フィッシング詐欺にひっかからないように備えたい

Chrome拡張機能, Web, セキュリティ, フィッシング詐欺

フィッシング詐欺とは

あなたの元に差出人「Amazon Japan」からメールが来て,

  • ご指定のクレジットカードの有効期限が切れています
  • アカウントのご確認が必要です

などの内容の文と共に,ログインページへのリンクが書かれている。

「・・・なんだ?」と思い,そのリンクをクリックすると,Amazonのサイトで慣れ親しんだ見た目のログインページが表示された。

ログインに必要な情報を記入して「ログイン」ボタンをクリックすると,いつものAmazonのページが表示され,「よかった。普通にログインできた」と安心した。

かと思ったが,実は気付かぬうちにあなたのAmazonアカウントがどこかの誰かに不正に利用され始めている

先ほどのメールの差出人はAmazonの関係者でも何でもなければ,ログインページもAmazonのものではなく偽物だったのだ。


こんな詐欺が今はごく一般的に目にするようになっている。

電子メールの「迷惑メール」フォルダーの中身を見れば,このような「偽メール」がいくつも見つかると思う。

たいていは,Amazon,Google,Apple,楽天などユーザーが非常に多いサービスを騙っている。

しかも,偽サイトのURLも本物と見分けにくいことがあり,しばしば話題になる。(例: amazon.com と arnazon.com どちらが本物?)

フィッシング詐欺の動向については次のサイトが分かりやすい。

フィッシング詐欺は見破れる? 事例や手口、対策や偽サイトの見分け方を解説
https://time-space.kddi.com/it-technology/20190613/2670

どうやったら防げる?

一般には次の手が有効とされている。

  • メールソフトの設定で,怪しいメールを自動で「迷惑メール」フォルダーに振り分けるようにしておく。時折,迷惑メールとして判定されないメールもあるので注意が必要。
  • メールの差出人が本物かを見極めるために,メールアドレスのドメイン(@より右側)を確認する。しかし,そもそもどんなドメインなら問題ないのか分からないことが多い。
  • メール内に貼られたリンクの表示文字列と,実際のリンク先が一致しているか確認する。しかし,毎度確認する暇など無い人がほとんどではないか。
  • SSLが導入されていないサイトか(HTTPSではなくHTTPか)確認する。ログイン情報などを入力するサイトでSSLがなければまともなサイトではないと考えてよい。しかし,今どき詐欺サイトでも半数以上はSSLが導入されているので決定的な判別はできない。

以上のように,「これさえやっておけば安心!」というものは無い。

詐欺師も人間なので,こちらが対策を考えれば詐欺師だって対策への対策を考えてくる。

だから,自分たちも騙されないための術は常に考え続ける必要がある。


フィッシング詐欺への一つの対策として,Chromeの拡張機能「White Domain Badge」を作成したので,以下でどんなものなのか説明していく。

White Domain Badgeとは

White Domain Badgeは,Google Chromeの拡張機能で,今表示しているサイトのドメインが安全かどうかを「ホワイトリスト」方式でチェックしてくれるものだ。

よくあるウイルス対策ソフトは「ウイルス定義リストに該当するものは危険と判断する」方式をとっており,ブラックリストと呼ばれているが,

逆に「自分がつくったリストに該当するものだけ安全と判断する」方式のことはホワイトリスト方式と呼ばれている。

White Domain Badgeの設定画面から自分が安全と判断するドメインを登録すると,以後そのサイトにアクセスしたときにChrome上で緑色のバッジを表示してくれるようになる。

ホワイトリストに無いサイトを表示しているとき
ホワイトリストに載っているサイトを表示しているとき

あるサイトを表示して,何かのアカウント情報などの大事な情報の入力が求められたときにこのバッジが緑色かどうかをチェックする習慣をつくっておくとちょっと安心かもしれない。

White Domain Badgeのインストール方法

Chromeストアで公開している。

「Chromeに追加」ボタンから拡張機能をChromeにインストールしよう。

White Domain Badgeの使い方

インストール直後,次のような画面が表示される。

自分が安全だと思うサイトのドメイン(google.comなど)をテキストボックスに入力し,Enterキーを押すと,

このように,リストにドメインが登録される。

複数のドメインを一括で登録したい場合は,各ドメインをコンマ区切りで記入してEnterキーを押す。

例:

slash-mochi.net,youtube.com,github.com

一通り登録し終えたらこの画面のタブを閉じてOK。

後から追加でドメインを登録したい場合は,ブラウザの右上にある次のアイコンをクリックすればまたドメインを追加する画面が表示できる。

このアイコン

登録したドメインのサイトを開くと,アイコンの上に緑色のバッジ(白文字でOKと書いてある)が表示される。