フィッシング対策として現実的に最も有効な方法は、パスワードマネージャーの自動入力機能です
パスワードの入力時には必ずパスワードマネージャーの自動入力を利用するようにするだけで、フィッシング詐欺の大半が防げます。
もしもパスワード入力時に自動入力機能が動作しない場合は異常事態です。フィッシング詐欺に引っ掛かりそうになっている可能性がかなりあります。(サーバートラブル、サーバー移転などの事もああります。)
これがユーザができるフィッシング防止で最も大事だと考えます。なぜそう考えるかについて詳しく書きますね。
フィッシングサイト対策で最も重要な事は何でしょうか。
フィッシングサイトには絶対にID/パスワードを入力しない事、逆に正しいサイトにはID/パスワードを入力できる事が最も重要です。
このためには、アクセスしたサイトの正誤の判定が重要です。
金融機関を含め多くサイトではURLを目視して正しいかどうか確認するよう案内されていますが、現実的には様々なURL偽装手法があり、それらの偽装をすべて目視で見破るのは困難です。
一方で、パスワードマネージャーは、サイトが本来のサービスドメインと一致しているかを正確に判定し、正しい場合のみ自動入力してくれます。ユーザーができる防止策として、簡単で有効なのはこの自動入力を利用する事です。
おすすめソフト
1Password、Bitwarden、iCloudなど、様々な優れたパスワードマネージャーがありますのでこれらの有名で信頼できそうなものを使いましょう。
ブラウザ付属のパスワードマネージャーでもかまいません。利用する事でかなり安全になります。
その他の重要な対策
パスワードマネージャーを使ったコピペ(手動入力)はダメ。
パスワードマネージャーの自動入力を使わず、パスワードマネージャーのサイト一覧からパスワードを探してコピー&ペーストするのは、URLの一致確認機能が機能しませんので意味がありません。
自動入力を使いましょう。
ブラウザの警告を無視しない
ブラウザに警告やエラーが表示されたら注意しましょう。特に証明書エラーなどの警告が出ているサイトにはログインしないでください。
(この記事の目的からはずれますが、過去にサイト側の都合で、ブラウザ警告やエラーを無視して続行する方法をユーザーに案内していた事例が多数ありました。
ユーザーに誤った操作方法を、正しいかのように誤認させてしまったという点で、とても罪深い問題だと思っています。大手サイトや公的なサイトでも多数のじれいありました。)
強固で一意のパスワードを使用する
各サイトには十分な長さの固有パスワードを使用し、使い回しを避けましょう。可能であればパスワードマネージャーに生成してもらうことをお勧めします。
パスワードマネージャーのマスターパスワードを安全に管理する
パスワードマネージャーのマスターパスワードは十分に長いものにし、電子データとして保存しないでください。
覚えられないからと言ってパソコンやスマホ保存するのは避けましょう。それよりは紙に書いて安全な場所に保管する方がまだ安全です。そしてパスワードマネージャーへの日常的なログインは生体認証やPINコードを使いましょう。
信頼できるブラウザを使用する
Chrome、Edge、Safariなど有名なブラウザの最新版を使用しましょう。
更新が停止しているマイナーなブラウザや、製作元が不明なブラウザアプリでログインが必要なサイトを利用するのは避けてください。
また、ブラウザ機能拡張も注意が必要です。特に、すべてのサイトに有効な拡張の利用は注意深くなりましょう。
迷惑メールフィルタが優秀なメールサービスを使う。
インターネットプロバイダから提供されているメールアドレスや、企業や学校が独自で構築されているメールアドレスでは、フィッシングメールのフィルタの精度が非常に低い事があります。
毎日多数のメールが来る中で、フィッシングメールを人力で判定するのは大変です。フィルタ精度が低いサービスではフィッシングに引っ掛かってしまうリスクがどうしても高くなります。できるだけ迷惑メールフィルタ精度が高いメールサービスを利用しましょう。
私が利用した範囲では、Gmailは迷惑メールフィルタの精度が高いと感じています。
二要素認証などが利用可能なら設定する
サービスごとに変わりますが、可能な追加設定があったら検討しましょう
以下思う事を書いておきます。
URL偽装の目視確認は困難
URLの偽装は、サブドメインを利用した偽装、多言語URLでのキリル文字使用、URLのID/パスワード部分に正規サイトアドレスを埋め込む手法(参考リンク)など、様々な方法でURL偽装が行われています。リンクの表示テキストとリンク先が異なるという単純な方法でも意外と効果があります。
今後も予想外の方法でURL偽装は行われるでしょう。
正しいURLを覚えておくことは困難
また利用しているサービスのドメインをすべて覚えておくことは、ユーザーにとって現実的ではありません。
例えば、www.netbk.co.jp、www.daiwa.jp、direct.jp-bank.jp.jpnpost.jpが、それぞれ正しいURLかどうか、すぐに判断できるでしょうか?(最後のみ誤りです)
これらを目視で確認して判断するのは困難です。
目視に頼るのは危険
検索サイトの広告でフィッシングサイトが表示されることもあります。フィッシングメールは頻繁に来ています。そしてURLの誤認は一度しただけで、大きな金銭的な損害が生じる事があります。
一般ユーザーにURLの正誤の判断を不確実な目視で行わせて、一度でも間違っただけで大きな損害をユーザーの責任とするのは適切ではないと考えます。
人には難しく、コンピューターには簡単なこの確認作業は、目視ではなくパスワードマネージャーに任せるのが良いと思います。
SSLとか、Free wifiとか、
最近のブラウザはSSL認証されていないURL画面でID/パスワードを入力しようとすると警告が出ます。
また現実的な環境でSSL認証エラーが出ていない場合、途中の経路でID/パスワードを盗むのは難しいと考えます。
それ以外にも色んな大事な事があるよね。
はい。その通りです。
でも、とても大事なドメイン一致の確認に、目視という危うい方法が推奨されているって、セキュリティ対策全体から見るとアンバランスだと思いませんか?
まさかりが飛んできたらどうするの
素直に土下座します。ごめんなさい。
でも金融機関のフィッシング対策の案内で、目視確認が重要視され、パスワードマネージャーの利用は全く案内されないのはどうなんだろうと強く思ったので書きました。
結論
「フィッシングサイトにID/パスワードを誤って入力しない」という目的においては、パスワードマネージャーの自動入力機能が最も現実的で効果的な対策と考えます。目視によるURL確認という脆弱な方法に頼るよりも、より確実な技術的解決策を活用することが重要と考えます。