フィッシング、ビッシング、スミッシングからアカウントを保護する
フィッシングという用語は、偽装したウェブサイトやメール、その他のメッセージを含む個人情報窃盗・詐欺を意味します。フィッシング攻撃の目的は、アカウントと機密情報にアクセスすることです。攻撃者は、評判が良いウェブサイトを模倣したサイトを作成したり、信頼できるソースが送信元であるかのように偽装してメッセージを送信したりすることができます。フィッシングメッセージは偽のアカウントやハッキングされたアカウントから届く可能性があります。
攻撃者は、ビッシング (音声を使用したフィッシング)、およびスミッシング (SMSやテキストを使用したフィッシング) など、似たような戦術を駆使してアカウントを攻撃して機密情報を収集しようとする場合があります。電話で機密情報を提供したり、SMSテキストで送信される危険なリンクをクリックしたりしないように、注意する必要があります。フィッシングの電話やSMSテキストを受信した疑いがある場合は、Shopify サポートにすぐに連絡してください。
フィッシングメッセージでは、次のような行為を求める場合があります。
- リンクにアクセスする
- ファイルをダウンロードする
- 添付ファイルを開く
- 個人情報または2段階認証コードを含めて返信する
これらのアクションを実行すると、コンピューターやモバイルデバイスがマルウェア (ワーム、トロイの木馬、ボット、ウイルスなどの悪意のあるソフトウェア) に感染する可能性があります。デバイスが感染すると、攻撃者はあなたの個人情報にアクセスすることができます。
また、フィッシング詐欺には、銀行口座の資格情報などの個人情報を直接要求することも含まれます。
フィッシング詐欺では、次のような方法で個人情報の提供を求める場合があります。
- メールまたは他のメッセージングシステム
- フォーム記入
- 不正な電話番号
- 不正な住所
メールアドレスを入力し、パスワードをリセットするよう求めるリクエストも危険である可能性があります。
危険のサインを知る
危険のサインを理解することで、フィッシングから自身を守ることができます。送信元がどのように記載されていてもメッセージを注意深く読み、見慣れたものと似ているウェブサイトであっても精査してください。
漠然とした、特徴のない表現
フィッシングに際して綿密な調査がなされ、ユーザーとユーザーのビジネスに合わせて内容が調整されている場合もありますが、特徴のない表現を用いているのがフィッシング詐欺の特徴です。信頼する組織が送信元であるように見えても、「アカウント保有者様」など曖昧な記述で始まるメッセージには注意が必要です。
さらに、メッセージで重要なビジネスチャンスまたは収入を得る機会を約束しているにもかかわらず、送信者があなたを知っているか確認できるだけの詳細な情報が含まれていない場合、詐欺である可能性があります。
銀行員のFrederickでございます。
ご親族様のご遺産相続手続きの遅れにつきまして、できるだけ早くご連絡ください。
SMS経由では詳しい情報を共有することができません。以下のアドレスにメールをお願いいたします。
個人のアカウントからのビジネスメッセージ
スキルが高い攻撃者は、あなたのオンラインコンテンツから十分な情報を収集し、実在する連絡先から届いたかのようなメッセージを作成することができます。
卸売価格の変更について
Georgia様
最新の情報を提供したくご連絡差し上げました。こちらが、現在の卸売価格のスプレッドシートです。fabric-prices-october.xls
最後のバッチのシャツにご満足いただけましたら幸いに存じます。ご質問やご不明な点がありましたらお知らせください。
Julia Chan
アカウントマネージャー
Example Fabrics
攻撃者はあなたの連絡先のビジネスアカウントにハッキングしたり、不正な個人アカウントを作成してフィッシングメールメッセージを送信したりすることがあります。たとえば、連絡先であるJuliaの個人用メールアドレスのユーザー名がjuliachan3857だとすると、攻撃者はユーザー名juliachan9665のアカウントからメールメッセージを送信する可能性があります。このタイプの攻撃は、以下の一般的な行動習慣の隙を突くものです。
- 誤って間違ったアカウントからメールメッセージを送信する人が多い。
- あなたがJuliaの個人用メールアドレスを知っていたとしても、詳しく見ないので違いに気づかない可能性がある。
リスクを強調しすぎたり感情的すぎたりする語調
不安にさせたり慌てさせたりして、考えずに行動させようとするリクエストには注意してください。以下の例をご覧ください。
致命的なサーバー障害が発生しました。24時間以内にユーザー名とパスワードを入力しないと、ストアに永久にアクセスできなくなります。
旅行会社からの今すぐ申し込めば90%オフというメールなど、信じられないほど良いオファーを提供するメールメッセージを受信する場合があります。
スペルミス、文法上の誤り、文体の混在
詐欺のウェブサイトやメールメッセージはプロフェッショナルに見えることもありますが、誤字や文法上の誤りがある場合があります。詐欺のウェブサイトやメールメッセージである可能性があるかどうかを判断する際、次の点で不正確であったり統一感がなかったりしないかを見てください。
- スペル
- 大文字の使用
- 番号
- 句読点
- 書式設定
疑わしいURL
フィッシング詐欺には、詳しく見なければ正規のものと思えるようなURLが含まれていることがあります。多くのフィッシング詐欺では、既にあなたが知っているURLに似せたURLが注意深く選択され使用されます。たとえば、普段あなたが正規のURLを使用してExample Apparelの水着を購入しているとして、虚偽のURLへのリンクがメールで届いた場合、それはフィッシング詐欺だと言えるでしょう。
実際のURLはExample Apparelが所有するドメインのサイトexample-apparel.comへと誘導しますが、偽のURLは犯罪者が所有している可能性の高い害のあるドメインのサイトcom-aquatic.netへと誘導します。
| 正規のURL | 偽造されたURL |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
機密情報を含む書類のリクエストに対するShopifyの立場
Shopifyでは、メールメッセージのテキストや画像、あるいは添付ファイルを通して直接機密情報を求めるようなことは決してありません。
機密性の高い書類の例を次に示します。
- あらゆる身分証明書
- パスワード
- クレジットカード情報
- 銀行口座情報
- SIN (社会保険番号) やSSN (社会保障番号) などの国民識別番号
Shopifyでは、app.shopify.comまたは.shopify.comで始まる安全なアップロードページを通してのみ、機密情報を含むドキュメントを送信するようにお願いしています。
その他の形態の通信を使用して問題を報告する
疑わしいメッセージを送信したと思われる者と直接または電話で連絡を取り、組織の誰かに話すことによりウェブページに関する懸念を解消してください。
送信者に電話で連絡を取る場合、ファイルに記録されている番号または複数の信頼できるオンラインソースに表示されている番号を使用してください。たとえば、税理士事務所から情報を請求する不審なリクエストがメールで届いた場合、昨年の納税申告書に記載された番号を使用して事務所に電話します。疑わしいウェブサイトやメールに記載された番号には電話しないでください。
ウェブサイトへの接続にHTTPSが使用されていることを確認する
ユーザー名とパスワードや、その他重要なデータの入力を求めるウェブサイトにアクセスする際は、ブラウザのURLの横にロックアイコンが表示されていることを確認します。
ロックアイコンは、サイトへの接続がHTTPSプロトコルを使用して暗号化されていることを示しています。暗号化された接続のURLは、http://ではなくhttps://と表示されます。http://を使用する接続では、プレーンテキストでデータを送信します。つまり、途中で傍受して読み取ることができます。
情報を入力するページへのリンクをクリックする前に、URLがhttps://で始まっていることを確認してください。
予定していた添付ファイルやリンクのみを開く
添付ファイル、リンクやフォームは、予定していたものではなく内容がわからない場合、開いたり入力することは避けてください。あなたの情報を盗むために作成された有害なサイトにリダイレクトされる可能性があるだけでなく、あなたのデバイスがマルウェアに感染する場合があります。
リンクテキストがURLの場合は、リンク自体のURLと一致することを確認してください。たとえば、メールの本文に記載されたhttps://help.shopify.comのようなリンクをクリックすると、別のURLのフィッシング詐欺ページにリダイレクトされる場合があります。
多くのフィッシング攻撃は、オンラインバンキングを狙ったものです。信用枠の特別オファーに関する疑わしいメールメッセージを銀行から受信した場合、リンクをクリックしないでください。代わりに、新しいウィンドウに銀行のURLを手入力して、あなたのアカウントのダッシュボードにそのオファーが表示されるか確認します。
公共Wi-Fiの使用に関する注意点
公共Wi-Fiは、外出先や仕事先でも利用できて便利ですが、攻撃者にとっては、さまざまな方法であなたの情報にアクセスできる場となります。次の手順に従ってリスクを軽減し、あなた自身とあなたのデータを守ることができます。
ホットスポット名を確認する
攻撃者は、同じエリア内で信頼できるホットスポット (コーヒーショップのネットワークなど) に似た名前の、暗号化されていないWi-Fiホットスポットを自ら作成することができます。フィッシング用のホットスポットに接続すると、攻撃者は、マルウェアに感染させたり、個人情報を入力させたりするための自身のページに移動させることができます。
ホットスポットに接続する前に、使用しようとしているホットスポットが正規のものであることを確認してください。正規のホットスポット名が表示されない場合は、その場所の従業員に確認してください。
デバイスへのアクセスポイントを無効化する
正規の公共Wi-Fiホットスポットに接続した場合でも、攻撃者が同じネットワーク上にいることで危険にさらされる可能性があります。公共Wi-Fiネットワークは、あなたの自宅やオフィスのようなプライベートネットワークと比べはるかに安全性が低いものです。
接続前にネットワーク内のファイル共有をオフにし、ファイアウォールを有効にすることにより、あなた自身を守ってください。このような予防策を取った場合でも、公共Wi-Fiネットワークを使用して機密性の高いコンテンツを送受信することは得策ではありません。
VPNのみで機密データを送受信する
仮想プライベートネットワークは、あなたのデバイスと企業のVPNサーバーとの間で安全な接続を確立します。そこから、VPNサーバーは情報をインターネットに中継します。攻撃者が、公開Wi-Fiホットスポット経由であなたが送受信しているデータにアクセスした場合、データは暗号化され攻撃者にとっては無益なものとなります。
VPNの選び方を知りたい場合は、TechradarとPC Magから始めるとよいでしょう。
VPNを使用しないのであれば、公共Wi-Fiを使用して機密情報を送信しないようにすることが最も安全な選択肢です。
個人情報が危険にさらされた場合に政府のガイドラインに従う
個人識別情報 (PII) は、特定の人物を識別する、または特定の人物になりすますために使用される可能性があるデータで構成されています。PIIには次のような情報が含まれます。
- 氏名
- メールアドレス
- 住所
- 電話番号
- クレジットカード番号
- 国民識別番号 (SIN、SSN、パスポートなど)
- 運転免許証
- 生年月日
不審なチャネルを通じて個人を特定できる情報を提供した場合、またはShopifyアカウントが危険にさらされている場合は、ここに紹介するカナダ政府およびアメリカ政府の情報など、政府によるガイドを参照してください。
カナダ
対処方法
報告するには
アメリカ
対処方法
報告するには