フィッシングメールの対策とは？被害やメールの事例についても解説

フィッシングメールとは
フィッシングメールによる被害
フィッシングメールの対策
1. フィッシングメールが届く前にできること・6つ
2. フィッシングメールが届いたらできること・4つ
フィッシングメールの事例
フィッシングメールに入力してしまったら
まとめ

フィッシングメールとは

フィッシングメールとは、メールに記載したURLからアクセスさせた偽サイトに重要な個人情報を入力させて、個人情報を盗み出す手口のことです。

盗み出した個人情報は、銀行の口座やクレジットカードの暗証番号情報、IDパスワードなどの財産に関する重要な情報が主なものです。個人情報を利用した、預金の不正引き出し・商品の窃取など、詐欺による被害は重大です。預金の不正引き出しの主要な原因がフィッシングと言われるほどです。しかし、中には嫌がらせ・業務などの妨害の目的で情報が悪用されることもあります。

また、従業員がフィッシングメールに引っかからないようにするためにどうすればいいのか、とお考えの方へ、セキュリオの標的型攻撃メール訓練がおすすめです。

一般的な標的型攻撃メール訓練サービスでは、添付ファイルの開封やリンクのクリックを促すものが多いですが、セキュリオでは、ID情報の入力まで含めたフィッシングメールによる攻撃の訓練が可能です。

標的型攻撃メール訓練を1回無料で体験: 徹底したサポート・詳細なレポート付き

フィッシングメールによる被害

警察庁の発表によると、2022年8月だけでも、銀行の預金口座の引き出しは、2億円以上にも上り、その多くがフィッシング被害によるものとされています。また、クレジットカードの不正利用により、商品が不正取得されてしまうことも頻繁です。

そのため、預金口座が知らない間に減っている・クレジットカードの明細を見たら、身に覚えのない商品の購入をしているなどの被害が生じ、フィッシング詐欺にあったことに気付くケースも多いものです。

ほかにもサイトでサービスを購入するために入金を促されて入金したところ、一向にサービスが提供されない、ID・パスワードを会社に送られたメールにうっかり入力したら、会社のサーバに不正なアクセスがあったなどの被害報告があります。これは、しばしばフィッシングメールがマルウェアなどの不正なソフトウェアを仕込んであることに原因があります。

これらの被害を防ぐにはどのような対策を講じたらよいのでしょうか。

フィッシングメールの対策

フィッシングメールの対策を施す前に、フィッシング被害は誰にでも起こることを理解しておきましょう。

フィッシングメールは、大量に送られています。フィッシング対策協議会に報告があった件数だけでも、2022年3月1か月間で報告数は8万件以上にも上ります。一説には数百万、数千万単位で実際のフィッシングメールが送られているとされ、「フィッシングメールに遭遇したことがない」というインターネットユーザーは少ないといってよいほどです。
また、企業の偽サイトも5万件近くに上るとみられています。

こうした環境では、いつでも誰にでもフィッシングメールの被害は起こりうることです。
そこで、可能な限り複数の手段を用いて、フィッシングメールを寄せ付けない工夫をすることが有効です。いくつもの予防線を張って、被害を防ぐイメージで取り組むとよいでしょう。

さらに、実際の詐欺被害が生じないようにすること、生じても最小限にすることが求められます。
大まかには、フィッシングメールが届く前の事前対策、届いた後の事前対策があるので、それぞれご説明します。

フィッシングメールが届く前にできること・6つ

フィッシングメールが届く前にできることは、まず総合的なセキュリティ対策を強化することです。個人でもできるセキュリティ対策には、以下のようなものがあります。

総合的セキュリティ対策

・セキュリティソフトの導入

・OSやアプリケーションを常に最新にする

・迷惑メール・スパムメール振り分け・警告機能の活用

これらの対策は、セキュリティ対策として基本のものとして企業でも行われています。
フィッシングだけでなく、マルウェア対策や不正アクセス対策などにも役立つものです。

個人向けにも多くのセキュリティソフトが出回っており、またOSなどのアップデートも簡単にできるものです。さらに、迷惑メールやスパムメール振り分け機能や警告機能は、クラウドメールなどでも利用されています。

セキュリティソフトは、サブスクリプションのものは月額数百円から購入できます。
PCやスマホ、使う端末にはすべて信頼できる会社のソフトをのインストールしておきましょう。

サブアドレスも使う

メールの使い方の工夫です。サブアドレスとメインアドレスを使い分けて、金融機関用や、クレジットカード用のアドレスを決めておき、他の用事にはサブアドレスを使う、などという手も有効です。

これでフィッシングメールと疑うべきメールの識別に役立ちます。

簡単なメールアドレスを使用しない

メールアドレスの情報を簡単に盗み取られるようなことがないように、メールアドレスは簡素なものは避けるようにしましょう。

不必要なメールを利用しない

メールそのものの利用頻度を減らすことも有効です。ついダイレクトメールを受信できるようにしてしまうと、個人用のメールアドレスは、不要なメールであふれかえってしまいます。
そこが、フィッシングメールの攻撃者のつけ入る隙です。怪しいメールが目立たなくなり、うっかり開封することに抵抗感がなくなるためです。

不要なメールは受信しないようにする、添付ファイルなどのやり取りは、クラウドメール付属のクラウドストレージを使うなどすると、利用頻度が減らせます。

金融機関・クレジットカード会社などのブックマークの活用

フィッシングメールを送信する側が提示するURLは企業をかたるURLであり、本物ではありません。

常に公式のサイトにアクセスできるように、ブックマークからアクセスできるようにしておきましょう。こうしておくと、公式サイトではメールに書いてあった「緊急のお知らせ」は表示されていない、などと不審な点にも気付くことができるでしょう。

フィッシングメールが届いたらできること・4つ

対策を事前に施しても、フィッシングメールはメールフィルタもすり抜けることがあります。また、うっかり、ということもよくあることです。
フィッシングメールがメールボックスに届いた時点からも、被害予防のためにできることがあります。

開封しない

送信元が怪しい、身に覚えがない、というメールは開封しないのがベストです。
送信元の人物を知らないという場合は、電話で確認してみる、などとしておくと、フィッシングメールに気が付くこともあります。

開封だけでもマルウェアとの組み合わせで、メールアドレスを窃取する・マルウェアによる不正アクセスが起こるケースもあります。プレビュー機能がある場合は、プレビューのみでとどめ、開封はしないことです。

怪しいメールを見分ける

開封したとしても、怪しいメールであるかどうかを見分けるポイントがあります。

送信元・cc先などを総合的に見て不自然。知らない人物がccされている。
文面が不自然。不自然な日本語や、「緊急」「至急」と不安をあおる内容である。
身に覚えのない内容である。
URLの表示の文字列が不自然で、公式サイトとは思えないなど

こうした場合、そのまま削除しておくと、金融機関などの重要な個人情報の窃取などのリスクは抑えることができます。

URLをクリックしない

URLをクリックしただけでも、マルウェアが実行されることもあります。
また、表示されたサイトにマルウェアが仕込まれている場合にも、不正アクセス・個人情報の窃取リスクは高くなりますので、URLをクリックする前にも立ち止まり、必要であれば検索して内容を確認するなどておきましょう。

個人情報を入力しない

個人情報を入力してしまうと、個人情報悪用の可能性は高くなります。
信頼できるサイトでない限り、個人情報の入力は控えることが賢明です。信頼できるサイトかどうか、確認するためには、例えばURLの頭にhttpsとのセキュアサイトであることの表示があるか、URLバーの色が緑になるか、などの識別方法もあります。