電子メールによるフィッシング攻撃を防ぐ方法 - クイックガイド。
電子メールによるフィッシングは、デジタル社会における最も深刻なサイバー脅威のひとつです。あなたのオンライン・アカウントをハッカーから守る方法をご紹介します。
電子メールによるフィッシング攻撃は30年近く前から存在している。この言葉が最初に使われたのは1995年のことで、当時はフィッシング攻撃を見破るのは非常に簡単でした。しかし、このような攻撃がますます巧妙になるにつれ、人々はますますフィッシング攻撃に引っかかるようになり、自分自身とオンライン・アカウントを守るために、攻撃者の最新のトレンドと手口について常に情報を得る必要があります。むしろ新しいリスクは、著名な被害者に向けられ、その被害者のために特別に作られた標的型フィッシングメールである。この手法により、このような標的型フィッシング・メールを詐欺と見抜くことがさらに難しくなっている。WannaCryランサムウェア攻撃のような著名な攻撃は、悪意のあるハッカーがさらなる行動を起こす前に、このような標的型フィッシング攻撃から始まっている。
しかし、平均的なインターネット・ユーザーは(まだ)標的型攻撃を心配する必要はない。近い将来、人工知能がこの脅威をすべての人にもたらすかもしれないが。ほとんどの場合、犯罪者は標準的なフィッシング・メールを使ってオンライン・アカウントにアクセスし、パスワードや金銭を盗んだり、デバイスにマルウェアをインストールしたりする。
電子メールによるフィッシングとは?
フィッシングは最も一般的なオンライン詐欺の一つです:Amazon、Facebook、Tuta Mailのような企業になりすまし、パスワードやその他の機密情報を盗むために、これらの組織から来たふりをしたメールを送信します。
つまりフィッシングメールは、アクセス権限のないアカウントやシステムにアクセスしようとする犯罪者が使用するソーシャルエンジニアリングの一形態です。フィッシングメールは、サービスやプラットフォームからの正当なメールのように偽装され、ほとんどの場合、何らかのアクションを起こすためにアカウントにログインするよう要求されるリンクが含まれています。
このようなメールには、「今すぐパスワードを確認しないと、24時間以内にアカウントがロックされ、すべてのデータが失われます」というような、ストレスを誘発するような期限が設定されていることがよくあります。このような切迫感は私たちの心理の弱点を突いており、フィッシング・メールの受信者はトラブルを避けるために素早くリンクをクリックし、罠にはまってしまう可能性が高い。リンクの代わりに、被害者がダウンロードして開くと実行される悪質なコードを含む添付ファイルがメールに添付されることもある。
電子メールの送信は無料であるため、フィッシングは世界中で最も利用されているサイバー犯罪の手口の一つである。フィッシング・メールの数が増える一方で、保護や予防の方法も進歩している。しかし、フィッシング・メールの中には、必ずあなたの受信トレイに届くものもあり、あなた自身が最後の防衛線となる。あなたのメールボックスがフィッシングの標的になる理由と、フィッシング攻撃を未然に防ぐ方法をご紹介します!
なぜメールボックスがフィッシングの標的になるのか?
メールアカウントは多くの機密情報を保持し、あなたのデジタルライフのハブとして機能しています。Amazon、PayPal、eBayなど、ほとんどのサイトに登録するにはメールアドレスを入力する必要がありますし、銀行などの重要な機関からはメールで情報が送られてきます。このため、あなたのEメール・アカウントは、2つの理由から第一の標的となる。
- 多くの人は、フェイスブックやグーグル、銀行などから来たように偽装されたフィッシング・メールを受け取り、指定されたリンクをクリックしてログイン情報を入力するよう求められる。
- フィッシング攻撃はまた、メールボックスを直接標的にし、メールボックスのログインにアクセスしようとする。攻撃者があなたのメールボックスにアクセスできるようになると、あなたのメールアドレスにリンクされているすべてのオンライン・アカウントのパスワードを簡単にリセットすることができ、そのままあなたのアカウントにアクセスして悪用することができるようになるため、これはさらに危険です。
フィッシングメールかどうかを見分ける方法は?
フィッシングメールは通常、大きな組織になりすまそうとします。このため、一見したところ、このメールは詐欺のふりをしているプラットフォームの本当のアカウントを指しているのだと思うかもしれないので、やっかいです。フィッシングメールに騙されてパスワードを教えてしまったり、悪意のある添付ファイルをダウンロードしてしまったりしないようにするためには、いくつかのコツを知っておく必要があります。
- 送信者のメールアドレスを常に詳しくチェックする。送信者が技術的な送信者と異なることがよくありますが、これはメール詐欺師がよく使う手口です。
- リンクからログイン情報を入力するよう求められたら、警鐘を鳴らす必要があります。正規のメールかもしれないと思ったら、ログインする前に、お気に入りの検索エンジン(グーグルでないことを祈る)を使って、公式リンクからその会社のウェブサイトを探しましょう。**メールに記載されているリンクは使わないこと!**現在、多くのサービスがあなたのアカウントに送信されたセキュリティ・メッセージのログを保存しており、怪しげなメールのステータスをそこで確認することができる。
- リンクを注意深くチェックしてください:例えば、攻撃者があなたのTutaログインを盗もうとした場合、提供されるリンクは似ていますが、完全には一致しません。Tuta.comの代わりに、攻撃者は7uta.comを使うかもしれません。
さらに、メールがフィッシングかどうかを判断するために、以下の詳細をチェックしてください。フィッシングの典型的な兆候は以下の通りです:
- 早急な行動を要求する
- スペルミスや稚拙な文法
- あまりにも良さそうに聞こえる取引
- お金が当たったという主張
- 宛先が間違っている
- 変な送信ドメインやGmailアドレスからのもの
- 不審な添付ファイル
- リンクのクリックやパスワードの変更を要求するもの
フィッシングメールを見破るのは簡単なことではありませんが、典型的なフィッシングメールの例を挙げてみました。疑わしい場合は、実際のアカウントがトラブルに巻き込まれる可能性のあるアクションを実行するよりも、メールを無視した方がよいでしょう。
Tutaで悪質メールを阻止する方法
ここ数年、Tutaの公式スタッフになりすましてログイン情報を盗み出そうとするフィッシングメールが増えています。そのため私たちは、悪意のある攻撃者がユーザーを誘い、貴重なパスワードやログインデータを渡すことをさらに難しくするためにTutaを改良しました。
私たちは、フィッシングメールを報告する方法やフィッシング攻撃を防ぐ方法について悩んでいるユーザーを支援する機能を導入しました。Tuta Mailでフィッシングメールが報告されると、同じようなメールを受信している他のすべてのユーザーに、フィッシングの疑いがあるメールの上に警告バナーが表示されます。これにより、誰もがフィッシングメールを発見し、フィッシング攻撃に引っかからないようにすることができます。さらに、フィッシングメールは当社のセキュリティチームによって確認され、送信者は当社のサーバー、ひいてはお客様のメールボックスに到達しないよう手動でブロックされます。
Tutaに組み込まれた強化されたフィッシング対策についての詳細は、こちらをご覧ください。
Tuta Mailの悪用防止機能
- 送信者のメールアドレスが間違っている場合、メールにフラグを立てます。ブラウザでログインすると、Tutaメールボックスのヘッダーに送信者名と送信者のメールアドレスが表示されるので、送信者が間違っているメールを簡単に見つけることができます。アプリでは差出人のメールアドレスは自動的に表示されませんが、差出人の名前をタップすれば簡単に確認できます。
- Tutaは、「技術的な差出人」と「差出人」が異なる場合に警告を表示する数少ないウェブメールサービスの1つで、なりすましメールを見分けることができる。
- 攻撃者はしばしば、時間的な緊急性があるかのように装い、提供されたリンクに従ってログイン認証情報を入力するよう求めてきます。これは典型的なフィッシングメールの手口です。
フィッシング攻撃を防ぐための最も重要なヒントはとても簡単です:
メールで突然パスワードを変更するように言われても、決して変更しないでください。
誰かがTutaになりすましているかどうかを確認する方法
それでは、Tutaになりすましてあなたのメールアドレスとパスワードをフィッシングされないようにする方法を説明したいと思います。まず第一に、そして最も重要なことですが、Tutaチームからメールを受信した際、パスワードやその他のログイン情報を確認または更新するためのリンクをクリックするよう求めることはありません。
また、パスワードの入力を求めることもありません。
Tutaでは、Tutaチームになりすまそうとするメールを簡単に見破れるようにしています:下のフィッシングメールの例が示すように、これらのメールには赤いタグライン(ダークテーマを使用している場合はミントグリーン)は含まれていません。下の例はその違いを示しています。最初のメールは、無作為のTutaユーザーが私たちのチームメンバーになりすまして送信したものです。TutaのメールはAndroid、iPhone、PCのTutaメールクライアントでしか確認できないため、私たちからの公式メールを視覚的に区別するのは非常に簡単です。
公式Tutaチームからのメールには、常に赤いタグライン(ダークテーマ使用時はミントグリーンのタグライン)と “Tuta Team “が表示されます。
以下のスクリーンショットのように、私たちからのメールがお知らせである場合、タグラインの横には名前もメールアドレスも表示されません。もしこのメールが私たちのサポートチームやチームメンバーからのものであれば、赤色(またはミントグリーン)のTuta Teamのタグラインの隣にメールアドレスが書かれています。
このタグラインは、あなたのTutaパスワードを盗もうとする私たちになりすました人物によって追加されることはありません。このタグラインは、Android、iOS、Windows、Linux、macOS用のメールクライアントのコードに組み込まれており、Tutaチームからの公式メールにのみ表示されます。
ツタチームの公式メールドメイン@tutao.de
Tutaを構築し始めたとき、私たちはメールサービスにとって、誰も私たちや私たちのチームのメンバーになりすますことができないことが非常に重要であることを知っていました。しかし、TutaやTutanotaのメールアドレスは誰でも登録することができます。
このジレンマを解決するために、私たちは最初から公式メールアドレスとしてTuta / Tutanotaドメインではなく、私たちの会社のドメインを使用しました。Tutaの背後にある私たちの会社は、Tutao GmbHと呼ばれています。Tutaチームからメールを受け取る場合、メールアドレスは常に**@tutao.deで**終わります。
Tutaアカウントを保護するためにパスワードをリセットすることはできません。
犯罪者は電子メールによるパスワードリセット機能を悪用し、フィッシングメールでオンラインアカウントにアクセスするのが大好きです。そのため、暗号化されたメールボックスを最大限に保護するために、電子メールによるTutaパスワードのリセットを要求するオプションはありません。その代わりに、アカウント作成プロセス中に、いつでもパスワードをリセットするために使用できる唯一無二のリカバリーコードを生成します。
あなたがパスワードのリセットを要求できないのであれば、あなたになりすます犯罪者もできません。パスワードと回復コードを安全な場所に保管することを忘れないでください。 リカバリーコードを使ってパスワードをリセットできるのは、あなた自身だけです。
疑わしいメールの見分け方
他のサービスからのフィッシングメールを見分ける方法も、Tutaを使えば簡単です。不審なメールを受信したら、メールボックスの右上にある”… “アイコンをクリックし、“メールヘッダーを表示 “を選択します。すると小さなウィンドウが開き、問題のメールの技術的な送信者情報が表示されます。ここでDKIM、DMARC、SPFのチェック状況を確認し、このメールが送信者になりすましているかどうかを確認することができます。
さらに、ほとんどのなりすましメールには、上のスクリーンショットにあるように、「Tuta Mailでフィッシングの可能性があるメールに追加される警告バナー」というタイトルのフィッシング警告がすでに表示されています。これは、フィッシングメールを報告しているすべてのTutaユーザーのおかげで表示することができ、他のユーザーの安全確保に役立ちます!
間違っているように見えたら、おそらく間違っている
怪しげなメールを受け取ったら、それはフィッシングメールである可能性が非常に高いです。疑わしい場合は、ただ尋ねてください。ツイッター、マストドン、フェイスブック、インスタグラム、そしてもちろんEメールで簡単に見つけることができます。
Tutaドメインからフィッシングメールの可能性があるメールを受け取ったら、abuse@tutao.de。
ありがとうございました!
さらに読むことをお勧めします:メールセキュリティガイド:ハッカーからあなたの電子メールを安全に保つための3つの簡単なステップと パスワードセキュリティガイド:安全なパスワードの選び方