au、KDDI未払いSMSフィッシング詐欺【具体的な対策】IT管理プロが解説

この記事の内容

  • フィッシング詐欺【現実的な対策】
  • 本記事説明の対策「なぜフィッシング詐欺に有効なのか?」納得の理由

IT管理プロが、わかりやすく説明していきます。

au、KDDIをかたるフィッシング詐欺が横行しています。

フィッシング詐欺とは?

本物そっくりに偽装したウェブサイトへ誘導、パスワードやカード情報などを入力させ、個人情報を盗みとる手口のこと。

まず、「実際のフィッシング詐欺の流れ」ざっくり説明していきます。

au、KDDIを装ったフィッシング詐欺の流れ

実際の手口の流れですが、スマホにSMSメッセージを送る方法ですね。

  • SMS(ショートメッセージ)通知
    • 「未払いがある」等のメッセージ
  • メッセージ本文のURLアクセス
  • 本物そっくりのログイン画面が表示
  • 支払い方法を選択させ、金銭を窃盗する

▼ ①SMS通知の参考

【auからの重要なお知らせ】ご利用金額が設定した金額を超えました。ご確認が必要です。

①>auを装ったSMS通知

【KDDI】利用料金の未払い金があります。お支払期限を過ぎた利用料金があります。ご確認ください。

①>KDDIを装ったSMS通知

▼ ③本物そっくりサイト&支払い画面の例

もっと詳しく知りたい方は、フィッシング対策協議会サイト「フィッシングに関するニュース」ご参照ください。

au、KDDIを装ったフィッシング詐欺【対策】

「気をつけて!」注意喚起はいいのですが、

フィッシング被害にあわない

【現実的・具体的な対策

わかりやすく教えてほしい

これですよね。

では、2つの対策方法を以下解説しています。

ウイルスバスターでフィッシング対策する

トレンドマイクロ社ウイルスバスター モバイルアプリをインストールした iPhone「5S、7、SE2」で、件のフィッシングサイトURLにアクセスしてみました。

フィッシングサイト、きちんとブロックしてくれました。

また「ウイルスバスターモバイル」アプリは、フィッシング詐欺を防いでくれるだけではなく、次のようなセキュリティ保護もしてくれますよ。

  • 危険なSMSを検出しブロック
  • Wi-Fiの安全性チェック
  • Webサイト追跡防止、広告ブロック※iOSのみ
  • 有害サイト規制
  • セキュリティ状態診断、レポート

【引用元】 トレンドマイクロ > ウイルスバスター モバイル

ただし!があります。

iPhone(iOS 15)で確認している限り、ウイルスバスターモバイルは「セーフブラウザー」という、アプリ内蔵ブラウザーを使わないとフィッシングサイトを防いでくれませんでした。

つまり、「いまお使いのブラウザーから、ウイルスバスターモバイルのセーフブラウザーに”通常使うブラウザーを変更”すれば、フィッシングサイトを防いでくれる」このような説明になります。

そのため、

「ちょっと使い勝手が悪い!」

「ブラウザーを変えたくない!」

このような方には、次の対策をご案内します。

パスワード管理アプリでフィッシング対策する

フィッシングサイトにアクセスした後の、パスワード管理アプリの動きをご覧ください。

左:本物のauサイト、右:フィッシングサイト

右にスライドして表示されるページが「フィッシングサイト」です。

パスワード管理アプリ「1Password」は、正規のサイトアドレス「auone.jp」あたりが一致するか?チェックし、一致しない場合はパスワードを表示しないため、フィッシング対策になるんですね。

よって、上図の動画「パスワードを表示しないサイト→ブラウザーのタブを閉じる」以上でフィッシング被害の回避完了です。

関連記事
1Passwordの使い方|iPhoneで家族のパスワードを安全に一元化管理

続きを見る

ただし!があります。

パスワード管理アプリは、フィッシング対策を目的とし作られたわけではないため、完全に防ぐ保証はありません。

ですが、どのサイトでも語っている「フィッシングはこう対策しろ!」より遥かに現実的であり、負担は少ないですよね?

その理由を以下説明していきます。

巷のフィッシング対策は「対策でない」

  • 不審なSMSは無視する
    • どう見分けろと?
  • URLが本物なのかチェックする
    • 人の目でチェックしろと?
  • 正規のサポートに問い合わせる
    • おおむね事後の対応

あなたは、「毎日100通以上、大量に送られてくるメール or メッセージ本文すべてに目を通し、安全チェックしてください!」なんて、現実的だと思います?

その説明では「対策できているイメージができず、対岸の火事」なので、誰もやりません。

だからフィッシングのような、「ちょっとした工夫と、工夫の理解」で回避できる詐欺が横行するわけです。

今回の「au、KDDIを装ったフィッシング詐欺」であれば、

本物そっくりだけど、

サイトアドレスまで真似できない

フィッシング詐欺の仕組み。

を知っている前提で、

パスワード管理アプリは、

サイトアドレスが一致しないと、

登録したパスワードを表示しない。

つまり、「人の目でチェックするよりも、システム的にチェックしてくれた方が遥かにフィッシング対策になる」理由となります。

まとめ

フィッシング詐欺の「具体的な対策方法」および、「対策が効果的な納得の理由」解説でした。

フィッシング詐欺の傾向が「人の目の錯覚を利用した詐欺」である以上、「詐欺に引っかからないよう、ちゃっと見て、チェックして気をつけて!」これは何の対策も示していないことがわかりますね。

システム的には騙せませんので、本記事の対策ご参考にしていただければ幸いです。

▼ 今回ご紹介のアプリ

Apple社も推奨するパスワード管理アプリ「1Password」を日本の販売店から購入 ↓↓↓

詳しくはコチラ

-セキュリティ
-