/images/I/21Z1sE0jCJL._SL160_.jpg)
類型的な事例の紹介
そんなわけで、山ほどケースがある訳ですが、いくつか類型的な事例についてご紹介しておきましょう。
中には「フィッシングってメールで送られてきたURLがって奴でしょ?」と思われてる方もいるようですが、一番多いだけでそればかりではない訳ですから。
これから紹介するものも、世情に合わせて色々と変化していくのは間違いないので「〜〜だけ警戒しておけば安全」みたいな考えは一番最初に捨てましょう。つけいる隙にしかなりません。
Eメールからの誘導
もはや古典的とも言えるメールからの誘導ですね。それらしい文言が並べられた上で、フィッシング用の偽サイトに誘導するURLが張ってある、という奴です。
真に迫った文面だったり、誘導された先のフィッシングサイトの作り込みが本物そっくりだったりして、見た目だけでは判別出来ないことも多々あります。
差出人のメールアドレスやURLのドメイン(メールなら@以降、URLならhttps://〜〜.com/など)をまずチェックして怪しいものは絶対に開かないように。
広告からの誘導
動画で最初に触れたものですね。詐欺広告を通じて、怪しいアプリをダウンロードさせたり、フィッシングサイトへ誘導したりするものです。
ものによっては電話番号が書いてあったりして、信じちゃった年寄りが電話をかけてしまい、そのまま現金を振り込むように指示される・・・などという事例もあります(実際に見た事があります)。
広告見るだけでウイルスがどうとか多額のお金がもらえるとかまずないので、鵜呑みにしないようにしましょう。
そもそも本当にウイルスに感染させるような広告があるなら、それをわざわざこちらに知らせたりしません。
SNSのDMからの誘導
TwitterなどのSNSで、DMで送られてくるものです。動画で触れたように、詐欺だと思ってチェックしたら案件だった、なんてこともあります。
ただ、そういうのは何かしら活動をしていて、企業の目に触れるだけの影響力があると判断されての話です。
バズりでもしない限り、そういうのはないと思って良い(笑)。
送り先をチェックすれば公式なアカウントかどうかはすぐに分かると思うので、怪しい話はまずチェックしましょう。
・・・ちなみに、フィッシング詐欺ではなかったとしても、調子のいいことを言って安くコキ使う気満々の企業とか普通にあり得るので(絵師トラブルの話とかよく聞くでしょ?)、その辺も含めて注意した方がいいです。
フィッシング詐欺の共通点
と、ごく簡単に事例を紹介しましたが、もちろん氷山の一角なので、日々、新たな手口が開発されてると思って良く、こればかりではない、というのは心に留めておきましょう。
なお、どの事例でも共通しているのは、危機感を煽るものや利得を匂わせる導入と、金銭や個人情報の詐取という目的です。
これはそれこそ「あなたのパソコンがウイルスに感染しています!」や、「あなたのアカウントの期限が切れるので更新してください」「あなたのクレジットカードが不正利用されたので確認してください」といったものから、「100万円が当選したので受け取ってください」「あなたとお付き合いしたいのでLINEしませんか」などです。
そうした餌を使って、先ほど挙げたような手法を通じて、フィッシングサイトへ誘導するなどして、アカウントを乗っ取ったり、クレジットカード情報を盗み出したり、直接的にお金を振り込ませたりするわけですね。
パスワードの使い回しは良くない
さて、関連して動画で触れた「パスワードの使い回し」についても触れておきましょう。
より正確にはログイン情報、登録用のメールアドレスとパスワードのセットですね。これを使い回していると、情報が漏洩した場合に芋づるで他のところまで不正利用されてしまいます。
この手の情報漏洩は大手の企業でも定期的に事故を起こしている訳で、個人でどうにか出来る訳ではありません。
やらかしが発覚した場合、使い回しパスワードを全部変更しなきゃいけないとかやってられませんし、面倒でも個別に強固なパスワードを設定しなくてはいけません。
パスワードの管理は専用のアプリやサービスに任せる
しかし、大量のサービスを使う以上、管理しなければならないパスワードは10や20では済みません。
最近は大手のアカウント情報を使ってサービスにログイン、みたいな仕組みも増えて来てはいますが、それでも膨大なパスワードに振り回されます。
ではどうすればいいかというと、専用のアプリやサービスを使うのが現実的です。
最近はGoogleアカウントで、強固なパスワードを自動生成して保存してくれる機能があるので、それを使うと良いでしょう。
もっとも、Googleアカウントを乗っ取られると全滅してしまう訳ですが・・・この辺は言い出したらキリのない話です。
また、専用のアプリでは、昔から「1Password」という優秀なものがあります。
こちらを検討するのも良いでしょう。
パスワードの定期変更は必要?
さて、パスワードといえば「セキュリティのために定期的に変更しよう」というアレですね。今でもネットバンキングとかで「パスワードが90日以上変更されていません」とか出てきたりすると思います。
結論から言うと、パスワードの定期変更は不要です。
とはいえ、かつてはセキュリティ対策として奨励されていたのも事実なので、未だに風習として残ってるという訳ですね。
今では「必要ない」と方針転換されたのは何故でしょうか。定期的に変えた方が良いように思えますよね。
実際は、定期的な変更を行うと、覚えやすいパスワードを使うようになってしまって、強固なパスワードが使われにくくなるのでダメだ、ということだそうで。
この辺は以下もご参考にどうぞ。
強固なパスワードを設定して、使い回しをしない、と覚えておきましょう。
2023/04/27追記:人気YouTuberを狙うフィッシング詐欺
「我々だ」さんがYouTubeの乗っ取り被害に遭ってしまったとのことで、セキュリティの先生役で生放送にお呼ばれしました。
どうも最近、人気のYouTubeチャンネルを狙っては乗っ取り、勝手に生放送をしてチャンネルをBANさせたり、あるいは仮想通貨の投資を呼びかける詐欺を行ったりする事例が増えているようです。
YouTubeチャンネルの乗っ取り手法で多いのは?
個々の事例で事情は異なりますが、YouTubeチャンネル乗っ取りの手法としてよくあるのは、本記事でも解説した「フィッシング」です。
YouTubeチャンネルを狙う場合は「あなたの投稿した動画がスパム判定されました」とか「この動画は規約違反です」などと宣って「対処しないと収益化を停止する・チャンネルをBANする」という感じで、フィッシングサイトに誘導するものです。
誘導された先でアカウント情報を入力したり、二段階認証の認証コードを送信してしまうと、乗っ取られてしまう、という仕組み。
セキュリティとしては優秀な二段階認証ですが、このようにされては突破されてしまいます。
もしも乗っ取り被害に遭ってしまったら・・・
その上で、もしも乗っ取り被害に遭ってしまったら、まず被害の拡散を防ぐために、どこまでやられているのか状況を把握した上で無事なアカウントのパスワードなどを更新した上で隔離すること。
そして、被害に遭った事をYouTubeやGoogleのサポートに報告して、対処してもらう事です。
乗っ取り被害に遭ったとしても、アップロードした動画などが消される事は(ないわけではありませんが)少なく、一括で非表示にされているだけということが多いようです。
事態に気付いた時には焦ってしまうかもしれませんが、災害時の対応と同じで、まずは冷静に対処するのが良いでしょう。
また、視聴者側として「推しのチャンネルが乗っ取られた!」となった場合は、チャンネル管理者に「乗っ取られていますよ!」と何かしらの手段で報告したら、後は対処をお任せして、静かに復旧を待つのが一番です。
通報祭りをしたり、あるいは勝手に流されているライブ配信などを見にいくのは、相手の意図に乗る事を意味します。冷静に無視しましょう。
フィッシングでチャンネルを乗っ取るような輩が流す配信など、ほぼ確定で嫌がらせ、テロ行為、そして各種詐欺の再生産です。くれぐれもお気を付けください。
著者紹介
アリエナイ理科ポータル管理人にしてメルマガ編集、配信担当。
薬理凶室の裏方にいる四ツ目の悪魔。
https://twitter.com/JokerLunatic
Joker執筆の記事一覧
アリエナイ理科ポータル管理人にしてメルマガの編集、配信担当「Joker」。日々、ポータル記事を更新していますが、記事を執筆することもあり、その一覧となります。メインはお酒にまつわる話。またたまに情報技術に関してのTipsもあります。
関連記事
ダークウェブとは何か
画像のねつ造の話
ネットと匿名性
クラウドを信用しすぎてはいけない・動画解説記事
セキュリティ対策ソフトは何が良いのか・動画解説記事
実は笑えない熱暴走事故・動画解説記事
薬理凶室対談動画まとめ
宣伝
ニコニコ動画にて有料チャンネル「科学はすべてを解決する!! ニコニコ秘密基地」を開設しました!
「アリエナイ医学事典2」が発売されます!
「アリエナイ医学事典 改訂版」好評発売中です!
「アリエナイ理科ノ大事典3」、好評発売中です!
くられ先生の単著「アリエナイ毒性学事典」好評発売中です!
工作系に特化した「アリエナイ工作事典」好評発売中です!
「アリエナイ理科ノ大事典」改訂版が発売中です!
「アリエナイ理科ノ大事典2」、好評発売中です。
