自分がフィッシング詐欺に引っかかりやすいかどうかをテストできる「フィッシング・クイズ」をGoogle傘下のjigsawが公開、実際に使ってみた
by rawpixel.com
フィッシング詐欺とは、悪意を持ったハッカーが信頼できるEメールやウェブサイトなどになりすまし、ユーザーの個人情報やクレジットカードの番号など、経済的価値のある情報を引き出そうとするインターネット上で行われる詐欺のこと。Googleの傘下企業である技術インキュベーターの「jigsaw」が、そんなフィッシング詐欺を見抜く力をテストする「Phishing Quiz(フィッシング・クイズ)」というクイズを公開していたので、実際に試してみました。
Phishing Quiz
https://phishingquiz.withgoogle.com/
Test your internet prowess with Google's phishing quiz
https://mashable.com/article/google-phishing-quiz/#bEk4GuJRgsqB
フィッシング・クイズは誰でも無料で挑戦することが可能。公式ページにアクセスすると、「あなたはフィッシング詐欺を見抜くことができますか?」という言葉が表示され、フィッシング詐欺が人々の想像を超えて巧妙になっていると説明されています。クイズに挑戦するには「TAKE THE QUIZ」をクリック。
すると、名前とメールアドレスの入力を求められますが、この情報は本当の名前やメールアドレスである必要はありません。あくまでもテストを本物らしく見せかけるために用意された入力フォームなので、本当の名前やメールアドレスを入力したくない場合は、適当な名前やメールアドレスを入力すればOK。入力した情報の真偽にかかわらず、サーバーなどへ情報が送信されることはないとのこと。
名前とメールアドレスの入力が終わったら、さっそくクイズが出題されます。架空のメールアドレスへメールが届いた設定で、このメールがフィッシング詐欺であるのかそうでないのかを調べ、「PHISHING(フィッシング詐欺)」か「LEGITIMATE(正当なメール)」かどうかを判断していきます。
なお、これより下の部分では、実際にフィッシング・クイズの内容にも触れつつ説明を行っていきます。予備知識を入れずにクイズに挑戦したい場合は、先にクイズをクリアしてから読むことをオススメします。
まずはメールの差出人をチェック。見知らぬメールアドレスからのものですが、ひょっとすると仕事で知り合いになったことがあるかもしれません。ひとまず判断は保留。
差出人欄の下部にある逆三角形アイコンをクリックしてメールの情報をもう少し調べてみると、CCに他の知り合いは入っていません。しかし用件は「2019 Departmental Budget(2019年部門予算)」とありました。
メールにはGoogleドキュメントらしきファイルが添付されており、差出人はドキュメントの中を確認して欲しいようです。さっそくカーソルをドキュメントの上に移動させると……
画面の左下にリンク先のURLが表示されます。しかし、リンク先のURLに違和感が。
よく見てみると、リンク先URLは「http://drive--google.com」で始まっています。しかし、GoogleドキュメントであればURLは「https://docs.google.com」、GoogleドライブであればURLは「https://drive.google.com」で始まっているはず。
このメールは怪しいということで、「フィッシング詐欺」をクリック。
すると、「Correct!(正解!)」という言葉が表示されました。どうやらフィッシング詐欺を見抜けたようで一安心です。「SHOW ME」をクリックすると……
さらに詳細な解説が表示されました。フィッシング詐欺は詐欺目的で作られたサイトへ誘導し、重要な情報を入力させようとしてくることがあるので、メールに貼られたリンクをクリックする前に、リンク先URLが不審なものでないかどうかをチェックすることが重要になります。解説を読み終えたら「NEXT」をクリック。
次は「インターネットFAXが届いた」という設定でメールが届き、再びこのメールがフィッシング詐欺かそうでないかをチェックします。これと同様の問題を8問解くことで、自分がどれだけフィッシング詐欺を見抜く力を持っているのかを調べることができるというわけ。
学校の旧友らしき人物からのメールや、オンラインストレージサービスのDropboxからアップグレードを勧めるメールなど、実際に届いてもおかしくないようなメールがクイズで出題されます。数分のクイズに挑戦することで、いかにハッカーが巧妙な手口を使ってくるのかという点を意識することができ、セキュリティ意識を高めることができます。
8問全てに解答すると、最終結果が表示されます。たとえ全問正解したとしても、ハッカーは日々巧妙な手口を考案し続けてしており、もし本当に何者かが自分にフィッシング詐欺を仕掛けてきたとしても、今回と同じような方法を取ってくるとは限らない点に注意が必要です。もしも情報を盗み取られてしまった場合、とても大きなダメージを受けることになることを忘れてはいけません。
・関連記事
偽のSpotifyメールでApple ID情報を盗み出すフィッシング詐欺の存在が明らかに - GIGAZINE
人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ - GIGAZINE
GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している - GIGAZINE
日本語版のGoogle Playに偽装してクレジットカード情報を盗み出すフィッシング(詐欺)サイトが登場 - GIGAZINE
名前やメールアドレス・住所などを自動的に入力してくれる「オートフィル機能」を使うと個人情報がこっそり盗まれる危険性あり - GIGAZINE
無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE
・関連コンテンツ