偽ログイン画面にだまされない!「5秒チェック」+だまされた時の最短リカバリー
「パスワードの有効期限が切れました」
「容量がいっぱいです」
「セキュリティ警告が出ています」
こうした通知からリンクを開くと、本物そっくりの「偽ログイン画面」に誘導され、ID・パスワードを入力してしまうことがあります。
この記事では、見た目に惑わされずに自分で判定するための考え方と、5秒でチェックするためのリスト、もし入力してしまった場合の最短リカバリーを紹介します。
この記事を読むとわかること
- 偽ログイン画面を自分で判定するための基本
- 5秒で見抜くチェックリスト
- フィッシングサイトに入力してしまった場合の最短リカバリー手順
- メール内URLを「無効化」できるかどうかと、現実的な対処法
- フィッシング対策に使えるメールセキュリティサービスの概要
なりすましメール・フィッシングメールのリスクがわかるお役立ち資料
資料の内容
- なりすましメール・フィッシングメールのリスク
- DMARCの仕組みとできること
- 導入義務化の最新動向(Google、Yahoo!などの対応)
- DMARC導入時のよくある課題とその対処法
資料ダウンロードはこちら偽ログイン画面だまされないために。自分でログイン画面を判定するには?
偽ログイン画面は、ロゴや配色まで本物に似せて作られます。そのため「画面の雰囲気」ではなく、次の2点で判断するのが基本です。
- ログインの入口は正規の導線か
- リンク先のURL(ドメイン)は正規か
ログイン画面の判別が付きにくいと感じたら、日頃からよく使うサイトをブックマークしておき、ブックマークや社内ポータルからサイトに入るようにするとだまされにくくなります。
迷った時は、一旦ウィンドウやタブを閉じて、ブックマークから入り直すだけでも有効です。
5秒で見ぬく偽ログイン画面チェックリスト
偽ログイン画面の特徴の1つとして、「画面のデザインは本物そっくりに作ってあること」が挙げられます。
そのため、「URLを確認して開く」ことが偽ログイン画面を見抜く上では欠かせません。
URLが確認できない導線では開かないよう、以下の行動をとっていないか、チェックしてみてください。
- URLのドメインを確認しているか
- 短縮URLや長すぎるURLではないか
- スマホのアプリ内ブラウザで開いていないか
- 添付PDF内リンクやQRコード経由ではないか
チェック1:URLのドメインのチェックについて
偽ログイン画面を見ぬく、最重要ポイントはドメインです。「login」「security」などの単語が入っていても、本物の根拠にはなりません。
日頃使用している、正規ドメインと一致しているか、綴りが似ている別ドメインになっていないかを確認します。
わからない場合は、AIを補助的に使う方法もあります。ただし、正規URLを断定できるとは限らないため、URLが怪しい典型パターンに当てはまるかの確認に留めましょう。
チェック2:短縮URLや長すぎるURLは要注意
短縮URLはリンク先が見えず(https://www.●●.co.jpなどのドメイン)、判定が難しくなります。
また、長すぎるURLは途中にもっともらしい文字列が混ざりやすいため、注意が必要です。クリックする前に、一旦立ち止まって確認するルールを徹底しましょう。
チェック3:スマホのアプリ内ブラウザは避ける
チャットアプリやSNSなどの「画面内ブラウザ」は、URLが見えづらく判定ミスが起きやすくなるため避けましょう。
開きたいURLがあったら、URLをコピーしてブラウザに貼り付けてから開く、迷ったら閉じる、標準ブラウザで公式ブックマークから入り直す、などで対処しましょう。
チェック4:添付PDF内リンクやQRコード経由からのアクセスは慎重に
PDF内リンクやQRコードは、リンク先の確認がしづらい導線です。
URLを確認できない場合は、基本的には「開かない」判断をすることが安全です。
よくある誤解:鍵マーク(HTTPS)があれば安全?
ブラウザのアドレスバーに表示される鍵マークは「通信が暗号化されている」ことを示すだけで、サイトが本物である保証ではありません。
鍵マークをクリックすると、接続が保護されているかどうか、証明書情報を閲覧できます。本物かどうかは、必ずドメインで判断します。
また、ブラウザによっては、鍵マークではなく別の図形であることもあります。
もし、フィッシングサイトに入力してしまった場合の最短リカバリー
万が一フィッシングサイトに入力してしまった場合は、まず被害拡大を防ぐために「社内への報告」と「証拠の記録」を優先します。
社内アカウントの場合は、上長や情報システム部など決められた窓口へ連絡し、指示に従って対応しましょう。
あわせて、件名・送信者・時刻・端末・表示された画面をスクリーンショットで残しておくと、後の調査や対応がスムーズです。
そのうえで、パスワード変更や全端末のサインアウト(セッション遮断)、転送設定・受信ルールなど「勝手に動く設定」の確認と停止に進みます。
特にログイン情報を入力している場合は、早めの対応が重要です。
クレジットカード番号や口座番号を入力してしまった場合は、利用しているカード会社や銀行に速やかに連絡を行い、利用停止しましょう。
メールに記載されたURLを無効にする方法はある?
個人で、相手が送ってきたURLそのものを「無効化」することは基本的にできません。
そのため、現場では「踏まない」「開かない」を徹底することが重要です。あわせて、組織として、危険なURLを検知・遮断できる仕組みづくりが必要なります。
一部のメールセキュリティサービスには、安全性を確保した仮想環境(サンドボックス)でURLの挙動を確認し、危険なリンクへの対策につなげる機能があります。
サービス紹介【CWJ Secure One(セキュアワン)】
「CWJ Secure One(セキュアワン)」は株式会社サイバーウェイブジャパンが提供する、フィッシングなどの脅威メール対策をまとめて行えるメールセキュリティサービスです。
不審なURLを含むメールへの対策や、誤操作による被害拡大を抑える運用支援にも活用できます。
フィッシングメール対策の方法をお探しの方はお問い合わせ下さい
こんなお悩みをお持ちの方は、株式会社サイバーウェイブジャパンへご相談ください。
「怪しいメールに対策したい」
「フィッシングメールのリンクを無害化したい」
「現場の迷いを減らし、事故を広げない運用にしたい」
株式会社サイバーウェイブジャパンでは、専門のコンサルタントが、お悩みに沿ったメールセキュリティに関するシステムをご提案しています。貴社が抱える課題について、気軽にご相談ください。
この記事のポイント
-
1.偽ログイン画面を自分で判定するには?
偽ログイン画面を自分で判定する方法は以下の通りです。
- 正規ルートからログイン画面を開いたか確認する
- リンク先のURL(ドメイン)は正規か確認する
- チェックリストを使う
迷ったら一旦ブラウザを閉じて、ブックマークや社内ポータルから入り直しましょう。日頃から、ログインが必要なサイトをブックマークしておくと便利です。
詳しくは「偽ログイン画面だまされないために。自分でログイン画面を判定するには?」をご覧ください。
-
2.偽ログイン画面か確かめるチェックリストは?
偽ログイン画面であるか、確かめるためのチェックリストは以下の通りです。
- URLのドメインを確認しているか
- 短縮URLや長すぎるURLではないか
- スマホのアプリ内ブラウザで開いていないか
- 添付PDF内リンクやQRコード経由ではないか
詳しくは「5秒で見ぬく偽ログイン画面チェックリスト」をご覧ください。
なりすましメール・フィッシングメールのリスクがわかるお役立ち資料
資料の内容
- なりすましメール・フィッシングメールのリスク
- DMARCの仕組みとできること
- 導入義務化の最新動向(Google、Yahoo!などの対応)
- DMARC導入時のよくある課題とその対処法
インターネットデータセンターの運用から、クラウドサービスの提供まで行う株式会社サイバーウェイブジャパン(CWJ)のWeb担当者。
クラウドメールやデータ運用に関する弊社の知識を生かし、皆様のお役に立つ情報を発信しております。
クラウドメールの導入でお困りの方は弊社にご相談ください。
サイバーウェイブジャパンは、全国のお客様に対応しております。
