フィッシングメールとは
フィッシングメールとは、送信元を偽ったの電子メールを送付し、偽のサイトなどに接続させたりする手口のことをいいます。加害者は、偽サイトなどに、口座番号や暗証番号・クレジットカード番号、アカウント情報(ユーザID、パスワードなど)、住所といった個人情報を入力させて悪用します。
これらは、重要な個人情報なので、悪用されるとモバイルバンキングで送金を行うことや、クレジットカードを利用されてしまう可能性があります。
フィッシングメールを見分けて気付いたら絶対入力しないこと、入力に途中で気が付いたら、適切な行動を起こすことにより被害を小さくすることが重要です。
また、従業員がフィッシングメールにひっかからないためにどうすればいいのか、とお考えの方へ、セキュリオ の標的型攻撃メール訓練がおすすめです。
一般的な標的型攻撃メール訓練サービスでは、添付ファイルの開封やリンクのクリックを促すものが多いですが、セキュリオでは、ID情報の入力まで含めたフィッシングメールによる攻撃の訓練が可能です。
まずは1度お試しください。
フィッシングメールの事例
利用者が多いサービスである銀行のモバイルバンキング・クレジットカードのカスタマーセンターや、会員制ECサイトなどの送信元を騙り、偽のサイトに誘導するメールが発信される事例が極めて多くあります。また、警察・国税庁などの官公庁を装い、個人情報をサイトに入力させる事例も多発しています。
例えば、以下のようなフィッシングメールで偽サイトに誘導して個人情報を窃取するのです。
- 還付金を受け取れるので、銀行の口座番号・暗証番号を入力してほしい
- モバイルバンキングが、サイバー攻撃にあったので、今の暗証番号と変更後の暗証番号を入力してほしい
- 懸賞に当たったので、~までにクレジットカード情報を入力してほしい
実際に自分で使っているサービスに関するメールであると、うっかり信用してしまうこともあります。こうした個人情報を入力させるメールが「おかしくないか?」と常に警戒しておいてよいほど、被害が多く発生しています。
個人からの預金の不正引き出しは、令和4年上半期だけでも3億円以上に上ります。その多くがフィッシングによるものと見られているのです。では、フィッシングメールに、個人情報を入力しないようにする予防策はあるのでしょうか。
予防策の1つが、フィッシングメールを見分けることです。
フィッシングメールの見分け方とは
フィッシングメールは、よく観察すると不自然・おかしい、と思う点が見つかるものです。メールを観察して、見ておくべきポイントを簡単にあげると次の通りです。
メールアドレス(送信元・CC)
- 企業からの発信なのに、フリーアドレスを使っている
- 送信元の他、CCなど、複数の知らないアドレスが入っている
- メールアドレスに不自然な文字列の羅列が入っている、など
こうした不自然・おかしい、という点がないかチェックしましょう。
不自然な日本語など、タイトルや本文の言葉遣い
- 日本語の言葉遣いがおかしい、稚拙
- 公的機関の名称としてはおかしな団体のことに言及してある
- 「緊急」または「至急」といった急ぎを強調して不安をあおっている
- 身に覚えがない、あるいは、身に覚えがないわけではないが、微妙に事実関係が違うかもしれないと感じる など
上記のような場合もチェックが必要です。
記載されているURL・添付ファイル
- PCでカーソルをURL上に動かしてみたら、公式サイトへのリンクではないように思える
- URLの文字列も、企業ドメインではない
- 添付ファイルのファイル名称が不審 など
URLや添付ファイルは、信頼できるものだけをクリックすることを習慣化すると、マルウェアなどの被害も防ぐことができます。
より詳細には「フィッシングメールの見分け方とは?被害や事例などについて解説」で解説していますので、あわせてお読みください。
見分け方については、一般的な情報は上記のとおりですが、自分が利用しているサービス各社での情報発信も重要です。具体的な手口について、各社から発信しているので、同じようなメールに騙されることが防止できます。
フィッシングメールの対策
フィッシングメールは、見分けて入力しないことのほかに、事前の設定など、個人でもできる対策で被害予防をすることが可能です。少しの設定や、アプリなどの利用で被害を最小限にすることができます。
メール・メッセージの自動振り分け・振り分け設定を利用する
OutlookやGmailなど、大手のソフトウェア会社のメールを利用している場合は、迷惑メール・スパムメール検知機能がついています。自然に、怪しいメールは振り分けてくれて、警告をしてくれますので、警告があるメールや、迷惑メールに振り分けられるメールは開封しないようにします。
また、お使いのメールの振り分け機能を使い、分類して必要なメールだけを見るようにすることも対策になります。企業からのメールも、例えばクレジットカード会社などは定期的な利用明細の送付があります。分類をキチンとしておき、「その他」に入ったメールは確認後でないと絶対に開けない、などという習慣づけがあると、予防に役立ちます。
メールの受取数を減らす
必要ないメールマガジン・ダイレクトメールは、購読を中止することも対策になります。送信元を警戒せずに開けてしまうことを防ぐためには、メールの数を絞っておいた方が賢明です。
セキュリティアプリ・セキュリティソフトを入れておく
フィッシングメールには、マルウェアやウイルスなどにより、個人情報を暴露するなどして、被害を拡大するものもあります。セキュリティアプリ・セキュリティソフトでマルウェアやウイルスの検知ができるようにしておくことも対策となります。
見分けて個人情報を入力しない
受け取ってしまったフィッシングメールは見分けると被害を最小限に抑えられます。見分け方のポイントは、先ほどご説明した通りです。
さらに詳細は「フィッシングメールの対策とは?被害やメールの事例についても解説」をお読みください。
フィッシングメールに入力してしまった時は
フィッシングメールを開き、URLにアクセス、入力してしまった場合には情報の悪用のリスクが高くなっています。
そこで、入力後、次のような対策をしておき、被害を最小限にとどめましょう。
ID・パスワードはすぐに変更する
入力した情報をこれ以上悪用されないためです。
可能であれば、モバイルバンキングなどの利用を一時停止する
モバイルバンキング・カード会社にもよりますが、ボタン一つで一時停止できる機能がついたサービスもあります。また、1日の利用限度額を一時的に0にしておくなどの手立ても有効です。
銀行・クレジットカード会社に連絡、再発行の手配
入力してしまったことについて、入力した項目を添えて伝えます。クレジットカードの場合、利用停止をし、再発行の手続きをしておきましょう。
詳しくは「フィッシングメールに入力してしまった場合の対処法について解説」をお読みください。
まとめ
フィッシングメールとは、送信元を偽ったの電子メールを送付し、偽のサイトなどに接続させたりする手口です。入力させた個人情報は預金の引き出しや、クレジットカードの不正利用などに悪用されてしまいます。
対策は、怪しいメールを見分けることのほか、事前にしておくべき対策もあります。メールの振り分け機能を使っておくことや、セキュリティソフトを入れておくこと、メール受信数を減らすことなどが有用です。
怪しいメールがあったら、誘導にのって個人情報を入力しないことが重要です。万が一入力してしまったら、IDパスワードの変更や、カードの再発行をしておくことで被害を最小限にすることができます。
また、各種対策をしつつ、実際に不審なメールを受信した際に適切な反応ができるのか、セキュリオの標的型攻撃メール訓練でお試しください。
