フィッシングからアカウントを保護する

このページはJan 24, 2021に印刷されています。最新のバージョンについては、https://help.shopify.com/ja/manual/your-account/account-security/phishingをご覧ください。

フィッシングという用語は、偽装したウェブサイトやメール、その他のメッセージを含む個人情報窃盗・詐欺を意味します。フィッシング攻撃の目的は、アカウントと機密情報にアクセスすることです。攻撃者は、評判が良いウェブサイトを模倣したサイトを作成したり、信頼できるソースが送信元であるかのように偽装してメッセージを送信したりすることができます。フィッシングメッセージは偽のアカウントやハッキングされたアカウントから届く可能性があります。

フィッシングメッセージでは、次のような行為を求める場合があります。

  • リンクを訪問する。
  • ファイルをダウンロードする。
  • 添付ファイルを開く。

これらの行為を行った場合、コンピュータやモバイルデバイスがマルウェア - ワーム、トロイの木馬、ボット、ウイルスなど悪意のあるソフトウェア - に感染する可能性があります。デバイスが感染すると、侵入者はあなたの個人情報にアクセスすることができます。

また、フィッシング詐欺には、銀行口座の資格情報などの個人情報を直接要求することも含まれます。

フィッシング詐欺では、次のような方法で個人情報の提供を求める場合があります。

  • メールまたは他のメッセージングシステム。
  • フォーム。
  • 偽装した電話番号。
  • 偽装した住所。

メールアドレスを入力し、パスワードをリセットするよう求めるリクエストも危険である可能性があります。

危険のサインを知る

危険のサインを理解することで、フィッシングから自身を守ることができます。送信元がどのように記載されていてもメッセージを注意深く読み、見慣れたものと似ているウェブサイトであっても精査してください。

漠然としすぎた言葉使い

フィッシング詐欺は、あなたやあなたのビジネスに合わせてよく研究され調整されて行われますが、漠然としすぎた言葉使いが特徴です。信頼する組織が送信元であるように見えても、曖昧な表現で始まるメッセージには注意が必要です。

アカウント保有者様

同様に、メッセージで重要なビジネスチャンスまたは収入を得る機会を約束しているにもかかわらず、送信者があなたを知っているか確認できるだけの詳細な情報が含まれていない場合、詐欺である可能性があります。

銀行員のFrederickでございます。親戚の遺産相続の遅延について、できるだけ早くご連絡ください。SMS経由では詳しい情報を共有することができません。以下のアドレスにメールをお願いいたします。

個人のアカウントからのビジネスメッセージ

スキルが高い攻撃者は、あなたのオンラインコンテンツから十分な情報を収集し、実在する連絡先から届いたかのようなメッセージを作成することができます。

卸売価格の変更について

Georgia様、最新の情報を提供したくご連絡差し上げました。こちらが、現在の卸売価格のスプレッドシートです。fabric-prices-2016-oct.xls

最後のバッチのシャツにご満足いただけましたら幸いに存じます。ご質問やご不明な点がありましたらお知らせください。

--

Julia Chan

アカウントマネージャー

Example Fabrics

攻撃者は連絡先のビジネスアカウントに不正アクセスしたり、偽の個人アカウントを作成することがあります。たとえば、連絡先のユーザー名Juliaの個人用メールアドレスがjuliachan3857だとすると、攻撃者はユーザー名juliachan9665のアカウントからメールを送信する可能性があります。この形式の攻撃は、次の2つの要因に基づいています。

  • 誤って、間違ったアカウントからメールを送信する者が多い。
  • Juliaの個人用メールアドレスを知っていたとしても、詳しく見ていない可能性がある。

スペルミス、文法上の誤り、文体の混在

犯罪者は、プロのウェブコンテンツライターと比べコンテンツスタイルガイドを真剣に扱っていません。タイプミスや文法上の誤りに限らず、一つのページ内に次に示すような混在が見られるようであれば、ウェブサイトは偽装されたものであると言えます。

  • スペル。
  • 大文字と小文字。
  • 数値。
  • 句読点。
  • 書式設定。

リスクを強調しすぎたり感情的すぎる語調

不安により考えずに行動してしまうような、時間を争うリクエストには注意してください。たとえば、Shopifyが次のような内容のメッセージを送ることはありません。

致命的なサーバー障害が発生しました。24時間以内にユーザー名とパスワードを入力しないと、ストアに永久にアクセスできなくなります。

同様に、あなたが今すぐ申し込んだ場合のみ90%オフで旅行会社を利用できるなど、信じられないほど良いオファーを提供するメッセージに注意してください。

正しいと思われないURL

フィッシング詐欺には、詳しく見なければ正規のものと思えるようなURLが含まれることがあります。多くのフィッシング詐欺では、既にあなたが知っているURLに似た、注意深く選択されたURLを使用します。下の表に示したように、あなたが通常Example Apparelの正規のURLで水着を購入しており、偽造されたURLへのリンクがメールで届いた場合、それはフィッシング詐欺だと言えるでしょう。

実際のURLはExample Apparelが所有するドメインのサイトexample-apparel.comへと誘導しますが、偽のURLは犯罪者が所有している可能性の高い害のあるドメインのサイトcom-aquatic.netへと誘導します。

正規のURLと電話URLの特徴
正規のURL 偽造されたURL
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

その他の形態の通信を使用して問題を報告する

疑わしいメッセージを送信したと思われる者と直接または電話で連絡を取り、組織の誰かに話すことによりウェブページに関する懸念を解消してください。

送信者に電話で連絡を取る場合、ファイルに記録されている番号または複数の信頼できるオンラインソースに表示されている番号を使用してください。たとえば、税理士事務所から情報を請求する不審なリクエストがメールで届いた場合、昨年の納税申告書に記載の番号で事務所に電話します。疑わしいウェブサイトやメールに記載の番号に電話しないでください。

ウェブサイトに接続する際にHTTPSを使用していることを確認する

ユーザー名とパスワードや、その他重要なデータの入力を求めるウェブサイトにアクセスする際は、ブラウザのURLの横にロックアイコンが表示されていることを確認します。

ロックアイコンは、サイトへの接続がHTTPSプロトコルを使用して暗号化されていることを示しています。暗号化された接続のURLは、http://ではなくhttps://と表示されます。http://を使用する接続は、プレーンテキストでデータを送信します。つまり、途中で傍受して読み取ることができます。

情報を入力したい場所へのリンクをクリックする前に、URLがhttps://で始まっていることを確認しましょう。

予定していた添付ファイルやリンクのみを開く

添付ファイル、リンクやフォームは、予定していたものではなく内容がわからない場合、開いたり入力することは避けてください。あなたの情報を盗むために作成された有害なサイトにリダイレクトされる可能性があるだけでなく、あなたのデバイスがマルウェアに感染する場合があります。

リンクテキストがURLの場合は、リンク自体のURLと一致することを確認してください。たとえば、メールの本文にhttps://help.shopify.comのように書かれたリンクから別のURLのフィッシング詐欺ページが表示される場合があります。

多くのフィッシング攻撃は、オンラインバンキングの利用を試みるものです。信用枠の特別オファーに関する疑わしいメールを銀行から受信した場合、リンクをクリックしないでください。代わりに、新しいウィンドウに銀行のURLを手入力して、あなたのアカウントのダッシュボードにオファーが表示されるか確認します。

公共Wi-Fiに注意する

公共Wi-Fiは、外出先でも便利ですが、犯罪者はさまざまな方法であなたの情報にアクセスすることができます。次の手順に従ってリスクを低減し、あなた自身とあなたのデータを守ることができます。

ホットスポット名を確認する

攻撃者は、同じエリア内で信頼できるホットスポット (コーヒーショップのネットワークなど) に似た名前の、暗号化されていないWi-Fiホットスポットを自ら作成することができます。フィッシング用のホットスポットに接続すると、攻撃者は、マルウェアに感染させたり、個人情報を入力するように誘導する自身のページに移動させることができます。

接続する前に、使用しようとしているホットスポットが正規のものであることを確認してください。ホットスポット名が適切な場所に表示されていない場合は、従業員に確認してください。

デバイスへのアクセスポイントを無効化する

正規の公共Wi-Fiホットスポットに接続した場合においても、攻撃者が同じネットワーク上に存在し、危険にさらされる可能性があります。公共Wi-Fiネットワークは、あなたの自宅やオフィスのようなプライベートネットワークと比べはるかに安全性が低いものです。

接続前にネットワーク内のファイル共有をオフにし、ファイアウォールを有効にすることにより、あなた自身を守ってください。このような予防策を取った場合においても、公共Wi-Fiネットワークを使用して機密性の高いコンテンツを送受信するのはお勧めしません。

機密データをVPNで送受信する

仮想プライベートネットワークは、あなたのデバイスと企業のVPNサーバーとの間で安全な接続を確立します。そこから、VPNサーバーは情報をインターネットに中継します。攻撃者が、公開Wi-Fiホットスポット経由であなたが送受信しているデータにアクセスした場合、データは暗号化され攻撃者にとっては無益なものとなります。

VPNの選び方を知りたい場合は、TechradarPC Magから始めるとよいでしょう。

VPNを使用しないのであれば、公共Wi-Fiを使用して機密情報を送信しないようにすることが最も安全な選択肢です。

個人情報が危険にさらされた場合に政府のガイドに従う

個人情報は、特定の人物を識別する、または特定の人物になりすますために使用される可能性があるデータで構成されています。個人情報には次のようなタイプが含まれます。

  • フルネーム。
  • メールアドレス。
  • 住所。
  • 電話番号。
  • クレジットカード番号。
  • 国民識別番号 (SIN、SSN、パスポートなど)。
  • 運転免許証。
  • 生年月日。

不審なチャネルを通じて個人を特定できる情報を提供した場合、またはShopifyアカウントが危険にさらされている場合は、ここに紹介するカナダ政府およびアメリカ政府の情報など、政府によるガイドを参照してください。

カナダ

対処方法

報告するには

アメリカ

対処方法

報告するには

Shopifyで販売を開始する準備はできていますか?

無料体験を試す