フィッシングメールとは
フィッシングメールとは、メールに記載したURLからアクセスさせた偽サイトに重要な個人情報を入力させて、個人情報を盗み出す手口のことです。
盗み出した個人情報は、モバイルバンキング・クレジットカード情報などの財産に関する重要な情報や、住所などの情報です。お金や商品の窃取が主な被害で、被害額も総額で億単位に上るなど重大です。ただし、盗み取られた情報は嫌がらせ・業務の妨害などの目的で悪用されることもあります。
偽サイトへの誘導には、以下のような代表的な手口があります。
- 銀行・クレジットカード会社などの金融機関などのホームページを装って誘導すること
- オンラインショッピングのページに誘導すること
楽天・Amazonなどのサービス利用者が多いサイトの偽サイトに誘導するフィッシングメールも多いものです。
メールにあるURLをクリックしている人は、これらが偽のサイトであることに気が付きません。誘導に従い、個人情報を入力してしまい、情報を悪用されてしまうのです。最近では、SMS(ショートメッセージ)によるフィッシング被害も増えており、宅配などの身近なサービスを騙るケースに多くの被害が生じています。
では、こうしたフィッシングメールをどのように見分けたらよいのでしょうか。
見分けるには、見るべきポイントがあるので、ご紹介します。
また、従業員がフィッシングメールにひっかからないためにどうすればいいのか、とお考えの方へ、「セキュリオ」の標的型攻撃メール訓練がおすすめです。
一般的な標的型攻撃メール訓練サービスでは、添付ファイルの開封やリンクのクリックを促すものが多いですが、「セキュリオ」では、ID情報の入力まで含めたフィッシングメールによる攻撃の訓練が可能です。
まずは1度お試しください。
フィッシングメールの見分け方
迷惑メールなどのフィルタリングをすり抜けて、メールボックスに届いたフィッシングメールは、マルウェアによる攻撃の可能性もあるので、開封しないのがベストです。
しかし、開いたときにフィッシングメールを見分けることによっても被害を最小限にとどめることができます。見分け方は、次にあげるチェックポイントをよく観察することが重要です。おかしい・不自然な点があったら、サイトへのアクセス・個人情報の入力を絶対しないことです。
送信元は大丈夫?
フィッシングメールの見分け方で、重要なポイントの一つが送信元です。
仕事上のメールで、普通見かけないドメインからの送信である・企業なのにフリーアドレスからの送信であるなど、おかしいと気づくことがあります。また、CCや、自分以外の宛先に多くの知らない人が入っているなどのメールも警戒したほうが賢明です。
正規のドメインの真似をしているが、”o” の代わりに”0”を使っている”l”の代わりに”1”を使っているなど、見た目の紛らわしさで騙そうとしているものもあります。
タイトル・本文・ヘッダーフッターもよく観察を
また、タイトル・本文・ヘッダー・フッターに、不自然な点がないかもチェックのポイントです。稚拙な日本語、取引先にしては不自然な会社名、よく見るとおかしな点にいくつか気付くようなことがあります。
タイトルや本文の内容にも、「緊急!」などと、急いでほしいことを強調する内容・不安をあおって、慌てて入力させるようなものがあります。これも典型的に警戒すべきメールです。急いでほしい、との内容であればあるほど、慌てずに公式サイトを検索から確認し、送信元が本物かを確かめるべきです。
添付ファイル・URLをチェック
さらに、添付ファイル・URLも警戒しましょう。
添付ファイル名に意味がわからない文字列が入っているようなものは要注意です。URLにカーソルを合わせたり、スマホでリンクを長押ししても、あるべきURLとは違うものらしきサイトが表示されるなど、おかしな点があるかもしれません。
送信元の不自然さと同様、”o”や”l”などの紛らわしい文字列を使い、公式ドメインを装う手口も、URLに関しても注意すべきポイントです。
また、金融機関は、セキュリティが強固な通信を確保するため、URLにhttpsから始まるアドレスを利用しているのが通常です。URLをクリックしてしまったら、サイトのURLバーにhttpsと表示されない、PCのブラウザなら、緑にバーの色が変わらない、というのも怪しい兆候です。クリックしないことに越したことはありませんが、気が付いたら絶対入力しないことが重要です。
メールに不自然で怪しい表示がある場合、いつもと何かが違うなど、メールを観察するだけでも気が付くことが多いものです。こうしたメールに気が付いた場合、URLのクリックや、個人情報の入力は絶対にしないことにより、被害をとどめることができます。
また、サービスを提供している各社でも、手口に関する情報を発信していますので、利用しているサービスの公式サイトで確認すると、より確実な見分け方を知ることができます。
こうしたことを踏まえて、実際にフィッシングメールの訓練をしましょう。
フィッシングメールがもたらす被害
偽のモバイルバンキングのサイトに誘導される・クレジットカード情報を入力させられる、という手口では、金品の詐取・口座への不正アクセスが後を絶ちません。その結果、金銭の詐取が重大な被害となります。
警察庁の発表によると、令和4年の上半期だけで、フィッシングによるものとみられる不正送金の額は、約3億2000万円にものぼります。
(出典:フィッシングによるものとみられるインターネットバンキングに係る 不正送金被害の急増について(注意喚起))
金融機関だけでなく、偽のECサイトでの金銭の詐取も深刻な被害となっています。
また、偽サイトにより、ブランドを悪用される企業の被害も深刻です。悪用されてしまった企業のサイトは、一般の利用者も利用を控えたり、あるいは風評被害にあったりするため、通常の利用は妨害されてしまいます。
さらに、フィッシングメールの中には、企業の業務を止める・サーバに不正にアクセスするマルウェアを実行するものもあります。マルウェアを実行させる偽サイトに誘導してしまうのです。こうなると、企業の活動も、最悪では数か月から年単位で長期間妨害されてしまいます。
フィッシングメールの事例
給付金の受け取りができるなどと騙す手口で、偽サイトに個人情報を入力させる手口の詐欺行為・不正アクセス行為がコロナウイルス感染症の影響で急増しました。
最近急増しているのが、利用者の多いサイトのアカウントのパスワードを買えないと詐欺の被害にあうなどとして、偽のURLに個人情報を入力させる手口です。利用者の多いECサービスのサイトや、SMSに仮託する手口もあります。各金融機関を騙るメールで、偽のサイトに誘導し、パスワードを変えさせるメールも典型的なフィッシングメールです。
フィッシングメールに入力してしまったら
万が一、フィッシングメールに気付かず、個人情報を入力してしまったら、どのように対応したら被害を最小限にとどめられるでしょうか。
まず初動は、入力したページを閉じてしまうことが対策になります。ブラウザの通信を遮断して、情報が広がることを止める効果があると考えられるからです。入力してしまったID・パスワードはすぐ変更し、悪用を防ぎましょう。
会社のメールであれば、早くIT担当者や、セキュリティ専門部署に通報して、悪影響を止めることを考えましょう。また、個人で情報を入力した場合、すぐに該当する銀行や、カード会社に通報すること、可能なら利用停止や再発行を行うことも対策になります。
被害に気付いたら、警察・金融機関などにも報告をしておきましょう。
フィッシングメールの報告先
フィッシングの被害は、情報戦で防御することができます。手口情報を適切に共有することや、技術的な対策を施すことにより、さらに被害が広がることを抑制できるからです。
フィッシング対策協議会の通報窓口が代表的な報告先です。
また、Googleもフィッシングメール情報を募集しています。フィッシングの可能性があるメールを見分けて、警告をする機能がGoogleメールにはあります。通報された情報を活用して、被害を防ごう、という意図があるのです。
また、社内での報告先というのも適切に設置・周知しておくことが望ましいです。
「セキュリオ」では、従業員がフィッシングメールや標的型攻撃メールを受信した際、ワンクリックで社内報告できる機能も備えています。
訓練の際の確認としても、実際の攻撃を受けた時も、ご活用いただけます。
まとめ
フィッシングメールは、偽サイトに誘導して、ID・パスワード・個人のプライバシーに関する情報を窃取する手口です。大手ECサイトや金融機関を騙り、個人情報の入力をさせて、情報を窃取するため、多額のお金をモバイルバンキングから引き出すなど、重大な被害をもたらします。
しかし、フィッシングメールは、見分けることも多くの場合可能です。見分け方ですが、メールをよく観察すると、送信元・タイトル・本文など、不自然な点が目に付くものです。注意して「おかしい」と思う点を確認する習慣をつけておきましょう。
万が一、フィッシングサイトに入力してしまったら、パスワードの変更や、通報など、適切な手段を講じておきましょう。
