フィッシングメールの対策とは?被害やメールの事例についても解説

この記事は約9分で読めます。

フィッシングメールとは

フィッシングメールとは、メールに記載したURLからアクセスさせた偽サイトに重要な個人情報を入力させて、個人情報を盗み出す手口のことです。

盗み出した個人情報は、銀行の口座やクレジットカードの暗証番号情報、IDパスワードなどの財産に関する重要な情報が主なものです。個人情報を利用した、預金の不正引き出し・商品の窃取など、詐欺による被害は重大です。預金の不正引き出しの主要な原因がフィッシングと言われるほどです。しかし、中には嫌がらせ・業務などの妨害の目的で情報が悪用されることもあります。

また、従業員がフィッシングメールに引っかからないようにするためにどうすればいいのか、とお考えの方へ、セキュリオの標的型攻撃メール訓練がおすすめです。

一般的な標的型攻撃メール訓練サービスでは、添付ファイルの開封やリンクのクリックを促すものが多いですが、セキュリオでは、ID情報の入力まで含めたフィッシングメールによる攻撃の訓練が可能です。

フィッシングメールによる被害

警察庁の発表によると、2022年8月だけでも、銀行の預金口座の引き出しは、2億円以上にも上り、その多くがフィッシング被害によるものとされています。また、クレジットカードの不正利用により、商品が不正取得されてしまうことも頻繁です。

そのため、預金口座が知らない間に減っている・クレジットカードの明細を見たら、身に覚えのない商品の購入をしているなどの被害が生じ、フィッシング詐欺にあったことに気付くケースも多いものです。

ほかにもサイトでサービスを購入するために入金を促されて入金したところ、一向にサービスが提供されない、ID・パスワードを会社に送られたメールにうっかり入力したら、会社のサーバに不正なアクセスがあったなどの被害報告があります。これは、しばしばフィッシングメールがマルウェアなどの不正なソフトウェアを仕込んであることに原因があります。

これらの被害を防ぐにはどのような対策を講じたらよいのでしょうか。

フィッシングメールの対策

フィッシングメールの対策を施す前に、フィッシング被害は誰にでも起こることを理解しておきましょう。

フィッシングメールは、大量に送られています。フィッシング対策協議会に報告があった件数だけでも、2022年3月1か月間で報告数は8万件以上にも上ります。一説には数百万、数千万単位で実際のフィッシングメールが送られているとされ、「フィッシングメールに遭遇したことがない」というインターネットユーザーは少ないといってよいほどです。
また、企業の偽サイトも5万件近くに上るとみられています。

こうした環境では、いつでも誰にでもフィッシングメールの被害は起こりうることです。
そこで、可能な限り複数の手段を用いて、フィッシングメールを寄せ付けない工夫をすることが有効です。いくつもの予防線を張って、被害を防ぐイメージで取り組むとよいでしょう。

さらに、実際の詐欺被害が生じないようにすること、生じても最小限にすることが求められます。
大まかには、フィッシングメールが届く前の事前対策、届いた後の事前対策があるので、それぞれご説明します。

フィッシングメールが届く前にできること・6つ

フィッシングメールが届く前にできることは、まず総合的なセキュリティ対策を強化することです。個人でもできるセキュリティ対策には、以下のようなものがあります。

総合的セキュリティ対策

・セキュリティソフトの導入

・OSやアプリケーションを常に最新にする

・迷惑メール・スパムメール振り分け・警告機能の活用

これらの対策は、セキュリティ対策として基本のものとして企業でも行われています。
フィッシングだけでなく、マルウェア対策不正アクセス対策などにも役立つものです。

個人向けにも多くのセキュリティソフトが出回っており、またOSなどのアップデートも簡単にできるものです。さらに、迷惑メールやスパムメール振り分け機能や警告機能は、クラウドメールなどでも利用されています。

セキュリティソフトは、サブスクリプションのものは月額数百円から購入できます。
PCやスマホ、使う端末にはすべて信頼できる会社のソフトをのインストールしておきましょう。

サブアドレスも使う

メールの使い方の工夫です。サブアドレスとメインアドレスを使い分けて、金融機関用や、クレジットカード用のアドレスを決めておき、他の用事にはサブアドレスを使う、などという手も有効です。

これでフィッシングメールと疑うべきメールの識別に役立ちます。

簡単なメールアドレスを使用しない

メールアドレスの情報を簡単に盗み取られるようなことがないように、メールアドレスは簡素なものは避けるようにしましょう。

不必要なメールを利用しない

メールそのものの利用頻度を減らすことも有効です。ついダイレクトメールを受信できるようにしてしまうと、個人用のメールアドレスは、不要なメールであふれかえってしまいます。
そこが、フィッシングメールの攻撃者のつけ入る隙です。怪しいメールが目立たなくなり、うっかり開封することに抵抗感がなくなるためです。

不要なメールは受信しないようにする、添付ファイルなどのやり取りは、クラウドメール付属のクラウドストレージを使うなどすると、利用頻度が減らせます。

金融機関・クレジットカード会社などのブックマークの活用

フィッシングメールを送信する側が提示するURLは企業をかたるURLであり、本物ではありません。

常に公式のサイトにアクセスできるように、ブックマークからアクセスできるようにしておきましょう。こうしておくと、公式サイトではメールに書いてあった「緊急のお知らせ」は表示されていない、などと不審な点にも気付くことができるでしょう。

最新のフィッシング情報の収集

最新のフィッシング情報の収集も予防に役立ちます。

例えば、フィッシング対策協議会のサイトでは、確認されたフィッシングメールの本物のサービス提供元の一覧(緊急情報)がトップページに表示されています。また、金融機関のサイトなどでも、フィッシングが確認されると、注意を呼び掛けています。

一つ一つの対策を見ると、短時間で済ませられて、意外と手間がかからずできるものです。必要性は高いことを理解して、対策を施しておきましょう。

こうした対策をしつつ、フィッシングメールに従業員が引っかからないことをより確実にするために、標的型攻撃メール訓練の導入は重要です。さまざまな対策は施した、では実際にフィッシングメールを受信した場合に対策が効果を発揮しているのか、を確認しましょう。

フィッシングメールが届いたらできること・4つ

対策を事前に施しても、フィッシングメールはメールフィルタもすり抜けることがあります。また、うっかり、ということもよくあることです。
フィッシングメールがメールボックスに届いた時点からも、被害予防のためにできることがあります。

開封しない

送信元が怪しい身に覚えがない、というメールは開封しないのがベストです。
送信元の人物を知らないという場合は、電話で確認してみる、などとしておくと、フィッシングメールに気が付くこともあります。

開封だけでもマルウェアとの組み合わせで、メールアドレスを窃取する・マルウェアによる不正アクセスが起こるケースもあります。プレビュー機能がある場合は、プレビューのみでとどめ、開封はしないことです。

怪しいメールを見分ける

開封したとしても、怪しいメールであるかどうかを見分けるポイントがあります。

  • 送信元・cc先などを総合的に見て不自然。知らない人物がccされている。
  • 文面が不自然。不自然な日本語や、「緊急」「至急」と不安をあおる内容である。
  • 身に覚えのない内容である。
  • URLの表示の文字列が不自然で、公式サイトとは思えない など

こうした場合、そのまま削除しておくと、金融機関などの重要な個人情報の窃取などのリスクは抑えることができます。

URLをクリックしない

URLをクリックしただけでも、マルウェアが実行されることもあります。
また、表示されたサイトにマルウェアが仕込まれている場合にも、不正アクセス・個人情報の窃取リスクは高くなりますので、URLをクリックする前にも立ち止まり、必要であれば検索して内容を確認するなどておきましょう。

個人情報を入力しない

個人情報を入力してしまうと、個人情報悪用の可能性は高くなります。
信頼できるサイトでない限り、個人情報の入力は控えることが賢明です。信頼できるサイトかどうか、確認するためには、例えばURLの頭にhttpsとのセキュアサイトであることの表示があるか、URLバーの色が緑になるか、などの識別方法もあります。

フィッシングメールの事例

フィッシングメールの典型的事例は、著名な企業を騙り、メールを送り、偽の企業のURLに誘導するものです。「請求額について」「パスワード変更のお願い」といったメールタイトルは典型的なものとして知られています。利用者に、メール内に書かれたURLにアクセスさせて、カードや銀行情報を盗取します。

最近は、SMSを悪用したSMSフィッシング詐欺=スミッシングが増加しており、SNS、オンラインゲーム、掲示板、ブログ等を利用したフィッシング詐欺もあります。さらに、メールでもURLの代わりにQRコードを使うなど、手口も進化していることに気を付けたいものです。

詳細は「フィッシングメールの事例とは?」をご参照ください。

フィッシングメールに入力してしまったら

フィッシングメールに気づかず、うっかり誘導されたサイトに個人情報を入力した場合は、次のような対策をしておきます。悪意ある者によるサービスの利用をブロックして、被害額を最小限にするための方法です。

  • ID・パスワード・暗証番号は変更する
  • 金融機関へは通報
  • カードは再発行してもらう
  • モバイルバンキングの限度額の調整
  • 被害には、警察への被害届の提出を

詳細は「フィッシングメールに入力してしまった場合の対処法について解説」をご参照ください。

まとめ

フィッシングメールは、非常に数が多く、フィッシング詐欺はインターネットユーザーなら誰にでも生じることがあるリスクです。事前の総合セキュリティ対策や、メール・メールアドレスの使い方の工夫、金融機関公式サイトのブックマークなどで、被害を予防できます。

また、いざフィッシングメールが届いても、開封をできるだけしないように、送信元を観察しましょう。うっかり開封した場合・情報を入力した場合でも、被害を最小限にする対策をすぐにとると被害を抑えられることがあります。

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました