突然、銀行やネットショップから緊急のメールが届き、すぐにアカウント情報を更新してくださいと連絡がきたら焦ってしまいますよね。
通常はスパムという表記がされていたり、迷惑メールとして移動されたりするはずですが、最近のフィッシングメール詐欺は、巧妙に偽装されているため、気づくことが難しいケースも出てきています。
誰でも被害に遭う可能性があるフィッシング詐欺、実は法人であっても被害が出てきているのです。法人であっても無関係ではないので、しっかりと対策をしておくことが大切です。
今回は実際にフィッシングメール詐欺に引っ掛かってしまうとどのような問題が起こるのか、対策はあるのかなどを詳しく解説していきます。
□■□■IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。お問い合わせはこちらから□■□■
Contents
フィッシングメールとは
フィッシングメールとは、「情報を盗み出すことを前提に送信される詐欺メール」の総称です。本当に存在する有名な企業・団体等の名前を借りて、偽サイト等へ誘導して情報を入力させます。一説には「巧妙・洗練された(Sophisticated)+釣り(Fishing)」から来ているという考えがあります。語源を覚えておけばよりフィッシングメールについて理解がしやすくなるでしょう。
フィッシングメールは電子メールを使うので、昔から存在するサイバー犯罪です。それにもかかわらず完ぺきな対策を行うのは難しく、最近はより洗練されているのでITリテラシー等を向上させておかないと危険です。
フィッシングメール詐欺の仕組み
フィッシングメールでは、まず有名な企業や団体の名前を送信元として被害者側へメールを送信します。事例として多いのは金融機関やECサービス企業などです。
そして緊急性のあるフレーズを使いながら添付URLクリック・タップを図り、そこから偽サイト(フィッシングサイト)等へ誘導して情報を入力させます。この情報を被害者へ入力させるというのがポイントで、入力を始めようとしている時点で被害者は攻撃に気付いていないことになります。この段階まで行ってしまうと最後、情報を不正に利用されてアカウントを乗っ取られたり、クレジットカードを不正に利用されたりするのです。
またケースによっては、添付ファイルからウィルスに感染させたり、マルウェアを自動起動するといった攻撃を取ります。いずれにせよクリック・タップが攻撃の起点になることは変わりません。
よくある手口
フィッシングメール詐欺の代表的な手口は、次の通りです。
- IDやパスワードを変更させる
- 購入内容の確認
- SMSへの宅配便不達通知送信
- クレジットカードの期限切れ通知
まずアカウントの有効期限切れ・不正ログインなどを理由としてメールを送り、IDやパスワードを変更させるページへ移動させる手口があります。用意されているページは偽物で、ここに変更前の情報を入れるとアカウントが乗っ取られるリスクがあります。
またECサイトでの購入内容を確認するメールも、よく悪用されるのがポイントです。購入していない商品の内容を確認させようとして、アカウント・クレジットカード情報を入力させて情報をだまし取ります。
さらにSMSの場合、宅配便の不達に関する通知が送られるケースがあります。この場合頼んでいない商品の通知が届き、その通知には不正サイトのURLが添付されていることがほとんどです。
手口はまだあります。クレジットカード会社を騙って期限切れ通知等を送り、情報更新を装いクレジットカード番号や名義などを漏洩させようとする手法もあります。
フィッシングメールを開いてしまったときの対策
もしセキュリティ対策やフィッシング詐欺の事前対策をしていてもフィッシングメール詐欺に遭ってしまった場合も、事後の対応を考えておくと安心です。
フィッシングメールを開いただけの場合
メールを開いただけであれば、実質的な被害が発生する可能性は低いでしょう。
添付ファイルを開かない、メールに記載のURLにアクセスしない、PCをネットワークから切り離した上で、セキュリティ対策ソフトでスキャンしてみてください。
念の為、会社に報告することを忘れないでください。
サイトにアクセスしてしまったら
もし不正なリンクをクリック・タップしてサイトを開いても、情報を入力する前に気付ければ被害はまず起こりません。こちらから情報を入力させるという特性上、フィッシングメール詐欺は入力がないと不正サイトを表示しても情報搾取が難しいという弱点があります。
まずは、サイトを閉じ、閲覧履歴やCookie情報を削除してください。その後、セキュリティ対策ソフトでスキャンして、会社に報告をしてください。
アカウント情報を入力してしまった場合
まずはIDとパスワードを即座に変更してください。その上で、会社に報告を上げた上で不正利用がないかを確認してください。
また、連絡先等が改ざんされていないか確認して、同じIDとパスワードを利用しているサービスがあればすべて変更してください。
添付ファイルを開いてしまった場合
LANケーブルを抜く、Wi-Fi接続を切るなど、ネットワークからパソコンを切り離してください。ネットから切り離せば、外部に情報が流出することは防げます。その後、セキュリティ対策ソフトでスキャンを行った上で、会社に報告してください。
アプリをインストールしてしまった場合
まずはアプリを速やかに削除し、セキュリティ対策ソフトでスキャンしましょう。その後、会社へ報告を起こった上で下記対応をしてください。
アカウント情報が攻撃者からまだ変更されていない場合は、完全に別の情報へ変えることで不正利用をなくすことができます。またクレジットカードを不正利用された場合は利用停止や被害に関する相談を行い、新規カード発行を行うなどの対応を行いましょう。
再び増加しているフィッシングメール詐欺の動向
フィッシングメール詐欺は最近再び多用されるようになりました。それには
- ITリテラシーに疎いのにインターネット・ツールを利用している人が増えた
- 巧妙な偽サイトを以前より作りやすくなった
といった要因も含まれているでしょう。
一般消費者のケースではキャッシュレス決済を不正利用された事例が出ており、こういった事件が原因となって通信会社が被害時の補填を新規で用意する事態にまで発展しています。以前よりフィッシングメール詐欺への補償が手厚くなったことで泣き寝入りするケースは減りましたが、詐欺被害がなくなったわけではないので注意が必要です。
また企業もフィッシングメール詐欺の被害に遭ってしまうケースがあります。ですから企業担当者としても、フィッシングメール詐欺の手口や被害事例等を確認するのは重要です。
企業も注意しなくてはならない理由
フィッシングメール詐欺は一般消費者がよく遭遇するサイバー攻撃です。しかし企業も同時に攻撃されてしまうリスクを抱えており、実際の被害件数も多いので注意しましょう。
悪質な事例では、標的型攻撃を組み合わせてこちらの取引企業をチェック、その企業の担当者になりすまして不正なサイトへ誘導したりします。こういった巧妙なフィッシングメール詐欺は、ITリテラシーがあまりないとなかなか気付けません。しかもケースによってはメールフィルターをすり抜けてしまうので、ITリテラシーがあっても騙されてしまう事例があります。
油断していると気付かないうちに被害に遭う可能性があるので、事前対策や事後対策をあらかじめ準備してルール化しておくと安心です。
企業による実例
企業の被害事例としては、ある株式会社がフィッシングメールでマルウェアに感染して被害を出しています。
この事例では従業員が気付かずにフィッシングメールを開封してしまい、そこに添付されていたリンクからマルウェアをインストール、情報を漏洩させてしまったというのがポイントです。気付かなかったのは取引先および過去のやり取りを、巧妙に真似されて詐欺と見抜けなかったためです。この影響で自社担当者を名乗るフィッシングメールが送信される事態になり、また一部顧客メールアドレス情報も盗まれました。
またフィッシングメールでは、送信元として
- アマゾン
- ドコモ
- マイクロソフト
- JR
といった有名企業がよく利用されるのがポイントです。
以前はよく分からない送信者からのフィッシングメール等もあったでしょうが、現在ではあからさまに怪しい送信元からのメールが減っていて巧妙化している印象があります。大手企業だから、有名企業だからと言って安易にメールを開かないようにするのも重要です。
ちなみに上記のような攻撃元として利用されてしまっている被害企業は、フィッシングメール詐欺の内容や注意点などを公式情報として発信しています。こういった情報を確認してみるのもポイントです。
フィッシングメールの見分け方のポイント!
ここからは企業担当者として、フィッシングメール詐欺を見分ける方法をご紹介していきます。
身に覚えがないものはクリック・タップしない
メールにはどんな情報も掲載できます。ということでいつも読んでいるメールのタイトル・内容について気に掛けておき、最近の行動なども材料にしながら新規で届いたメール内容に少しでも違和感を持つのが重要になってきます。
メール内容を瞬時に判断するのは直感的なスキルも関係してきますが、慣れてくると「何となくだけどフィッシングメール詐欺のような気がする」といった判断ができるようになってくるでしょう。その判断を基に真偽を細かく判断すると、詐欺に遭遇するリスクが減ります。
緊急性をあおるメール内容はまず疑う
フィッシングメール詐欺ではほとんどの場合「こちらから」情報を入力させようとしてきます。ということで緊急性をあおり、メール効果のあるうちにさっさと入力を済ませようというケースが多いのがポイントです。
- クレジットカード期限が数日で切れる
- 購入が未完了
- 未払いになっている
といったステータスを伝えるメールの場合、まずフィッシングメール詐欺でないか疑うのが重要です。多くの場合上記のようなあおりのあるメールは、詐欺メールである可能性が高まります。
メールアドレスやテキストなどに不審部分がないかチェック
今までの判断方法を基にフィッシングメール詐欺が疑わしいと感じる場合は、確証を得るために不審な部分を確認してみましょう。
たとえば
- 送信者のメールアドレス
- テキスト
- リンク
- その他セキュリティ認証等の部分
などが重要です。
メールアドレスについては、送信元の名称「送信元:株式会社アマゾンジャパン」は誰でも変えられます。しかし基本的に「○○@amazon.co.jp」といった実際のメールアドレス部分は変更不可です。この部分が「○○@amazon.io」だったりすると詐欺です。
またテキストについては読んでいて読点が多過ぎる、企業情報に不自然な句点があるといったメッセージが表示されるケースがあります。企業担当者が入れ間違えている線もありますが、不正なメールかを判断する材料にはなるでしょう。
さらにリンクについては、テキスト名が「クレジットカード情報変更ページ」などとなっていても、リンク先が実際の公式ページとは違うことがあります。もしリンクテキストにカーソル等を当てると出てくる「https://www.○○.co.jp」といった情報に違和感がある場合は、正規ページを自分で表示して比較するとすぐ不正か分かります。
その他SSL認証でエラーが出ている、見たことのないマイナーなサーバーから送信しているといった場合も注意が必要です。複数の情報をチェックすることでより安全性が図れますが、初心者の方はまずメールアドレス情報やリンク先などを事前チェックして被害を防ぐとよいでしょう。
送信元の公式情報を確認する
もしメール内容に「緊急のお願い」といったフレーズがあった場合は、本当にトラブルが起きているのか公式Webサイトで確認してみましょう。問題が起きていればX(Twitter)などのSNSや公式サイト等で情報が発信されているはずです。
もし公式からメールが来たとしても、その緊急事案に対するメール内容は「障害のお詫び」といった件名のケースが多く、こちらの情報を再度入力・変更させようとする可能性はあまりありません。気になる場合は送信した企業へ問い合わせてみるとより安心できます。
フィルタリング等に強いセキュリティソフトを入れておく
今までご紹介した対策を行っていればひとまず安心はできますが、社内従業員のITリテラシーにはばらつきがあります。ですから研修等を行いながら、事前の被害対策としてセキュリティソフトを入れておくとよいでしょう。
セキュリティソフトではより厳しいフィルタリング、事前不正メール・添付ファイルの予測機能などメールソフトだけでは対策できない機能を提供してくれます。サイバー攻撃の被害を限りなくゼロにできるのでおすすめです。また万が一リンクをクリック・タップしてしまっても警告してブロックを行ってくれるツールもあるので、導入してみてください。
自社をフィッシング詐欺から守るためにセキュリティ対策を
フィッシングメールに騙されて個人情報を入力してしまうと、不正ログインされてしまったり、クレジットカードを不正利用されてしまったりする可能性があります。また企業にも大きな被害をもたらすサイバー攻撃ですので、注意が必要です。
メールを受け取った際には自身が利用しているサービスであったとしても、フィッシングメールだと思って、警戒しましょう。また誤ってメールを開いてしまったりしないように、社内の研修などを行い、ITリテラシーを向上させることが被害に遭わないためにも大切です。
万が一、被害に遭ってしまったり、疑わしい場合のためにも相談窓口を用意しておくことが被害を拡大しないための重要な手段です。
中小企業の場合、従業員数などの関係でセキュリティソフトや機器の導入するほどコストを捻出できない場合も多いと思いますが、このようなサイバー攻撃は社内の研修や教育などでITリテラシーを向上することで大半は防ぐことができます。労力がかかりますが、コストはあまりかかりませんので、社内の教育に力を入れてみてはいかがでしょうか。
フィッシングメール詐欺に引っかかってしまうと、被害額はもちろんですが、社会的な信頼を大きく損なう可能性がありますから、対策はしっかりしておきましょう。