フィッシングメールについておさらい
フィッシングメールとは、偽の送信者が電子メ―ルを送信し、メールに記載されたURLから偽のサイトにユーザーを誘導、個人情報を入力させ盗み出す手口です。悪意ある者が盗み出そうとする個人情報は、クレジットカード・モバイルバンキングのID・パスワード・暗証番号など重要なものであることが大半です。騙されたユーザーは、情報を入力してしまい、預金の引き出し・クレジットカードの悪用などの詐欺被害を引き起こします。
「迷惑メール」に振り分けられている場合には、メールを開くこともほとんどないと思います。しかし、メールを開いてしまった場合には、気が付くかどうかで被害を大きくするかどうかが決まります。
従業員がフィッシングメールにひっかからないためにどうすればいいのか、とお考えの方へ、セキュリオ の標的型攻撃メール訓練がおすすめです。
一般的な標的型攻撃メール訓練サービスでは、添付ファイルの開封やリンクのクリックを促すものが多いですが、セキュリオでは、ID情報の入力まで含めたフィッシングメールによる攻撃の訓練が可能です。
まずは1度お試しください。
フィッシングメールの見分け方の基本
フィッシングメールは、よく観察すると通常のメールと異なる点が多々あります。
- 送信元・送信元メールアドレスが不自然
- 文章の日本語がおかしい
- 誘導先URLのアドレスが企業の公式ドメインと異なる など
送信元など、メールを開く前から怪しい兆候があったら、そもそもメールを開かないようにすることが安全です。また、誘導先のURLにはアクセスしないこと、個人情報を入力しないことにより、詐欺被害を最小限にすることができます。
フィッシングメールによる被害は誰にでも起こりうる
しかし、近年、フィッシングメールは大量に送られており、その数は確認されているだけでも数百万件以上と言われています。個人のメールボックスでフィッシングメールを見たことがない人など余りいない、とされるほど頻繁になっているのです。
フィッシングメールが誘導する偽の企業サイトの数も、フィッシング対策協議会によると、2021年下半期に確認されただけでも5万件近くにも上ります。個人が詐欺被害にあうだけでなく、企業にとっても、業務妨害や、信用失墜などの原因になっています。
大量のフィッシングメールが送られ、数多くの偽サイトがある状況では、うっかりメールやURLを開く可能性や、個人情報を入力してしまう可能性は、誰にでもあることです。
そこで、フィッシングメールを開いた・記載されているURLを開いた・個人情報を入力してしまったという場合に、被害を最小限にとどめるための方法を中心にご紹介します。
フィッシングメールを開いてしまったら
フィッシングメールを開くこと・中に記載されているURLを開くこと、双方とも危険な行為です。
フィッシングメールを開いてしまっただけでも、個人情報は窃取されます。フィッシングメールの目的がメールアドレスの窃取にあるとすると、通信により悪意ある者にメールアドレスや、受信者の所在国が確認されてしまうことがあります。
また、フィッシングメールに、ウイルスや、マルウェアが仕組まれている場合は、開いただけでも攻撃を受けてしまうこともあります。ただし、ここまででは、メールアドレスなどを除くと、重要な個人情報の窃取がおこなわれる確率がまだ低い状態です。もしもここまでで、フィッシングメールであることに気付いたら、メールは閉じて、返信などしないこと、メールは削除することとしましょう。
さらに偽サイトを開くところまで来ると、さらに危険性が上がります。サイトにマルウェアを仕組まれている場合などは、サイトにアクセスするだけでも個人情報が窃取される可能性が高まります。また入力をしてしまったら決定的に危険性が上がるのです。
フィッシングメールに入力してしまったら
フィッシングメール記載のURLから、個人情報をついうっかり入力してしまったら、個人情報を窃取されることはもちろんですが、詐欺被害にあう確率は高くなります。
入力はしないで済ませられればよいですが、つい入力してしまった場合、以下の対策をとり、被害を最小限にしましょう。
入力してしまった!あきらめずに、すぐに対策を
- ID・パスワードはすぐ変更する
- 入力した情報を使えないようにするためです
- モバイルバンキングは、一時利用停止か、振り込みなどの限度額を下げておく
- ID・パスワードの変更に加えて、行っておけば確実です。
- 金融機関に通報する
- 報告しておくことにより、カード保険などの適用も考えられます。また、不正と思われる利用を止めてくれることもあります。
- クレジットカードは再発行手続きをとる
- クレジットカードは、新しいものに変えると、悪用の危険性が下がります。
フィッシングメールの事例
フィッシングメールの代表的な事例には、次のようなものがあります。
- 著名企業を騙り、「XXXの請求について」との件名でメールを送付、クレジットカード情報を入力させる。
- 「重要・コロナ特別給付金について」などと不安をあおり、官公庁の名前でメールを送付、銀行口座情報を入力させる
- 著名サービス名で「このサービスはロックされています」などと、パスワード変更を促す内容のメールを送付。しかし、実際はそのような事実がなく、メールはパスワードを窃取する目的で送られていた。
また、フィッシングも巧妙化しています。URLの代わりにQRコードで偽サイトに誘導するものや、SMSサービスでのフィッシング(スミッシング)など、フィッシングにより気が付きにくい方法が取られる傾向にあります。
フィッシングメールの対策
フィッシングメールの対策には、事前対策と事後対策があります。
事前対策には、フィッシングメールの予防に関する以下のような対策があります。
- 迷惑メールフィルタの利用やメールの振り分けを行い、怪しいメールを開封しない仕組みをつくること
- セキュリティソフトを入れ、マルウェアの予防・検知・駆除ができるようにすること
- 金融機関・クレジットカードは公式のサイトにブックマークしておくなど、リンクからの利用を避けること
- 現在読んでいないメールマガジン・ダイレクトメールなどは、できるだけ購読解除し、フィッシングメールに気が付きやすいようにすること
また、フィッシングメールが送信されてしまった場合には、事後対策としてフィッシングメールを見分けることにより、被害を予防することができます。
メールの見分け方のポイントは、①送信者 ②本文 ③誘導先のURLのそれぞれに「身に覚えがない」「不自然さがある」「公式サイト・ドメインと違うところがある」かどうかをよく観察して確認することです。特に個人情報の入力が必要となる場合、フィッシングを疑ってかかるくらいの慎重さが必要といえるでしょう。
フィッシングメールの通報先
フィッシングメール詐欺に気付いたら、まず金融機関やクレジットカード会社などのサービスの提供元に通報しましょう。個人情報を入力してしまったサービスの提供元に連絡をし、利用を止めるなど、被害の拡大を防止することが先決です。
個人情報の入力に至らない場合でも、フィッシングに気付いたら、サービスの提供元の正規のカスタマーセンターに連絡し、できるだけ早く正しい対応手順を聞いておくことも有用です。
また、手口を共有することにより、さらに被害が出ることを止めることができます。フィッシング対策協議会では、フィッシングメールの通報窓口を設置しています。
詐欺被害にあってしまったら、警察に被害届を出しましょう。カードの悪用の際には、カード保険が付帯しているクレジットカードなどもありますが、その際に被害届を提出することが適用の要件となることもあります。
まとめ
フィッシングサイトは、有名企業等を騙る送信者が、偽のサイトにユーザーを誘導し、個人情報を窃取します。結果、銀行情報や、クレジットカード情報などが悪用され、金銭的な被害を生じさせてしまいます。
個人情報を入力してしまった場合は、ID・パスワードの変更、カードの利用停止など、被害を生じさせない策をとっておきましょう。通報も社会全体でフィッシングメールをブロックするために役立ちます。
予防には日ごろから怪しいメールを識別して開封しないようにする・偽のURLに誘導されないよう、公式サイトのブックマークを使うなどの事前の対策が有効です。
また、従業員がフィッシングメールに引っかからないために、日ごろからフィッシングメールの訓練をしておきましょう。
