Webサイトに情報を入力させ、企業の機密情報や個人情報などを詐取するサイバー攻撃「フィッシング」。
各種の企業や官公庁などになりすまし、Webサイトも本物に似せるなど、巧妙に情報を引き出し、その後の悪用に繋げる手口です。2022年10月のフィッシング対策協議会に寄せられた報告件数は、およそ7万8千件となっており、非常に流行しているサイバー攻撃の一つです。
フィッシングはWebサイト上で情報の入力を促す手法ですが、その実現の入り口としてよく利用されるのがメールによる誘導です。事業者を装って「アカウントに関する大切なお知らせ」等のメールを送り、まるで本物のWebサイトのように見せかけて情報を奪うケースが近年では目立っています。
本記事では、フィッシングメールの事例や対策、情報を入力してしまった場合の対処方法について解説します。大切な個人情報や企業の機密を守るために、フィッシングへの知識を持ち、備えておきましょう。
また、フィッシングメールへの備えとして、「セキュリオ」の標的型攻撃メール訓練がおすすめです。
一般的な標的型攻撃メール訓練サービスでは、添付ファイルの開封やリンクのクリックを促すものが多いですが、「セキュリオ」では、ID 情報の入力まで含めたフィッシングメールによる攻撃の訓練が可能です。
まずは一度お試しください。
フィッシングメールについておさらい
フィッシングとはWebサイト上を利用して、情報を略取するサイバー攻撃の一種です。メールなどを入り口として、情報を略取するためのWebサイトに誘導し、ユーザーの情報を入力させます。
フィッシングはPhishingとつづり、名称の由来は魚釣り(Fishing)と洗練(Sophisticated)をあわせた造語といわれています。
フィッシングで狙われる情報は様々ですが、特に多いのはクレジットカード番号をはじめとした個人情報やシステムを利用するためのIDとパスワードなどです。他者をかたり、精巧なWebサイトを作成する等、手口は高度化が進んでいます。
フィッシングメールは、このフィッシングに利用されるメールです。
不特定多数をターゲットとして、メールが送られるケースが多く、パスワードの変更を促す、不正な利用を確認させる、登録者情報の更新期限など様々な理由で、フィッシングを実施するWebサイトのリンクに誘導してきます。
フィッシングメールの事例
フィッシングメールはあの手この手でユーザーをフィッシングサイトに誘導します。
本項では、フィッシングメールの事例として、代表的なパターンをピックアップして紹介します。
金融機関、カード会社を装った事例
多くの人が実際に利用している銀行等の金融機関、クレジットカードなどのカード会社を装ったフィッシングメールは後を断ちません。メールの受信者に直接金銭的な被害がでるような内容を装っているため、無視しづらいという特性を利用したフィッシングメールです。
フィッシング対策協議会に2022年10月に掲載された事例としては下記のような件名のものがあります。
件名:
出典:フィッシング対策業議会「事例公開」
- 【JCBカード】カード年会費のお支払い方法に問題があります
- 【My Jcb】重要なお知らせ
- 【VISAカード】お支払い金額確定のご案内
- VISAカード 【重要:必ずお読みください】
- 【Mastercard】カード年会費のお支払い方法に問題があります
- 【マスターカード 】重要なお知らせ
- 【イオンカード】カード年会費のお支払い方法に問題があります
- 【イオンカード】重要:必ずお読みください
- 【重要】AEON CARD重要なお知らせ
- 【重要】イオンカード 本人確認のお知らせ [メールコード A●●●●]
- 【重要なお知らせ】三井住友カード ご利用確認のお願い
- 【最終警告】三井住友カード からの緊急の連絡 [メールコード S●●●●]
- 【三井住友カード】事務局からのお知らせ
- <緊急!三井住友カード 重要なお知らせ>
- 【最終警告】au PAY マーケット からの緊急の連絡
- 【au PAY マーケット】個人情報確認
大型ECサイトを装った事例
ネットショッピングは誰しも利用するサービスのため、これを騙ったフィッシングメールも多数報告されています。特にAmazonや楽天などの大型サービスは利用者も多いため、頻繁にメールが出回ります。
利用した覚えのある方も多く、そこにつけこんだ手口です。古くは2016年から報告が確認でき、2022年11月時点でも確認されるなど定番化しています。
件名:
出典:フィッシング対策業議会「事例公開」
- 【楽天市場】アカウントの支払い方法を確認できず、注文をキャンセルできません.
- 【楽天市場】アカウントの支払い方法を確認できず、注文を出荷できません.
- 【楽天市場】情報の有効期限が切れ、アカウントの使用が停止されました.
- 【緊急連絡】[楽天市場]情報の有効期限が切れ、アカウントの使用が停止されました.
- Amazonプライムの自動更新設定を解除いたしました!番号:XXXXXXXXXXXX
- アマゾンセキュリティアラート:インドネシアの東ジャワ近郊のGoogle Chrome for Windows(デスクトップ)からサインインが検出されました
- アカウント管理確認コード
- アカウントのセキュリティ審査を実施してください。
金融庁など公共機関を装った事例
金融庁や警察庁などの公共機関、官公庁を名乗るフィッシングメールは馴染み深い名称であることや、本物のメールならば対応しなければ自分に不利益な問題の発生が想定されるなど、人の心理的な弱みにつけこんだ手口といえるでしょう。
件名:
- 【金融庁緊急連絡】重要なお知らせ
- 【警察庁】重要なお知らせ、必ずお読みください。
- 税務署からのお知らせ【申告に関するお知らせ】
その他の事例の一部
このほかにも、「キャンペーンに当選しました」のように架空のプレゼントで釣る手口や、宅配業者を装う手口、日本赤十字社をかたり新型コロナウイルスに関係した緊急情報に見せかける手口、特定定額給付金を装う手口など、社会のトレンドを反映したフィッシングメールが次々と登場しています。
特定のパターンだけでなく、身に覚えのないメールには常に身構えておかなければなりません。
フィッシングメールによる被害
これらのフィッシングメールにより情報が略取された場合には、下記のような被害に広がることが想定されます。情報が取られてしまった後に、実際の被害が出ることに注意しておきましょう。
- カード番号が略取され、勝手にカードが利用されてしまう
- 各種サービスのログインIDとパスワードが略取され、サービスを勝手に利用されてしまう
- 個人情報がサイバー犯罪者に流通してしまい、さらなるフィッシングメールが届く
「セキュリオ」の標的型攻撃メール訓練では、このような実際の事例をもとにした攻撃文面テンプレートを多数そろえています。
フィッシングメールの対策
フィッシングメールへの対策は、メールが来る前に備えておくことと、メールが来た際の対応に分けられます。以下に、その内容を紹介します。
メールが来る前に備えておくこと
メールアドレス流出を避ける
フィッシングメールが送られてきやすくなる原因として、メールアドレスが流出していることがあげられます。メールアドレスが流出した後は対策が難しいのですが、まずはメールアドレスはむやみにWebサイトなどに入力しないよう気を付けましょう。
メールアドレスは単純すぎるものにしない
推測しやすいメールアドレスを利用している場合にも、メールが届きやすいです。
単純なメールアドレスを設定していると、機械的にメールアドレスを予測してメールが送られてしまうためです。名前と誕生日の組み合わせなどは、よくある組み合わせなので避けることをおすすめします。
サブアドレスの活用
フリーメールなどを使ってサブアドレスを入手しておき、必須で重要なメールアドレスを記載する箇所以外はサブアドレスを入力するのも一つの手段です。
サブアドレスに送られてくるメールに反応しなければ、特に気にする必要はなくなります。
迷惑メール防止フィルタを利用する
メールのプロバイダなどが提供する迷惑メール防止フィルタといったサービスを利用することも一つの手段です。
送信元のアドレスや文面などを条件に迷惑メールと判断し、避けることが可能です。ただし、新手の手口には対応できないこともあるため、完全な対策ではありません。
セキュリティソフトやOSはこまめにアップデート
セキュリティソフトはフィッシングへの対策機能をもつ場合もあります。これを有効に活用するためには、こまめにセキュリティアップデートを確認しておくことが重要です。
メールが来た際の対応
リンクのURLをクリックしたり、添付ファイルを開く前に、問題のないメールか確認します。
不審なメールかどうかチェックする
メールを受信したら、まずはじっくりメールの文面を確認しましょう。
日本語が怪しいものや、内容が荒唐無稽な場合、安易な儲け話などは信用してはいけません。
近年では手口が巧妙化しているため、文面では見分けられない場合もあります。Web上で不審なメールとして報告されていることもあるため、少しでも怪しいと思ったら件名や文面をコピーしてGoogleなどで検索してみるのもよいでしょう。
送信元のメールアドレスをチェックする
自分が普段利用しているサービスのアドレスや取引先のアドレスとして登録されているメールアドレスであるかを確認しましょう。
過去に同じ相手からのメール受信履歴があれば、そちらも有効な確認方法です。ただし、メールの送信元は偽装されている可能性があるため、絶対に見破れるわけではないことには注意が必要です。
URL(リンク)アドレスを確認する
メールの文面内に特定のURLへのリンクがあり、Webサイトへ誘導している場合には、こちらも重要な確認ポイントとなります。
URLは正規のものか、つづりや大文字小文字などの不審なところがないかを確認しましょう。URLをチェックするためのサイトを利用することも、対策の一つです。
公式サイトで情報の確認を行う
企業や官公庁などを名乗るメールの場合には、公式サイトで実際に行われているキャンペーンや手続きであるかも確認しておきます。
不正なメールが流行している場合には注意喚起を行っている場合も多いです。
ヘルプやマニュアルを参照して、該当のメールがくることがあるのかを確認できる場合もあります。
もし、公式サイトに掲載された内容から判断できなければ、サイトの問い合わせ機能やコールセンターへ確認しましょう。
添付ファイルはむやみに開かない
送信元や文面が完全に信用できるものでなければ、添付ファイルの開封や実行は行ってはいけません。確実に信頼できる相手からのメールであることを確認できてから開封するようにしましょう。
また、業務用メールアドレスにフィッシングメールを受信した場合、社内での報告フローに則って適切な報告をしましょう。しっかり、社内での報告フローを確認、もし未整備の場合は早急に作成する必要があります。
「セキュリオ」の標的型攻撃メール訓練では、従業員が不審なメールを受信した際に報告できる機能も備えています。訓練時の確認にも、実際のメール受信時にもご利用いただけます。
フィッシングメールに入力してしまったら
フィッシングメールのリンクをクリックし、個人情報やID、パスワードなどを入力してしまった場合には、下記の対応を行い、被害の拡大を食い止めましょう。
銀行の口座番号やクレジットカードの情報を入力してしまった場合、銀行やクレジット会社に連絡をとり口座の停止や変更手続きを行っておきます。
実際に悪用される前に手続きできれば、被害の拡大は防げます。
WebサービスやSNSのアカウントとパスワードを入力してしまった場合、早急にパスワード変更を行いましょう。パスワードが変更できれば、取り急ぎ被害の拡大を食い止められます。
さらに、悪用された履歴が無いかも確認しておきます。悪用されていた場合には、サービス提供元に連絡をとり指示を仰いでください。
また、フィッシングやなりすましメールは情報提供や相談先を設けている機関もあります。多くの事例を持っているため、困ったときには連絡と相談をしてみてください。
フィッシングメールの報告先
フィッシングメールを受信した場合、被害拡大を防ぐために報告を行いましょう。情報提供を呼びかけている団体があり、情報の周知を行ってくれます。
まとめ
フィッシングメールとは、Web上で情報の入力を行わせて情報略取を行うフィッシングというサイバー犯罪において、不正な入力を行わせるためのフィッシングサイトへの誘導を行うメールです。企業やサービス、公共の団体などを名乗り、言葉巧みにフィッシングサイトへの誘導を行ってくるため注意しましょう。
身に覚えのない内容のメールや、対応を急がせるような内容のメールの場合には、落ち着いて信頼できる相手かどうかを確認してから対応してください。
標的型攻撃メール訓練の実施で、従業員の日常的な危機感を促しましょう。
