Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目 次
フィッシング詐欺とは
主なフィッシング詐欺の手口
フィッシング詐欺の近年の動向・発生推移
フィッシング詐欺の特徴と見分けるポイント5つ
個人で取り組める、効果的なフィッシング詐欺対策
企業におけるフィッシング詐欺対策
万一、フィッシング詐欺にあってしまったら?
フィッシング詐欺対策ならLANSCOPEEプロフェッショナルサービスにおまかせください
まとめ
フィッシング詐欺とは、メール・SMS内のURLから偽のWebサイトに誘導し、誘導先のサイトで個人情報やアカウント情報を入力させて盗み取る行為です。
フィッシング詐欺の被害にあうと
●(銀行口座やクレジットカード情報が盗まれた場合)不正送金や不正利用
●(オンラインショッピングのアカウント情報が盗まれ場合)不正購入
●マルウェア感染
などが想定されます。
もしも被害にあってしまった場合は、社内関係者に報告するとともに、クレジットカード会社や銀行へ連絡して利用停止手続きを行いましょう。
また、不正ログインされたアカウントのパスワードの変更も忘れないようにしてください。
本記事では、フィッシング詐欺の手口や企業・組織でできる対策、対処法などについて解説します。
この記事のポイント
- フィッシング詐欺とは、送信者を偽った電子メールやSMS、本物にそっくりな偽サイトなどを悪用し、ターゲットの個人情報を盗み取るサイバー攻撃の手口
- フィッシング詐欺の主な手口として、電子メールやSMS(スミッシング)、SNSを活用したものなどが挙げられる。
- フィッシング詐欺事件は増加傾向にあり、2023年の1年間に報告されたフィッシング詐欺の件数は119万6390件で、過去最悪となった
- 特徴として「個人情報を要求する内容」「緊急性を促す内容が多い」「送信元のメールアドレス・リンク先のURLが公式のものと少し異なる」等が見られる
- 有効な対策として「ドメインを確認する習慣づけ」や「メール訓練の実施」「(万一に備えた)多要素認証の導入」などがある
フィッシング詐欺とは
フィッシング詐欺とは、送信者を偽った電子メールやスマートフォンのSMS、本物に限りなく似せた偽サイトなどを悪用して、ターゲットの個人情報を盗み取るサイバー攻撃の手口です。メールやSMSから悪質なフィッシングサイトへ誘導し、アカウント情報やカード情報などを入力させ、個人情報を搾取します。
▼フィッシング詐欺で狙われる情報
個人情報(氏名・住所・生年月日など)
画像情報(運転免許証・マイナンバーカードなど)
アカウント情報(ユーザーID・パスワードなど)
クレジットカード情報(カード番号・暗証番号など)
フィッシング詐欺に引っかかることで、以下のような損害を受ける可能性があります。
▼フィッシング詐欺の被害の例
- 銀行口座やクレジットカードの情報を盗まれ、不正な送金や不正利用に使われる
- SNSやメール、オンラインショッピングなどのアカウント情報を盗まれ、意図しない投稿やメッセージ送信、注文などをされてしまう
- フィッシングサイトに誘導され、ウイルスやスパイウェアなどの悪意あるマルウェアに感染させられる
マルウェアに感染してしまうと、機密情報のデータ改ざんや暗号化が行われたり、個人情報や企業秘密の搾取・流出といった損害に発展したりするリスクもあります。
従来の攻撃に比べ、メール文書やWebサイトのクオリティはますます巧妙となり、近年のフィッシング詐欺はひと目で判別のつかないケースが大半です。
主なフィッシング詐欺の手口
主なフィッシング詐欺の手口は以下の5つです。
・フィッシングメール(電子メールによる手口)
・SEOポイズニング
・スミッシング(SMSによる手口)
・ソーシャルメディアフィッシング(Twitterなどによる手口)
・スピアフィッシング(特定の人物・組織を狙う手口)
フィッシングメール(電子メールによる手口)
「フィッシングメール」と呼ばれる電子メールによる手口は、フィッシング詐欺の中でも非常によく用いられているものです。大手企業や公的機関を装ってメールを送りつけ、本文内のURLをクリックさせます。受信者がURLを開くと正規サイトと酷似したフィッシングサイトに遷移し、個人情報を入力させようとします。
▼フィッシングサイトの一例
大手ECサイトを装い「パスワードを確認してください」と称した内容のフィッシングメールを送付。偽サイトへのURLをクリックさせ、フォームにアカウント情報(IDやパスワード)を入力・送信させて不正に盗み取る。
SEOポイズニング
最近では、検索エンジンの検索結果上位に悪質なWebページを表示させ、ユーザーをフィッシングサイトへ誘導する「SEOポイズニング」という攻撃手法も見られます。サイトを閲覧することで、偽サイトへ転送されたり、悪質なマルウェアに感染したりするリスクがあります。
スミッシング(SMSによる手口)
スミッシングとは、SMSによるフィッシング詐欺の手口です。ターゲットのスマートフォンに対して大手企業や公的機関を装ったSMSを送りつけ、偽サイトに誘導して個人情報を盗み取ります。
引用:URLリンクへのアクセスに注意 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
構造としてはフィッシングメールと同様ですが、Eメールアドレス宛に送られるフィッシング詐欺のメールを「フィッシングメール」、SMS(電話番号)宛てに送られるフィッシング詐欺のメールを「スミッシング」と呼んで区別しています。
ソーシャルメディアフィッシング(Twitterなどによる手口)
ソーシャルメディアフィッシングとは、TwitterなどのSNSに似せたサイトを使い、IDやパスワードなどのログイン情報を盗み取るフィッシング詐欺の手口です。
ログイン情報が盗み取られると、アカウントが乗っ取られ、ログインできなくなったり、本人の意図しない情報が発信されたりする恐れがあります。
▼ソーシャルメディアフィッシングの一例
「Instagram」のログイン画面に似せた偽サイトに誘導し、ログインIDとパスワードを不正に窃取。該当のアカウントは攻撃者によって乗っ取られ、利用規約に反するような画像を何度も投稿されて、アカウントが凍結されてしまった。
スピアフィッシング(特定の人物・組織を狙う手口)
スピアフィッシングとは、特定の人物や組織を狙ったフィッシング詐欺の手口です。これまで紹介してきた手口が、不特定多数のユーザーを対象にしているのに対し、スピアフィッシングは攻撃対象が明確に定められています。
スピアフィッシングは、特定の人物や組織を情報漏洩や業務停止に追い込むことで「信頼を低下」させたり、「金銭的なダメージ」を与えたりするのが主な目的です。手段として「標的型攻撃メール」が用いられる例もよくあります。
フィッシング詐欺の近年の動向・発生推移
フィッシング対策協議会が発表した「フィッシング報告状況と対策」によれば、2023年の1年間に報告されたフィッシング詐欺の件数は119万6390件(前年比23.5%増加)で、過去最悪となりました。
▼フィッシング報告件数の推移 (年別)
フィッシング対策協議会の情報をもとにエムオーテックスで作成
フィッシング詐欺の報告件数はこの2、3年で激増しており、各企業はフィッシング詐欺への対応が必要不可欠です。大企業・中小企業を問わずに狙われる可能性があり、社会問題とも呼べる事態に発展しています。
情報セキュリティ10大脅威に6年連続「フィッシング詐欺」が選出
IPA (情報処理推進機構)では毎年、「情報セキュリティ10大脅威」を発表しています。これは、各年で特に猛威を振るった脅威をまとめたもので、個人向けと組織向けの2種類があります。
2024年の個人向け「情報セキュリティ10大脅威」にも「フィッシングによる個人情報等の詐欺」が選出され、これで6年連続となります。
▼情報セキュリティ10大脅威 2024(個人編)
| 脅威内容 |
|---|
| インターネット上のサービスからの個人情報の窃取 |
| インターネット上のサービスへの不正ログイン |
| クレジットカード情報の不正利用 |
| スマホ決済の不正利用 |
| 偽警告によるインターネット詐欺 |
| ネット上の誹謗・中傷・デマ |
| フィッシングによる個人情報等の詐取 |
| 不正アプリによるスマートフォン利用者への被害 |
| メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
| ワンクリック請求等の不正請求による金銭被害 |
このように、フィッシング詐欺は社会においてリスクの高いサイバー攻撃であり、防御のための対策を講じることが求められます。
リアルタイムフィッシング詐欺という恐ろしい手口も登場
金融庁と警察庁が2023年8月に発表した「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)」によれば、令和5年上半期における不正送金の被害件数は、過去最多の2,322 件となり、被害額は約30億円となっています。
出典:警察庁・金融庁|フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)(令和5年8月8日)
不正送金被害の多くはフィッシングによるものとみられています。
このように、フィッシング詐欺による不正送金被害が深刻化する要因の一つに「リアルタイム型フィッシング詐欺」の登場があります。
リアルタイム型フィッシング詐欺とは、ユーザーがインターネットバンキングのIDやパスワードを偽サイトに入力するのをリアルタイムで把握。さらにワンタイムパスワード認証を突破するための認証情報も盗み取ってスピーディーに不正送金を完了させるものです。
▼リアルタイム型フィッシング詐欺のイメージ
フィッシング詐欺の特徴
フィッシング詐欺には、次のような特徴が見受けられることが多いです。
- 個人情報を要求する内容が書かれている
- 緊急性を要す内容でターゲットの不安を煽る
- 送信元のメールアドレス・リンク先のURLが公式のものと少し異なる
- 文字や文法が不自然・誤っている
- 本文に宛名がない(お客様、皆様など総称を使う)
- 不審な添付ファイルが見られる
フィッシング詐欺は個人情報の窃取を目的としているため、個人情報を要求する内容が書かれているケースも多く見られます。緊急性を要する内容でターゲットの不安を煽ることが多いのも、特徴の一つです。
送信元のメールアドレスは、一見すると公式のものと同じように見えるものの、実際には少し異なるものが使われているケースが多々あります。またリンク先のURLに関しても、異様にURLが長い、不用意な文字が多く含まれている、といった特徴が見られます。
送信元のメールアドレスは、一見すると公式のものと同じように見えるものの、実際には少し異なるものが使われているケースが多々あります。またリンク先のURLに関しても、異様にURLが長い、不用意な文字が多く含まれている、といった特徴が見られます。
▼PayPay をかたるフィッシング
出典:フィルタリング詐欺対策協議会│PayPay をかたるフィッシング
上記「PayPay をかたるフィッシングメールの事例」では、公式サイト(https://○○○○.com/)とよく似た、不正なWebサイトのURLが掲載されています。
その他、メール文書の中で、公式ではありえないスペルや文法上のミスが見られる、あるいはメールの文頭に宛名が書かれていなかったり、単に「お客様」「皆さま」など個人を特定しない表記になっていたりするものも、フィッシング詐欺の可能性が高いです。
▼宛名表記がおかしいフィッシング詐欺メールの例
さらに、不審な添付ファイルがある場合もフィッシング詐欺の可能性が疑われます。 特に、拡張子が「.exe」や「.zip」などの場合は、ウイルス感染のリスクがあるため、安易に開封しない様気を付けましょう。
個人で取り組める、効果的なフィッシング詐欺対策
まずはフィッシング詐欺対策としてすぐに取り組める、個人にもおすすめな、基本的なフィッシング詐欺対策について解説します。
- URLを安易にクリックしない
- 多要素認証を導入する
- 正しいドメイン名か、SSL化されているか確認をクセづける
- ブックマークした公式サイトもしくは正規のアプリからアクセスする
何よりも重要なことは、身に覚えのないメール・SMS・DM内のURLを安易にクリックしないことです。
クリックする前には、送信元のメールアドレスや本文の内容、ドメイン名などを確認するようにしましょう。
フィッシング詐欺で用いられるドメインには、以下の様な特徴があります。
- 実在企業に類似したドメイン名を使用するが、oが0に、Iがlになっていたりする。
- ドメイン名の一部にサービスや企業名を含める。xxx-amazon.comやxxx-rakuten.comなど。
- ドメイン名の拡張子を変える。「.com」「.net」ではなく、「.biz」や「.info」など。
- ドメイン名の末尾にランダムな文字列や数字を付ける。「amazon.com-1234.com」や「rakuten.com-xyz.com」など。
また、重要データの入力画面は基本的にSSL通信が行われているため、ブラウザのアドレスバーに「鍵マーク」がついているか・文字が緑色になっているか、などを確認するようにしましょう。
ただ、攻撃者はかなり巧妙な手口を使ってくるので、素人目でメール文書やWebサイトが本物か偽物かを判断するのは困難といえます。
そのため、普段からよく利用している金融機関、運送業者などの公式サイトはブックマークしておきましょう。
他にも、通常のIDとパスワードのみの認証でなく、指紋認証や顔認証など2種類以上の認証を用いる「多要素認証」を導入することも効果的です。
多要素認証を利用すれば、万一IDやパスワードが漏れても、アカウント乗っ取りや情報漏洩といった被害を防ぐことが可能です。
企業におけるフィッシング詐欺対策
フィッシング詐欺対策は企業・組織にとっても、昨今欠かすことのできないセキュリティ課題の一つです。企業におけるフィッシング詐欺対策を4つご紹介します。
1.セキュリティポリシーの策定と、体制の見直し
2.従業員の教育と訓練
3.フィッシング詐欺対策に優れたセキュリティソフトやサービス
4.社内で利用しているサービスやソフトウェアの設定見直し
1.セキュリティポリシーの策定と、体制の見直し
社内のIT機器や情報資産をどのように運用していくのかについて取り決めたルールを「セキュリティポリシー」と呼びます。
これを定めておくことで、セキュリティポリシーから逸脱した行動を発見した管理者は、速やかに初動対応に移ることが可能になります。
未然に被害を防止しやすくなることはもちろん、万が一被害に遭った場合には、被害を最小限に食い止めることにもつながります。
2.従業員の教育と訓練
フィッシング詐欺への対策として、従業員のセキュリティ教育や訓練も欠かすことができません。先述した「セキュリティポリシー」の順守をはじめ、フィッシング詐欺への社員理解を深めることが大切です。
- フィッシング詐欺メールやWebサイトの特徴・見分け方
- 安易にURLや添付ファイルをクリックしない心構え
- 万一、フィッシング詐欺に引っかかった場合のアクション
などの項目に関し、セキュリティ研修やメール訓練を通じて、習得を促します。
3.フィッシング詐欺対策に優れたセキュリティソフトやサービス
フィッシング詐欺対策に有効な、セキュリティソフトウェアやサービスを利用するのも1つの手段です。
効果的なソリューションの例として
- 不正サイトや迷惑メールをブロックする、フィルタリングサービス
- マルウェアの侵入をブロックする、ウイルス対策ソフト
等があげられます。
また、Webサイトやアプリケーションを公開する立場であれば、それらがフィッシング詐欺に悪用されないため、Webサイトやアプリの脆弱性をプロフェッショナルが検出し対策を提案する「セキュリティ診断(脆弱性診断)」を受けることも有効です。
4.社内で利用しているサービスやソフトウェアの「設定」見直し
社内で現在使用している、IT機器やアプリケーションの設定を見直し、セキュリティの穴を塞ぐ作業も必要です。
- アカウントを盗まれてもログインできないよう「多要素認証」を導入する
- OSやソフトウェアを最新の状態へアップデート・パッチ適用をする
- クラウドや重要なファイルへのアクセス権限を見直す
例えば、マイクロソフトが提供するクラウドサービス「Microsoft 365」では、フィッシング詐欺に対処するための、最適な利用設定(ポリシー)を提供しています。
このように、各サービスにてセキュリティポリシーを提示しているケースも多いため、内容に準拠し現在の設定を定期的に見直すことを心がけましょう。
万一、フィッシング詐欺にあってしまったら?
万が一、フィッシング詐欺の被害に遭ってしまった時は、冷静に状況を整理しつつ、以下の手順で対応に移ることが重要です。
1.社内や関係者への速やかな報告
2.パスワードの変更とアカウントの不正利用がないかの確認
3.クレジットカード会社や銀行への問い合わせ
4.被害状況・影響範囲の確認
5.復旧と再発防止策の検討
また、具体的な被害状況ごとに必要な対処法を以下で解説します。
クレジットカードを不正利用されてしまった場合
もしもクレジットカードが不正に利用されてしまった場合には、以下の対処法を行うようにしましょう。
・契約しているカード会社に連絡して、利用停止手続きを行う
・警察に被害届を提出する
・不正利用に対する補償申請を行う
契約しているカード会社に利用停止手続きをお願いすると、利用停止を行うだけでなく、本当に不正利用なのか、という調査が行われます。
不正利用だと認められた場合には、速やかに不正利用に対する補償申請を行いましょう。
補償申請には警察に被害届を提出する必要がありますので、忘れずに行うようにしてください。
インターネットバンキングから不正に金銭を引き出された場合
自身のインターネットバンキングから不正に金銭を引き出されてしまった場合には以下の対処を行うようにしましょう。
・金融機関に連絡する
・アカウント情報を変更する
・警察に被害届を提出する
・不正利用に対する補償申請を行う
不正送金や不正出金に気付いたら、被害額に関係なく、金融機関に速やかに連絡するようにしましょう。
また、被害を拡大させないために、インターネットバンキングのアカウント情報も変更するようにしてください。
クレジットカードの場合と同じく、インターネットバンキングにおいても不正利用に対する補償が存在します。
そのため、被害に気付いたらなるべく早めに申請することをおすすめします。
ただし、銀行側が注意喚起していたにも関わらず、注意喚起された手口によってID・パスワードを入力してしまうなど、当人に過失があった場合は補償が減額される可能性がありますので、注意してください。
フィッシング詐欺対策ならLANSCOPEEプロフェッショナルサービスにおまかせください
「LANSCOPE プロフェッショナルサービス」では、フィッシング詐欺をはじめとするサイバー攻撃に有効な、手厚いセキュリティソリューションを提供しています。
1.セキュリティ診断(脆弱性診断)
2.クラウドセキュリティ診断
2種類のソリューションについてご紹介します。
「脆弱性診断」なら自社ネットワークやシステムの脆弱性対策が可能
1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「セキュリティ診断(脆弱性診断)サービス」です。
万一、フィッシング詐欺に引っかかった場合、自社のネットワークやシステムにセキュリティの脆弱性があれば、感染や不正アクセスを容易に受けてしまいます。
セキュリティ診断を受けることで、組織のセキュリティ上の課題や欠陥を洗い出し、フィッシング詐欺を含むサイバー攻撃に対し、「いま自社に不足している必要なセキュリティ対策」に重点を絞って対処が可能です。
また組織であれば、自社がフィッシング詐欺の加担者(踏み台)にならないため、自社Webサイトやアプリケーションの脆弱性に対策することも大切です。弊社のセキュリティ診断であれば、それらのセキュリティ上の弱点を洗い出し、セキュアなサイトやアプリケーション構築を支援します。
万が一、フィッシング詐欺被害にあった際、被害を最小限に抑える対策として、弊社の「ペネトレーションテスト」も有効な手段です。ペネトレーションテストでは実際の攻撃を想定した「模擬攻撃」を仕掛けることで、システムの脆弱性や対策レベルを図ることができます。
「クラウド診断」なら Microsoft 365 や Salesforce のフィッシング対策も含めた設定全般の見直しが可能
2つ目にご紹介するのが「クラウドセキュリティ診断」です。
近年、Microsoft 365 や Salesforce 等、クラウドサービスを悪用した、不正アクセスや情報漏洩事故が後を絶ちません。これらクラウドを発端としたサイバー被害の原因の多くが「アクセス権限の設定不備」や「ログイン設定の脆弱性」に起因します。
クラウドセキュリティ診断であれば、Microsoft365 やAWS・salesforce といった、ご利用中のクラウドにおける設定不備を専門スタッフが改善。
多要素認証の導入・アクセス権限の制限などを強化することで、仮にフィッシング詐欺経由でIDやパスワードが搾取された場合も、不正アクセスできない体制を整えることが可能です。
まとめ
「フィッシング詐欺」をテーマに、その手口や詐欺の事例・対策などをご紹介しました。
この記事をまとめると
- フィッシング詐欺とは、送信者を偽った電子メールやSMS、本物にそっくりな偽サイトなどを悪用し、ターゲットの個人情報を盗み取るサイバー攻撃の手口
- フィッシング詐欺の主な手口として、電子メールやSMS(スミッシング)、SNSを活用したものなどが挙げられる。
- フィッシング詐欺事件は増加傾向にあり、2023年の1年間に報告されたフィッシング詐欺の件数は119万6390件で、過去最悪となった
- 特徴として「個人情報を要求する内容」「緊急性を促す内容が多い」「送信元のメールアドレス・リンク先のURLが公式のものと少し異なる」等が見られる
- 有効な対策として「ドメインを確認する習慣づけ」や「メール訓練の実施」「(万一に備えた)多要素認証の導入」などがある
今なお猛威を振るうフィッシング詐欺の被害に遭わないためにも、自社のセキュリティ体制を見直し、従業員の「不審なメールやWebサイトに注意する」意識の醸成を図ることが大切です。本記事が少しでもお役に立てれば幸いです。
