COLUMN

お役立ち情報

再流行中のフィッシングメール詐欺とは?企業も無関係ではない!

  • このエントリーをはてなブックマークに追加
フィッシングメール詐欺とは?

突然、銀行やネットショップから緊急のメールが届き、すぐにアカウント情報を更新してくださいと連絡がきたら焦ってしまいますよね。

最近のフィッシングメール詐欺は、巧妙に偽装されているため、気づくことが難しいケースも出てきています。

誰でも被害に遭う可能性があるフィッシング詐欺、実は法人であっても被害が出てきているのです。法人であっても無関係ではないので、しっかりと対策をしておくことが大切です。

今回は実際にフィッシングメール詐欺に引っ掛かってしまうとどのような問題が起こるのか、対策はあるのかなどを詳しく解説していきます。

フィッシングメールとは

フィッシングメールとは?

フィッシングメールとは、「情報を盗み出すことを前提に送信される詐欺メール」の総称です。本当に存在する有名な企業・団体等の名前を借りて、偽サイト等へ誘導して情報を入力させます。一説には「巧妙・洗練された(Sophisticated)+釣り(Fishing)」から来ているという考えがあります。語源を覚えておけばよりフィッシングメールについて理解がしやすくなるでしょう。

フィッシングメールは電子メールを使うので、昔から存在するサイバー攻撃手法です。それにもかかわらず完ぺきな対策を行うのは難しく、最近はより洗練されているのでITリテラシー等を向上させておかないと危険です。

フィッシングメール詐欺の仕組み

フィッシングメールでは、まず有名な企業や団体の名前を送信元として被害者側へメールを送信します。事例として多いのは金融機関やECサービス企業などです。

そして緊急性のあるフレーズを使いながら添付URLクリック・タップを図り、そこから偽サイト等へ誘導して情報を入力させます。この情報を被害者へ入力させるというのがポイントで、入力を始めようとしている時点で被害者は攻撃に気付いていないことになります。この段階まで行ってしまうと最後、情報を不正に利用されてアカウントを乗っ取られたり、クレジットカードを不正に利用されたりするのです。

またケースによっては、添付ファイルからマルウェアを自動起動するといった攻撃を取ります。いずれにせよクリック・タップが攻撃の起点になることは変わりません。

よくある手口

フィッシングメール詐欺の代表的な手口は、次の通りです。

  • IDやパスワードを変更させる
  • 購入内容の確認
  • SMSへの宅配便不達通知送信
  • クレジットカードの期限切れ通知

まずアカウントの有効期限切れ・不正ログインなどを理由としてメールを送り、IDやパスワードを変更させるページへ移動させる手口があります。用意されているページは偽物で、ここに変更前の情報を入れるとアカウントが乗っ取られるリスクがあります。

またECサイトでの購入内容を確認するメールも、よく悪用されるのがポイントです。購入していない商品の内容を確認させようとして、アカウント・クレジットカード情報を入力させて情報をだまし取ります。

さらにSMSの場合、宅配便の不達に関する通知が送られるケースがあります。この場合頼んでいない商品の通知が届き、その通知には不正サイトのURLが添付されていることがほとんどです。

手口はまだあります。クレジットカード会社を騙って期限切れ通知等を送り、情報更新を装いクレジットカード番号や名義などを漏洩させようとする手法もあります。

ITに関するすべての
お困りごとやお悩みは

ITボランチにご相談ください

ITボランチは、IT業務に関する「よろず相談」サービスです。これまで10年以上の運用実績、400社以上の企業のIT業務を代行してきたITボランチは最新の技術情報、蓄積してきたノウハウ、柔軟な対応で貴社のIT環境をサポートいたします。
ITに関することなら、社内IT機器やネットーワークの保守・管理業務のみならず、システム開発、デザイン制作などなんでもでご相談いただけます。 ITの課題、お困りごと、将来のビジョンなどどこに相談したらいいのかお悩みでしたら、まずはITボランチの完全無料初回相談をご利用ください。

再び増加しているフィッシングメール詐欺の動向

フィッシングメール詐欺は最近再び多用されるようになりました。それには

  • ITリテラシーに疎いのにインターネット・ツールを利用している人が増えた
  • 巧妙な偽サイトを以前より作りやすくなった

といった要因も含まれているでしょう。

一般消費者のケースではキャッシュレス決済を不正利用された事例が出ており、こういった事件が原因となって通信会社が被害時の補填を新規で用意する事態にまで発展しています。以前よりフィッシングメール詐欺への補償が手厚くなったことで泣き寝入りするケースは減りましたが、詐欺被害がなくなったわけではないので注意が必要です。

また企業もフィッシングメール詐欺の被害に遭ってしまうケースがあります。ですから企業担当者としても、フィッシングメール詐欺の手口や被害事例等を確認するのは重要です。

企業も注意しなくてはならない理由

フィッシングメール詐欺は一般消費者がよく遭遇するサイバー攻撃です。しかし企業も同時に攻撃されてしまうリスクを抱えており、実際の被害件数も多いので注意しましょう。

悪質な事例では、標的型攻撃を組み合わせてこちらの取引企業をチェック、その企業の担当者になりすまして不正なサイトへ誘導したりします。こういった巧妙なフィッシングメール詐欺は、ITリテラシーがあまりないとなかなか気付けません。しかもケースによってはメールフィルターをすり抜けてしまうので、ITリテラシーがあっても騙されてしまう事例があります。

油断していると気付かないうちに被害に遭う可能性があるので、事前対策や事後対策をあらかじめ準備してルール化しておくと安心です。

企業による実例

企業の被害事例としては、ある株式会社がフィッシングメールでマルウェアに感染して被害を出しています。

この事例では従業員が気付かずにフィッシングメールを開封してしまい、そこに添付されていたリンクからマルウェアをインストール、情報を漏洩させてしまったというのがポイントです。気付かなかったのは取引先および過去のやり取りを、巧妙に真似されて詐欺と見抜けなかったためです。この影響で自社担当者を名乗るフィッシングメールが送信される事態になり、また一部顧客メールアドレス情報も盗まれました。

またフィッシングメールでは、送信元として

  • アマゾン
  • ドコモ
  • マイクロソフト
  • JR

といった有名企業がよく利用されるのがポイントです。

以前はよく分からない送信元からのフィッシングメール等もあったでしょうが、現在ではあからさまに怪しい送信元からのメールが減っている印象があります。大手企業だから、有名企業だからと言って安易にメールを開かないようにするのも重要です。

ちなみに上記のような攻撃元として利用されてしまっている被害企業は、フィッシングメール詐欺の内容や注意点などを公式情報として発信しています。こういった情報を確認してみるのもポイントです。

フィッシングメールの見分け方のポイント!

フィッシングメールの見分け方

ここからは企業担当者として、フィッシングメール詐欺を見分ける方法をご紹介していきます。

身に覚えがないものはクリック・タップしない

メールにはどんな情報も掲載できます。ということでいつも読んでいるメールのタイトル・内容について気に掛けておき、最近の行動なども材料にしながら新規で届いたメール内容に少しでも違和感を持つのが重要になってきます。

メール内容を瞬時に判断するのは直感的なスキルも関係してきますが、慣れてくると「何となくだけどフィッシングメール詐欺のような気がする」といった判断ができるようになってくるでしょう。その判断を基に真偽を細かく判断すると、詐欺に遭遇するリスクが減ります。

緊急性をあおるメール内容はまず疑う

フィッシングメール詐欺ではほとんどの場合「こちらから」情報を入力させようとしてきます。ということで緊急性をあおり、メール効果のあるうちにさっさと入力を済ませようというケースが多いのがポイントです。

  • クレジットカード期限が数日で切れる
  • 購入が未完了
  • 未払いになっている

といったステータスを伝えるメールの場合、まずフィッシングメール詐欺でないか疑うのが重要です。多くの場合上記のようなあおりのあるメールは、詐欺メールである可能性が高まります。

メールアドレスやテキストなどに不審部分がないかチェック

今までの判断方法を基にフィッシングメール詐欺が疑わしいと感じる場合は、確証を得るために不審な部分を確認してみましょう。

たとえば

  • メールアドレス
  • テキスト
  • リンク
  • その他セキュリティ認証等の部分

などが重要です。

メールアドレスについては、送信元の名称「送信元:株式会社アマゾンジャパン」は誰でも変えられます。しかし基本的に「○○@amazon.co.jp」といった実際のメールアドレス部分は変更不可です。この部分が「○○@amazon.io」だったりすると詐欺です。

またテキストについては読んでいて読点が多過ぎる、企業情報に不自然な句点があるといったメッセージが表示されるケースがあります。企業担当者が入れ間違えている線もありますが、不正なメールかを判断する材料にはなるでしょう。

さらにリンクについては、テキスト名が「クレジットカード情報変更ページ」などとなっていても、リンク先が実際の公式ページとは違うことがあります。もしリンクテキストにカーソル等を当てると出てくる「https://www.○○.co.jp」といった情報に違和感がある場合は、正規ページを自分で表示して比較するとすぐ不正か分かります。

その他SSL認証でエラーが出ている、見たことのないマイナーなサーバーから送信しているといった場合も注意が必要です。複数の情報をチェックすることでより安全性が図れますが、初心者の方はまずメールアドレス情報やリンク先などを事前チェックして被害を防ぐとよいでしょう。

送信元の公式情報を確認する

もしメール内容に「緊急のお願い」といったフレーズがあった場合は、本当にトラブルが起きているのか公式で確認してみましょう。問題が起きていればTwitterや公式サイト等で情報が発信されているはずです。

もし公式からメールが来たとしても、その緊急事案に対するメール内容は「障害のお詫び」といった件名のケースが多く、こちらの情報を再度入力・変更させようとする可能性はあまりありません。気になる場合は送信した企業へ問い合わせてみるとより安心できます。

フィルタリング等に強いセキュリティソフトを入れておく

今までご紹介した対策を行っていればひとまず安心はできますが、社内従業員のITリテラシーにはばらつきがあります。ですから研修等を行いながら、事前の被害対策としてセキュリティソフトを入れておくとよいでしょう。

セキュリティソフトではより厳しいフィルタリング、事前不正メール・添付ファイルの予測機能などメールソフトだけでは対策できない機能を提供してくれます。サイバー攻撃の被害を限りなくゼロにできるのでおすすめです。また万が一リンクをクリック・タップしてしまっても警告してブロックを行ってくれるツールもあるので、導入してみてください。

誤ってメールを開いてしまった場合の対処

もし事前対策をしていてもフィッシングメール詐欺に遭ってしまった場合も、事後の対応を考えておくと安心です。

サイトにアクセスしてしまったら

もし不正なリンクをクリック・タップしてサイトを開いても、情報を入力する前に気付ければ被害はまず起こりません。こちらから情報を入力させるという特性上、フィッシングメール詐欺は入力がないと不正サイトを表示しても情報搾取が難しいという弱点があります。

ただしリンクから添付ファイルを開いたりマルウェアをインストールしたりする設定になっていることもあるので、リンクをクリック・タップした後はセキュリティソフトでスキャンを行うなどの対策を行ってみてください。

アカウント情報を入力してしまったら

もし不正なサイトと気付けずにアカウント情報を入力してしまった場合は、不正と気付いた段階で下記のような対策を取りましょう。

  • アカウント情報を変更する
  • クレジットカードの不正利用等を確認
  • 金融機関等に連絡して利用停止を行う

アカウント情報が攻撃者からまだ変更されていない場合は、完全に別の情報へ変えることで不正利用をなくすことができます。またクレジットカードを不正利用された場合は利用停止や被害に関する相談を行い、新規カード発行を行うなどの対応を行いましょう。

まとめ

フィッシングメールに騙されて個人情報を入力してしまうと、不正ログインされてしまったり、クレジットカードを不正利用されてしまったりする可能性があります。また企業にも大きな被害をもたらすサイバー攻撃ですので、注意が必要です。

メールを受け取った際には自身が利用しているサービスであったとしても、フィッシングメールだと思って、警戒しましょう。また誤ってメールを開いてしまったりしないように、社内の研修などを行い、ITリテラシーを向上させることが被害に遭わないためにも大切です。

中小企業の場合、従業員数などの関係でセキュリティソフトや機器の導入するほどコストを捻出できない場合も多いと思いますが、このようなサイバー攻撃は社内の研修や教育などでITリテラシーを向上することで大半は防ぐことができます。労力がかかりますが、コストはあまりかかりませんので、社内の教育に力を入れてみてはいかがでしょうか。

フィッシングメール詐欺に引っかかってしまうと、被害額はもちろんですが、社会的な信頼を大きく損なう可能性がありますから、対策はしっかりしておきましょう。

ITに関するすべての
お困りごとやお悩みは

ITボランチにご相談ください

ITボランチは、IT業務に関する「よろず相談」サービスです。これまで10年以上の運用実績、400社以上の企業のIT業務を代行してきたITボランチは最新の技術情報、蓄積してきたノウハウ、柔軟な対応で貴社のIT環境をサポートいたします。
例えば下記のようなご相談をいただいています。

・PCの調達から管理や修理
・PCやモバイル端末のセキュリティ対策
・テレワーク導入のネットワーク構築
・ウィルスやマルウェアに感染してしまった
・急に社内ネットワークに繋がらなくなった
・DXをどのように進めていいのかわからない
・インボイス対応、電帳法などの対応
・社内ヘルプデスクを設置したい

ITに関することなら、保守業務のみならず、システム開発、デザイン制作などワンストップでご相談いただけます。 ITの課題、お困りごと、将来のビジョンなどございましたら、まずは完全無料の初回相談をご利用ください。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。