認証セキュリティをウリにしているパスロジが言うのは矛盾している標語のようなタイトルですが、今回は少し警鐘を鳴らさせてもらおうと思います。
インターネットのセキュリティに対する脅威が増加し、パスワード漏洩による被害も増え続けている昨今、SNSや大手ショッピングサイトをはじめとした多くのユーザーを持つインターネットサービス各社などで、従来のパスワードのみの認証から、スマートフォンへのSMSやメールなどの配信を利用した認証への切り替えや、二段階認証への切り替えを推進するネットサービスが増加しています。
これは認証強化という点では喜ばしいことではありますが、その反面、手放しで喜べないことも起きてきています。
というのは、この認証強化の風潮が逆にフィッシングに悪用されるケースが増加しているのです。
大手サービスを語って「認証方式を二段階認証に変更するので、サイトにログインして手続きをしてほしい」、というような偽装メールをばら撒き、メールアドレスにあるURLをクリックしたユーザーを偽装サイトに誘導し、ユーザーIDやパスワードを入力させるフォームを表示して、それを信じて入力してしまったユーザーのIDとパスワードを搾取したり、フィッシングアプリをインストールさせたり、というような仕掛けです。
フィッシングサイトに誘導するのに、「フィッシングサイトに騙されないようにするために」という誘い文句を使うというのは、なんとも皮肉な限りですが、多くの利用者がいる大手サービスを偽って大量にメールを送りつけ、本物サイトと同じロゴやデザイン/カラーを使った偽装サイトに誘導されるので、信じ切って騙されるユーザーが後を絶たないのだと思います。
なまじ、フィッシングの脅威を聞いたことがあり、「パスワード認証だけではダメで強化しないといけない」、ということが頭の片隅にあったりする人にとっては、「認証強化」というキーワードを聞いて「待ってました!」とばかりに飛びついてしまうのかもしれません。
フィッシングの手口は非常に巧妙で、ユーザーの心理の弱いところを突いてくる時代です。偽装も非常に手が込んでいるので、何が本当で何が偽物か、わからなくなってしまうのも無理ないことかもしれません。
だからこそ、認証強化は自分から進んで行うのはいいことですが、メールで認証強化を勧められたらくれぐれも用心してください。
認証強化を勧めるメールに限らず、ユーザー特典やプレゼント当選のお知らせメールなども注意が必要です。
対策は、普段自分が使っているサービスやサイトからのメールだからといって気を許さずに、届いたメールにあるURLをクリックせずに、自分がブラウザに登録している「お気に入り」のリンクや、検索サイトの検索結果からたどったうえで、そのサイトの鍵マークをチェックしたうえで、目的の「認証強化」やプレゼント応募などの手続きを行うようにすることです。
「自分は騙されない。偽物メールを必ず見破れる」とは思わないことが一番大事かもしれません。
くれぐれもご用心を!!