フィッシング対策機能の必要性に疑問。
毎年数十のセキュリティソフトをレビューしていて感じるのが、フィッシング詐欺対策機能(アンチフィッシング)は必要無いのではないか、という点です。私の体験談や、各種データを交えながらその理由を解説します。
目次
無意味と言える理由
では早速、根拠を紹介していきます。
詐欺サイトに即時対応するわけではない
あまり知られていないことだと思いますが、セキュリティソフトのアンチフィッシング機能はフィッシングサイトに即時対応できていません。
アンチフィッシングでも、ウイルス対策機能と同じような「ヒューリスティック検知」を用いている場合もあります。詐欺サイトに特徴的な部分を検知することで、まだ詐欺サイトとして判断されていないものでも「クロ」と判定できる仕組みです。
しかし、カスペルスキーの資料によればヒューリスティック検知によるフィッシング詐欺サイトの検知は、全体の50%です(2015年8月 「Kaspersky Labの高度なアンチフィッシング技術」) 残りの半分はというと、データベースと照合して詐欺サイトか判断しているものです。
フィッシング詐欺サイトは、その「寿命」を年々縮めています。
2017年にウェブルートが発表したデータによると、平均で15時間。全体の5%は1時間未満という短命なので、セキュリティソフトのデータベースに登録される前に多くが消滅している状況です。
実際、私もセキュリティソフトをインストールして「最新の」詐欺サイトにアクセスすることがしばしばありますが、新しいものほど詐欺サイトとして認識できない傾向を感じます。
また、特に日本でユーザーが少ないセキュリティソフトでは、日本人を対象とした日本語の詐欺サイトの検知率が絶望的に低いです。
ブラウザにも同様の機能が組み込まれている
ChromeやFirefox、Edgeといった主要なブラウザにはフィッシングサイトを検知する機能が組み込まれています。特に設定せずとも、フィッシングサイトとして検知されたサイトにアクセスしようとすると、警告を表示してブロックしてくれます。
こちらもセキュリティソフトのアンチフィッシングと同様に、最新の詐欺サイトに即時対応しているわけでは無い点には注意が必要ですが、一定の対策にはなります。
また、これは私の経験上ですがセキュリティソフトがフィッシングサイトと検知できず、ブラウザ(Firefox)が検知できた例は枚挙に暇がありません(逆は少ない)
ユーザーに「油断」を生む
「セキュリティソフトで検知してくれるから、安心だ」という油断がフィッシング対策にとって最大の敵です。
フィッシング詐欺の手口は巧妙化しており、誰でも被害に遭う前提で普段からパソコンやスマホを使うべきです。「セキュリティソフトが警告を出していないから本物だろう」と信じてしまう人もいるので、かえって危険です。
何の前触れも無く届いたメールは全て詐欺メール。記載のリンクは絶対にクリックせずブックマークなどから正規のサイトを開く!といった心がけがフィッシング詐欺対策には重要です。
動作が遅くなる
最後に、必要性が低いと言える根拠とは言えませんが問題点として紹介します。
セキュリティソフトのアンチフィッシング機能は、ブラウザに「アドオン」を追加することで機能を使えるようになるものがあります。例えばウイルスバスター、ノートン、カスペルスキーがそうです。一方でESETなどはセキュリティソフトをPCにインストールするだけで機能が有効になります。
ブラウザにアドオンを追加するタイプのセキュリティソフトは、総じてブラウザの動作に悪影響を与えます。中には大きなストレスを感じる程の変化を生じさせるものもあるため、ユーザーの利便性を損ねています。
私が2017年にウイルスバスターを計測したところ、ウェブサイトを5ページ同時に読み込むのに2.5倍の時間が掛かるようになりました(アドオン無し4.65秒→あり11.36秒)
結論 「無いよりマシ」
セキュリティソフトのアンチフィッシング機能は「無いよりマシ」程度のものだと認識した方がよいです。また、機能があるから安心だという誤解は捨ててください。
セキュリティソフトを選ぶ際も、フィッシング対策機能に重点を置いて検討することはおすすめしません。
活用方法もある
一方で、セキュリティソフトのアンチフィッシング機能には活用方法もあります。
安全と診断されたサイトのみアクセスする
例えばウイルスバスターには、サイトが安全かどうかアクセスする前に表示する機能があります(リンクの色で教えてくれる:以下の画像参照)
こうした機能を活用して、「安全と診断されたサイト」のみアクセスすることで、フィッシング詐欺だけでなくウイルス感染のリスクを減らすことが出来ます。
ただし、何度も説明してきたように過信は禁物です。ブックマーク以外から個人情報やID・パスワードを入力する画面を開かない、といった基本的なルールを徹底しましょう。