つい先日、筆者が「Gmail」を開くと、ポップアップが表示された。そのポップアップでは、フィッシングに対する追加の保護機能によって、セキュリティが向上することがうたわれていた。もちろん、その機能を有効にした。筆者はテクノロジー(だけでなく、正直に言うとほとんどのこと)に関して、「備えあれば憂いなし」と考える傾向があるからだ。
この機能を解説する前に、フィッシングについて説明しておこう。
基本的にフィッシングとは、何者か(あるいは集団)が正規の企業から送信したように電子メールを偽装することだ。例えば、筆者が定期的に遭遇するフィッシングは、Geek Squad(米国の家電量販店のサポートサービス)を装ったメールで、製品やサービスの請求書らしきものが含まれている。筆者はGeek Squadを10年以上利用していないので、これらの電子メールが本物でないことは一目瞭然だ。
ほかにも、スペルミスやぼやけた画像、Geek Squadとは何の関係もないリンクなど、フィッシングメールであることを示す明白な特徴がある。
(送信者側が)期待しているのは、筆者がそのGeek Squadのメールをクリックすることだ。クリックしてしまうと、(おそらく)筆者のコンピューターに悪意あるソフトウェアがインストールされるか、自分の機密情報(自宅の住所や銀行口座情報、パスワードなど)をうっかり暴露してしまうことになる。筆者は、自分の経験則として、実際に知っている人から送られたものではないリンクはクリックしないようにしている。さらには、リンクの正当性を最初に確認してからクリックするようにしている。
まとめると、フィッシングとは、重大な結果を招くかもしれない悪質なリンクをクリックさせようとする試みのことだ。つまり、こうしたリンクをクリックしてはいけない。
しかし、フィッシング攻撃は巧妙化する一方で、検出も困難になっているということをGoogleは認識している。そこで同社は、「セーフブラウジング保護強化機能」という形で、Gmailにさらなる保護レイヤーを追加した。
セーフブラウジング保護強化機能は、フィッシングに対するリアルタイムの保護を提供するため、2019年に「Google Chrome」ブラウザーに初めて導入された。当初の仕組みは、訪問するサイトのURLを、30分ごとにダウンロードされる保存済みリストと比較するというものだった。やがて、この機能は拡張され、悪意あるChrome拡張機能についての警告も表示されるようになった。さらに、機械学習モデルを組み込むことで、フィッシング攻撃に対する防御も強化された。
セーフブラウジング保護強化機能についての公式な説明は以下の通りだ。
「アカウントのセーフブラウジング保護強化機能は、ユーザーのアカウントとデータを保護するために、URL、ダウンロード、ブラウザの拡張機能、システム情報、いくつかのページのサンプルについて危険性の確認を行います」
1つ注意点がある。セーフブラウジング保護強化機能は、必ず使うべき機能だが、すべてのフィッシング攻撃をブロックできるわけではない。つまり、この機能を使用している場合でも、不審なリンクをクリックしないように引き続き注意する必要がある。リンクが少しでも疑わしい場合(または、知らない人から送信されたものである場合)は、クリックしないのが得策だろう。
ここで、便利な小技を紹介しておこう。Gmailでリンクにカーソルを合わせると、ブラウザーウィンドウの左下付近に小さなポップアップが表示されるはずだ。ポップアップのリンクが電子メールに表示されているリンクと一致する場合、そのリンクは偽装されたものではない。ポップアップのリンクがメール内に記載されているリンクと一致しない場合は、フィッシングである可能性が高い。
ある時点で、Gmailにログインすると、簡単な説明とオン/オフスライダーがあるポップアップウィンドウが表示される。このオン/オフスライダーをクリックしてオンにすると、セーフブラウジング保護強化機能が有効になる。
ポップアップが表示されない場合は、こちらのページにアクセスして有効にできる。有効にすると、Gmailの強化されたフィッシング保護機能が効果を発揮する。
Googleのセーフブラウジング保護強化機能についての解説は以上だ。この機能を有効にして、フィッシングに対する保護を強化することを強くお勧めする。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス