2021年06月04日

情報セキュリティ10大脅威(個人編)〜フィッシングによる個人情報等の詐取〜

ishihama
石濱 雄基 記事一覧
Posted in クラウド, 事例, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第2位 フィッシングによる個人情報等の詐取

概要

フィッシング詐欺とは、実在する機関や企業を騙ったメールやSMSなどを送り、正規のウェブサイトに似せた偽のウェブサイトに誘導することで、個人情報やIDやパスワードの情報など入力させて盗み取る行為です。盗み取られた情報は例えば以下のような形で悪用されます。

  • 盗んだ個人情報などを闇市場で販売して金銭を得る
  • 盗んだIDやパスワードを使ってオンラインショッピングサイト等に不正ログインを試みる

続いて、脅威の具体的な手口をいくつかご紹介します。

1. 公的機関や有名企業に偽装したフィッシング

メールやSMS等を利用して不特定多数にフィッシングメールを送信し、正規のサイトを装った偽サイトに誘導して、個人情報やID・パスワードなどを入力させて盗み取る手口です。
フィッシングの中では最も一般的な手口と言えます。

2. 検索サイトの検索結果に偽の広告を表示

皆さんはGoogleなどで検索した際に検索結果などに広告が表示されるのを目にしないでしょうか。
これは、その広告の仕組みを悪用し、人気商品の大幅な値引き等を騙った広告を表示して、アクセスした人を偽サイトに誘導して個人情報などを入力させて盗み取る手口です。

3. 問い合わせフォームを悪用したフィッシングメールの大量配信

普段サービスのお問合せフォームなどを送った際、自動返信のメールが返ってきたりしないでしょうか。
これは、その自動返信機能を悪用して、フォームに標的のメールアドレスや偽サイトのURLなどを入力して、フィッシングメールを拡散する手口です。

対策

被害の予防、早期検知、被害を受けた場合の3つの視点から考えてみましょう。

1. 被害の予防

まずは、メールやSMS、SNSなどに記載されているURLを安易に開かないようにしましょう。また、メールアドレスやURLが正しいものか確認することも大切です。
その上で、不正ログインなどを防ぐために、各サービスで二要素認証などを利用することも有効的です。

2. 被害の早期発見

この脅威は、個人情報などが盗み取られるだけでなく、その情報がその後悪用される可能性があるという点にも問題があります。

そこで情報が漏れていないか確認する意味でも、普段利用するウェブサービスのログイン履歴を確認したり、クレジットカードやインターネットバンキングなどの利用明細を確認するなどの対応を行うことで、被害の早期発見につながります。

ログイン履歴や利用明細をいちいち確認するのが手間な場合は、これらを自動で通知してくれる機能などを利用することもおすすめです。

3. もし被害に遭ったら

まず不正ログインがあった場合には、当該パスワードを利用しているものはパスワードの変更を行いましょう。また、サービスによっては利用停止依頼なども行うことが望まれます。
その上で、警察や弁護士、お近くの消費生活センターなどに相談して、対応を行っていきましょう。

まとめ

今回は、「情報セキュリティ10大脅威(個人編)」の第2位をご紹介しました。

フィッシングのメール内容などは年々巧妙になってきています。
引っかからないためには、利用者側の見極める力が重要です。
フィッシングの脅威を認識したうえで、日ごろから注意しましょう。

次回は、「第1位 スマホ決済の不正利用」をご紹介します。

このエントリーをはてなブックマークに追加 LINEで送る

2021年6月4日

情報セキュリティ10大脅威(個人編)〜フィッシングによる個人情報等の詐取〜

Posted in クラウド, 事例, 情報セキュリティ

情報セキュリティ10大脅威」とはIPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は皆さんにも身近な「個人編」がテーマです。

第2位 フィッシングによる個人情報等の詐取

概要

フィッシング詐欺とは、実在する機関や企業を騙ったメールやSMSなどを送り、正規のウェブサイトに似せた偽のウェブサイトに誘導することで、個人情報やIDやパスワードの情報など入力させて盗み取る行為です。盗み取られた情報は例えば以下のような形で悪用されます。

  • 盗んだ個人情報などを闇市場で販売して金銭を得る
  • 盗んだIDやパスワードを使ってオンラインショッピングサイト等に不正ログインを試みる

続いて、脅威の具体的な手口をいくつかご紹介します。

1. 公的機関や有名企業に偽装したフィッシング

メールやSMS等を利用して不特定多数にフィッシングメールを送信し、正規のサイトを装った偽サイトに誘導して、個人情報やID・パスワードなどを入力させて盗み取る手口です。
フィッシングの中では最も一般的な手口と言えます。

2. 検索サイトの検索結果に偽の広告を表示

皆さんはGoogleなどで検索した際に検索結果などに広告が表示されるのを目にしないでしょうか。
これは、その広告の仕組みを悪用し、人気商品の大幅な値引き等を騙った広告を表示して、アクセスした人を偽サイトに誘導して個人情報などを入力させて盗み取る手口です。

3. 問い合わせフォームを悪用したフィッシングメールの大量配信

普段サービスのお問合せフォームなどを送った際、自動返信のメールが返ってきたりしないでしょうか。
これは、その自動返信機能を悪用して、フォームに標的のメールアドレスや偽サイトのURLなどを入力して、フィッシングメールを拡散する手口です。

対策

被害の予防、早期検知、被害を受けた場合の3つの視点から考えてみましょう。

1. 被害の予防

まずは、メールやSMS、SNSなどに記載されているURLを安易に開かないようにしましょう。また、メールアドレスやURLが正しいものか確認することも大切です。
その上で、不正ログインなどを防ぐために、各サービスで二要素認証などを利用することも有効的です。

2. 被害の早期発見

この脅威は、個人情報などが盗み取られるだけでなく、その情報がその後悪用される可能性があるという点にも問題があります。

そこで情報が漏れていないか確認する意味でも、普段利用するウェブサービスのログイン履歴を確認したり、クレジットカードやインターネットバンキングなどの利用明細を確認するなどの対応を行うことで、被害の早期発見につながります。

ログイン履歴や利用明細をいちいち確認するのが手間な場合は、これらを自動で通知してくれる機能などを利用することもおすすめです。

3. もし被害に遭ったら

まず不正ログインがあった場合には、当該パスワードを利用しているものはパスワードの変更を行いましょう。また、サービスによっては利用停止依頼なども行うことが望まれます。
その上で、警察や弁護士、お近くの消費生活センターなどに相談して、対応を行っていきましょう。

まとめ

今回は、「情報セキュリティ10大脅威(個人編)」の第2位をご紹介しました。

フィッシングのメール内容などは年々巧妙になってきています。
引っかからないためには、利用者側の見極める力が重要です。
フィッシングの脅威を認識したうえで、日ごろから注意しましょう。

次回は、「第1位 スマホ決済の不正利用」をご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする