現実を直視しましょう。攻撃は後を絶ちません。どんなプラットフォームを使っているとしても、「このソフトウェアは安全だろうか?」「このURLをタップしてもいいのだろうか?」と自問自答する岐路に立たされるでしょう。多くのユーザーは、ソフトウェアに悪意のある意図が潜んでいるという考えに慣れてしまっていますが、URLにも同じことが起こり得ることを理解していない人が多いのです。
これはフィッシングと呼ばれます。Wikipediaによると、フィッシングの「公式」な定義は次のとおりです。
「…電子通信において信頼できる組織を装い、ユーザー名、パスワード、クレジットカード情報などの機密情報(場合によっては間接的に金銭)を取得しようとする行為。」
タップしようとしているURLが信頼できるものかどうかを判断するのは、時に難しいものです。26,000以上のフィッシングサイトが活動していることを考えると、判断するのは容易ではありません。しかし、Phishing Detectiveのようなアプリが役立ちます。
Phishing Detectiveは、URLが安全に閲覧できるかどうかを確認できるシンプルなソリューションです。このアプリは(できると謳っていますが)タップ後に自動でチェック(フィッシングサイトの場合は開かないようにする)することはできません。そのため、手動でURLチェッカーとして使用する必要があります。確かに少し面倒ですが、予防にはなりますからね…。
右?
一つだけ覚えておいてください。日々の仕事で使っているソフトウェアと同様に、モバイルセキュリティもあなた自身の責任です。ですから、フィッシング攻撃から身を守るための対策を講じることが重要です。
それでは、Phishing Detective の使い方 (実際に役立つ唯一の方法) を説明しましょう。
インストール
インストールは簡単です。以下の手順に従ってください。
- AndroidデバイスでGoogle Playストアを開きます
- フィッシング探偵を検索
- DoubleR SoftwareのPhishing Detective Freeのエントリを見つけてタップします。
- インストールをタップ
- 権限リストを読む
- 権限リストが適切であれば、「承認」をタップします
- インストールが完了するまで待ちます
インストールが完了すると、ホーム画面またはアプリドロワー(もしくは両方)にPhishing Detectiveランチャーが表示されます。ランチャーをタップしてアプリケーションを起動してください(EULAに同意する必要があります)。
使用法
さて、このアプリの何が問題で何が良いのか、その核心に迫ります。まず第一に、このアプリは(どのアプリ内からでも)タップされたリンクをすべてチェックし、既知のフィッシングサイトのデータベースと照合するべきです。しかし、実際にはそうではありません(デフォルトのブラウザの設定を解除すればアプリがチェックすると謳っているにもかかわらず)。そこで、リンクがフィッシングサイトかどうかを手動で確認する方法を学びましょう。
リンクをタップしているアプリ(たとえば Gmail)内で、リンクを長押しして [リンク URL をコピー] を選択します (図 A )。
図A
Gmail 内から URL をコピーします。
リンクをコピーしたら(通知が表示されます)、Phishing Detective を開きます。メインウィンドウ(図B)で、検索エリア(「検索する名前」と表示されている部分)を長押しし、「貼り付け」をタップします(ポップアップ表示されます)。
図B
Phishing Detective に URL を貼り付けます。
「検索」ボタンをタップすると、リンクURLがデータベースと比較されます。ヒットした場合は、結果が表示されます(図C)。
図C
一致が見つかりました。
さて、このアプリを使用する際のもう一つの注意点があります。前の画像でお気づきかもしれませんが、私はjacksonsaccounts.com.auというURLを検索しました。このURLはフィッシングデータベースに2件登録されています(警告:以下のURLはフィッシングサイトなので、アクセスしないでください)。
- http://www.jacksonsaccounts.com.au/udef/s.emsgs/p….
- http://www.jacksonsaccounts.com/au/udef/s.emsgs/p….
これらのアドレスの先頭に「http://www.」を付けて入力すると、「サーバーへの接続エラー」というメッセージが表示されます。「http://www.」を削除すると、リストが表示されます。これは、アドレスに「http://www.」が含まれているとアプリがエラーを起こすことを意味します。そのため、リンクURLをコピーする際は、アドレスから問題となる部分を必ず削除する必要があります。
ここまで読んで、「このアプリの何がいいの?」と疑問に思われるかもしれません。信じられないかもしれませんが、欠点はあるものの、このアプリは実に便利です。26,000以上のフィッシングサイトのデータベースを比較できます。セキュリティを真剣に考えているなら、Phishing Detectiveの欠点は気にしなくてもいいかもしれません。そうでなければ、ESETのモバイルセキュリティ&アンチウイルスのような、より高度な(そしてバッテリーを消耗する)ツールを使うのも良いでしょう。
Phishing Detectiveには、もう少し力を入れて、アプリケーションの欠陥を修正してほしい。もしそれが実現すれば、このアプリは誰のモバイルデバイスにも素晴らしい追加機能となるだろう(手動操作を好むか、手動操作を好まないかは関係ない)。
フィッシングの脅威からデバイスをどのように保護していますか?以下のディスカッションスレッドであなたの経験を共有してください。
