ガイド

電子メールによるフィッシング攻撃を防ぐ方法 - クイックガイド。

電子メールによるフィッシング詐欺は、デジタル社会における最も深刻なサイバー脅威のひとつです。ここでは、ハッカーからオンライン・アカウントを安全に保つ方法をご紹介します。

Recognizing a phishing email is not always easy, but this guide will help.

フィッシングメールは、インターネット上で最も一般的な攻撃手段の1つであり、オンライン・セキュリティに対する脅威として過小評価されています。偽のEメールやランディングページで大組織になりすますことで、詐欺師はあなたの機密情報、例えばログイン認証やパスワードを手に入れようとします。しかし、いくつかのヒントを頭に入れておけば、フィッシング攻撃から簡単に身を守ることができます。

電子メールによるフィッシング攻撃は30年近く前から存在している。この言葉が最初に使われたのは1995年のことで、当時はフィッシング攻撃を見破るのは非常に簡単でした。しかし、このような攻撃がますます巧妙になるにつれ、人々はますますフィッシング攻撃に引っかかるようになり、自分自身と自分のオンライン・アカウントを守るために、攻撃者による現在のトレンドと戦術について常に情報を得る必要があります。フィッシングには以下のようなものがある:電子メールのなりすまし、そっくりなドメイン(typosquatting)、スピアフィッシング、スミッシング、ビッシング、悪意のある添付ファイル、クレデンシャル・ハーベスティング・ページなどなど。むしろ新しいリスクは、著名な被害者に向けられ、その被害者のために特別に作成された標的型フィッシング・メールである。この手法により、このような標的型フィッシング・メールを詐欺と見抜くことがさらに難しくなっている。WannaCryランサムウェア攻撃のようないくつかの著名な攻撃は、攻撃者が他のシステムに侵入することを可能にする、このような標的型フィッシング・メールから始まった。

しかし、平均的なインターネット・ユーザーは、(まだ)標的型攻撃を心配する必要はない。近い将来、人工知能がこの脅威をすべての人にもたらすかもしれないが。今のところ、最も一般的なフィッシングの手口は、他の誰か(例えば、あなたがアカウントを持っているかもしれない評判の良い会社)から来たように見せかけたフィッシング・メールを送ってくることだ。犯罪者は、あなたのオンライン・アカウントにアクセスし、パスワードや金銭を盗んだり、あなたのデバイスにマルウェアをインストールしたりするために、ごく普通のフィッシング・メールを使用します。Eメールは主要なコミュニケーションツールであり、今後もそうあり続けるため、誰もがフィッシング攻撃について学ぶことが重要です。

Turn ON Privacy in one click.

フィッシング詐欺の手口

フィッシング詐欺は、最も一般的なオンライン詐欺のひとつです:Amazon、Facebook、Tuta Mailのような企業になりすまし、パスワードやその他の機密情報を盗むために、これらの組織から来たように見せかけたメールを送信します。

つまりフィッシングメールは、アクセス権限のないアカウントやシステムにアクセスしようとする犯罪者が使用するソーシャルエンジニアリングの一形態です。フィッシングメールは、サービスやプラットフォームからの正当なメールのように偽装され、ほとんどの場合、何らかのアクションを起こすためにアカウントにログインするよう要求されるリンクが含まれています。

このようなメールには、「今すぐパスワードを確認しないと、24時間以内にアカウントがロックされ、すべてのデータが失われます」というような、ストレスを誘発するような期限が設定されていることがよくあります。このような切迫感は私たちの心理の弱点を突いており、フィッシング・メールの受信者はトラブルを避けるために素早くリンクをクリックし、罠にはまってしまう可能性が高い。リンクの代わりに、被害者がダウンロードして開くと実行される悪質なコードを含む添付ファイルがメールに添付されることもある。

So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. このような詐欺サイトもあります:2番目のリンクのaは、キリル文字のɑに置き換えられています。

電子メールの送信は無料であるため、フィッシングは世界中で最も利用されているサイバー犯罪の手口の一つである。フィッシング・メールの数が増える一方で、保護や予防の方法も進歩している。しかし、一部のフィッシングメールは必ずあなたの受信トレイに届く。あなたのメールボックスがフィッシングの標的になる理由と、フィッシング攻撃を未然に防ぐ方法をご紹介します!

なぜメールボックスがフィッシングの標的になるのか?

メールアカウントは多くの機密情報を保持し、あなたのデジタルライフのハブとして機能しています。Amazon、PayPal、eBayなど、ほとんどのサイトに登録するにはEメールアドレスを入力する必要がありますし、銀行などの重要な機関はEメールで情報を送信します。このため、あなたのEメール・アカウントは、2つの理由から第一の標的となる。

  1. 多くの人は、フェイスブックやグーグル、銀行などから来たように見せかけたフィッシング・メールを受け取り、指定されたリンクをクリックしてログイン情報を入力するよう求められる。

  2. フィッシング攻撃はまた、メールボックスを直接標的にし、メールボックスのログインにアクセスしようとする。攻撃者があなたのメールボックスにアクセスできるようになると、あなたのメールアドレスにリンクされているすべてのオンライン・アカウントのパスワードを簡単にリセットすることができるため、これはさらに危険です。そのためTutaでは、U2Fを使った二要素認証でメールボックスを保護することをお勧めしています。

Turn ON Privacy in one click.

フィッシングメールかどうかを見分ける方法は?

フィッシングメールは通常、大きな組織になりすまそうとします。このため、一見したところ、このメールは詐欺のふりをしているプラットフォームの本当のアカウントを指しているのだと思うかもしれません。フィッシングメールに騙されてパスワードを教えてしまったり、悪意のある添付ファイルをダウンロードしてしまったりしないようにするためには、ちょっとしたコツを知っておきましょう。

  1. 送信者のメールアドレスを常に詳しくチェックする。送信者が技術的な送信者と異なることがよくありますが、これはメール詐欺師がよく使う手口です。

  2. リンクからログイン情報を入力するよう求められたら、警鐘を鳴らす必要があります。正規のメールかもしれないと思ったら、ログインする前に、お気に入りの検索エンジン(うまくいけばGoogleの代わりとなるもの)を使って、公式リンクからその会社のウェブサイトを探しましょう。メールに記載されているリンクは使わないこと! 現在、多くのサービスでは、あなたのアカウントに送信されたセキュリティ・メッセージのログを保存しており、怪しげなメールのステータスをそこで確認することができる。

  3. リンクを注意深くチェックしてください:例えば、攻撃者があなたのTutaログインを盗もうとした場合、提供されるリンクは似ていますが、完全には一致しません。Tuta.comの代わりに、攻撃者は7uta.comを使うかもしれません。

さらに、メールがフィッシングかどうかを判断するために、以下の詳細をチェックしてください。フィッシングの典型的な兆候は以下の通りです:

  • 早急な行動を要求する
  • スペルミスや稚拙な文法
  • あまりにも良さそうに聞こえる取引
  • お金が当たったという主張
  • 宛先が間違っている
  • 変な送信ドメインやGmailアドレスからのもの
  • 不審な添付ファイル
  • リンクのクリックやパスワードの変更を要求するもの

フィッシングメールを見破るのは簡単ではありませんが、上記の典型的なフィッシングメールの例を参考にしてください。疑わしい場合は、実際のアカウントがトラブルに巻き込まれる可能性のあるアクションを実行するよりも、メールを無視した方がよいでしょう。

Turn ON Privacy in one click.

Tutaで悪意のあるメールを阻止する方法

ここ数年、Tutaの公式スタッフになりすましてログイン情報を盗み出そうとするフィッシングメールが増えています。そのため私たちは、悪意のある攻撃者がユーザーを誘い、貴重なパスワードやログインデータを渡すことをさらに難しくするためにTutaを改良しました。

私たちは、フィッシングメールを報告する方法やフィッシング攻撃を防ぐ方法について悩んでいるユーザーを支援する機能を導入しました。Tuta Mailでフィッシングメールが報告されると、同じようなメールを受信している他のすべてのユーザーに、フィッシングの疑いがあるメールの上に警告バナーが表示されます。これにより、誰もがフィッシングメールを発見し、フィッシング攻撃に引っかからないようにすることができます。さらに、フィッシングメールは当社のセキュリティチームによって確認され、送信者は当社のサーバー、ひいてはお客様のメールボックスに到達しないよう手動でブロックされます。

Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Tuta Mailのフィッシングメールに追加される警告バナー。

Tutaに組み込まれた強化されたフィッシング対策についての詳細は、こちらのリリースノートをご覧ください。

Tuta Mailの悪用防止機能

  1. 送信者のメールアドレスが間違っている場合、メールにフラグを立てます。ブラウザでログインすると、Tutaメールボックスのヘッダーに送信者名と送信者のメールアドレスが表示されるので、送信者が間違っているメールを簡単に見つけることができます。アプリでは差出人のメールアドレスは自動的に表示されませんが、差出人の名前をタップすれば簡単に確認できます。

  2. Tutaは、「技術的な差出人」と「差出人」が異なる場合に警告を表示する数少ないウェブメールサービスの1つで、なりすましメールを見分けることができる。

  3. 攻撃者はしばしば、時間的な緊急性があるかのように装い、提供されたリンクに従ってログイン認証情報を入力するよう求めてきます。これは典型的なフィッシングメールの手口です。

フィッシング攻撃を防ぐための最も重要なヒントはとても簡単です:

メールで突然パスワードを変更するように言われても、決して変更しないでください。

誰かがTutaになりすましているかどうかを確認する方法

それでは、Tutaになりすましてあなたのメールアドレスとパスワードをフィッシングされないようにする方法を説明したいと思います。まず第一に、そして最も重要なことですが、Tutaチームからメールを受信した際、パスワードやその他のログイン情報を確認または更新するためのリンクをクリックするよう求めることはありません。

また、パスワードの入力を求めることもありません。

Tutaでは、Tutaチームになりすまそうとするメールを簡単に見破れるようにしています:下のフィッシングメールの例が示すように、これらのメールには赤いタグラインは含まれていません(青いテーマを使用している場合は青いタグライン)。下の例はその違いを示しています。一番下のメールは、無作為のTutaユーザーによって私たちのチームメンバーになりすまして送信されたもので、一番上のメールは本当に私たちのチームメンバーから送信されたものです。TutaのメールはAndroid、iPhone、PCのTutaメールクライアントでしか確認できないため、私たちからの公式なメールを視覚的に区別するのは非常に簡単です。

Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. フィッシングメールの例とTutaメールの比較。

公式のTutaチームからのメールには、常に赤いタグライン(青いテーマを使用する場合は青いタグライン)と “Tuta Team “が表示されます。

私たちからのメールがお知らせである場合(下のスクリーンショットのように)、タグラインの横には名前もメールアドレスも表示されません。このメールが私たちのサポートチームまたはチームメンバーの一人からのものである場合は、赤色(または青色)のTuta Teamのタグラインの隣にメールアドレスが書かれています。

このタグラインは、あなたのTutaパスワードを盗もうとする私たちになりすました人物によって追加されることはありません。このタグラインは、Android、iOS、Windows、Linux、macOS用のメールクライアントのコードに組み込まれており、Tutaチームからの公式メールにのみ表示されます。

Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung 暗号化されたTutaからのお知らせメール

Tutaチームの公式メールドメイン@tutao.de

Tutaを構築し始めたとき、私たちはメールサービスにとって、誰も私たちや私たちのチームのメンバーになりすますことができないことが非常に重要であることを知っていました。しかし、TutaやTutanotaのメールアドレスは誰でも登録することができます。

このジレンマを解決するために、私たちは最初から公式メールアドレスとしてTuta / Tutanotaドメインではなく、私たちの会社のドメインを使用しました。Tutaの背後にある私たちの会社は、Tutao GmbHと呼ばれています。Tutaチームからメールを受け取る場合、メールアドレスは常に**@tutao.deで** 終わります。

Turn ON Privacy in one click.

Tutaアカウントを保護するためにパスワードをリセットすることはできません。

犯罪者は電子メールによるパスワードリセット機能を悪用し、フィッシングメールを使ってオンラインアカウントにアクセスするのが大好きです。そのため、暗号化されたメールボックスを最大限に保護するために、電子メールによるTutaパスワードのリセットを要求するオプションはありません。その代わりに、アカウント作成プロセス中に、いつでもパスワードをリセットするために使用できる唯一無二のリカバリーコードを生成します。

あなたがパスワードのリセットを要求できないのであれば、あなたになりすます犯罪者もできません。パスワードと回復コードを安全な場所に保管することを忘れないでください。 リカバリーコードを使ってパスワードをリセットできるのは、あなた自身だけです。

疑わしいメールの見分け方

他のサービスからのフィッシングメールを見分ける方法も、Tutaを使えば簡単です。不審なメールを受信したら、メールボックスの右上にある「…」アイコンをクリックし、「メールヘッダーを表示」を選択します。すると小さなウィンドウが開き、問題のメールの技術的な送信者情報が表示されます。ここで、DKIM、DMARC、SPFのチェック状況を確認し、このメールが送信者になりすましているかどうかを確認することができます。

さらに、ほとんどのなりすましメールには、上のスクリーンショットにあるように、「Tuta Mailでフィッシングの可能性があるメールに追加される警告バナー」というタイトルのフィッシング警告がすでに表示されています。これは、フィッシングメールを報告しているすべてのTutaユーザーのおかげで表示することができ、他のユーザーの安全維持に役立ちます!

間違っているように見えたら、おそらく間違っている

怪しげなメールを受け取ったら、それはフィッシングメールである可能性が非常に高いです。疑わしい場合は、ただ尋ねてください。MastodonBlueSkyTwitterLinkedInFacebookInstagramで簡単に見つけることができます。

Tutaのドメインからフィッシングメールの可能性があるメールを受け取ったら、abuse@tutao.de。

ありがとうございました!

画面にTutaのロゴが入った携帯電話のイラスト。携帯電話の横には、暗号化によるTutaの高度なセキュリティーを象徴するチェックマークの入った盾が大きく描かれている。

さらに読むことをお勧めします:メールセキュリティガイド:ハッカーからあなたの電子メールを安全に保つための3つの簡単なステップと パスワードセキュリティガイド:安全なパスワードの選び方