www.youtube.com

NTTドコモの「#迷惑メール展」にちなんだ案件動画で、迷惑メールとフィッシング詐欺対策を紹介していた。 フィッシング詐欺は、非常に深刻な状況なのでYouTube動画でその危険性を解説するのは非常に有効な取り組みだと思う。

特殊詐欺（オレオレ詐欺、振り込め詐欺など）はNHKの夕方のニュースでその手口を紹介し、毎日の詐欺活動状況を伝えるという異常なまでに強力な注意喚起が行われている。

www.nhk.or.jp

法林岳之さん紹介のフィッシング詐欺対策の良い所、アレな所

良いなと思ったところ

• りょ
  1. 具体的なメールやSMSをスマホの画面で例示して紹介している。
     • ビジュアルで見せておくのはGoodである。
  2. #迷惑メール展 を紹介している。
     • 通販サイト、銀行・クレジットカード、携帯電話キャリアなどと具体例を出して紹介している。
  3. フィッシング詐欺対策のためのキャリアサービスの名前を提示して紹介している。
     • ドコモ: あんしんセキュリティ | サービス・機能 | NTTドコモ 月額220円
     • ahamo: サービス | ahamo 月額220円
     • au: 迷惑メッセージ・電話ブロック｜あんしん - auスマートパス スマートパス・プレミアム月額548円 に加入すると付いてくる
     • UQ: スマホ向けオプションサービス｜格安スマホ/格安SIMはUQ mobile（モバイル）【公式】 あんしんフィルター for au だったら無料のようだ
     • ソフトバンク: 迷惑電話ブロック | スマートフォン・携帯電話 | ソフトバンク 月額330円
     • ワイモバイル: 迷惑電話ブロック｜安心・安全｜サービス｜Y!mobile - 格安SIM・スマホはワイモバイルで 月額330円
  4. フィッシング詐欺にひっかかってしまって、偽アプリをインストールしてしまったり、ID/Passを入力してしまったらどうするか？という事後対策を説明している。
     • IDを変更する、パスワードを変更する。
     • 偽アプリはアンインストールする。
  5. クレカ情報を盗った悪いヤツが、どのようにカードを利用するかを具体的に説明している。
     • カード情報が使えるかどうかを確かめるために、誰もが使っていそうなサービスで少額利用して試している。

アレじゃね？って思ったところ

• あ？
  1. キャリアからSMSで「未払いです」等の案内は来ないはずだから、怪しいメッセージは見分けられる。 << 見分けられるわけないじゃん!!
     • ドコモから URL付きの SMSメッセージは来る。内容はともかくSMSが来る。もうその時点で怪しい・怪しくないを利用者が見分けられるハズがないのである。
  2. 不安がぬぐいきれない、怪しいかどうかひたすら分からず不安だというときには、サポートに連絡（電話やチャット）で問い合わせろ。 << 疑って掛れという身も蓋もないアドバイスをするしかないと思うよ!!
     • サポート詐欺というのがあるのでやっぱり引っかかるのではないだろうか？ そもそもサポート詐欺とは、非常に丁寧なフィッシング詐欺なのだ。
  3. 偽アプリをインストールされた場合の事後対策が緩くね？ << 偽アプリに許可した権限を再確認して、窃取された情報を推測して対処するしかない
     • 偽アプリが何をしているか？
       • MoqHao (Malware Family)
       • 株式会社アクティブディフェンス研究所: FridaをもちいたAndroid Malware解析(MoqHao, XLoader)
       • 株式会社アクティブディフェンス研究所: 日本ユーザーを狙った、感染端末の電話番号（SMS認証）を悪用する手法
     • やられていそうなこと
       • フィッシングSMSの更なる拡大の踏み台になる。
       • 連絡先を盗まれたり、C2(攻撃者の遠隔操作)から宛先を渡されて、メッセージアプリからSMSメッセージを送信させられる。
       • メッセージアプリを読み取る機能を使って2段階認証を突破する。
     • じゃぁ、どうすんの？
       1. 偽アプリのアンインストール
       2. 端末内の情報（特にメッセージアプリで使用済みの認証情報）が盗み見られていると考えて、利用中の各種サービスのパスワードを変更する。
       3. ともかく、影響範囲が大きい。
  4. パスワード管理方法がツラくね？ << パスワード管理ツール(パスワードマネージャー)を紹介すべき
     • 「紙（ノート）にパスワードを書いて自宅で保管しておく」と解説しているが、今時のスマホユーザーが何個の認証情報を使っているか分かっていないのではないかと思ってしまった。
     • 紙を自宅に保管していたら 外出先で認証できないじゃん ってなる。
     • やっぱり、 パスワード管理ツール しかないのでは？

パスワードマネージャーの紹介

www.youtube.com

• RoboForm: https://www.dpbolvw.net/
• Bitwarden: https://bitwarden.com/
• LastPass: https://lastpass.com/
• 1Password: https://1password.com/
• Keeper: https://www.keepersecurity.com/
• Dashlane: https://www.dashlane.com/