2024.03.29 (Fri)
いま企業に求められる情報セキュリティ対策(第13回)
フィッシング詐欺はどうやって防げば良いのか?

偽のサイトにユーザーを誘導し、ログインIDやパスワードを盗む「フィッシング詐欺」が増加しています。どうすればフィッシング詐欺を防ぐことができるのでしょうか?
2023年のフィッシング被害額は80億円を突破
「フィッシング詐欺」とは、偽のメールや偽のサイトを利用したサイバー犯罪です。有名な企業や通販サイトを騙ったメールでユーザーを偽サイトに誘導し、IDやパスワード、クレジットカード番号などの個人情報を入力させ、データを盗み取る詐欺のことを指します。
フィッシング詐欺の被害抑制を目的とした組織「フィッシング対策協議会」の調べによると、2023年に同組織に寄せられたフィッシングの報告件数は合計119万6390件で、これは2022年の96万8832件よりも20万件以上高い数値です(数値は海外含む)。
金融庁の調査によると、最近は特にインターネットバンキングの利用者のID・パスワードがフィッシングによって盗まれ、預金が不正に送金される手口が多発。2023年の被害件数は5,147件で、被害額は約80.1億円に及んでいます。この数値は11月末時点のものですが、いずれも過去最多を更新しているといいます。
なおフィッシング詐欺の「フィッシング(Phishing)」とは、「釣り(Fishing)」と「Sophisticated(洗練された)」を組み合わせた造語であると言われています(総務省のサイトより)。
フィッシング詐欺は、どのような手口で個人情報を盗むのか?
フィッシング詐欺の手口は、基本的にはユーザーに個人情報を入力させる「フィッシングサイト(偽サイト)」と、フィッシングサイトへユーザーを誘導する「フィッシングメール(なりすましメール)」がセットとなっています。
多くのフィッシングメールには、タイトルや本文に「重要なお知らせ」「あなたのアカウントに不正アクセスがありました」といった、クレジットカード会社や銀行からの通知メールを装い、フィッシングサイトへのURLが記載されているケースが多く見られます。
Eメールのフィッシングメールの場合、送信元のアドレスをよく確認すると、アドレスがデタラメな表記であることが多く、なりすましであることは比較的判別しやすいです。しかし、携帯電話の番号だけでメールが送れるSMS(ショートメールサービス)のフィッシングメールの場合、偽物か否かを見分けるのは困難です。こうしたSMSを活用したフィッシング詐欺は「スミッシング」と呼ばれます。
フィッシングメール内のURLを誤ってクリックすると、フィッシングサイトへ遷移します。たとえフィッシングサイトを訪問したとしても、基本的にはIDやパスワードなどを入力しない限り、大きな問題はありません。すぐにブラウザを閉じれば、個人情報が盗み取られる可能性は低いです。
ただし、フィッシングサイトは本物のサイトをそのままコピーしたものが多いため、場合によっては本物のサイトと勘違いすることも十分に考えられます。ここでフィッシングサイトに個人情報を入力してしまうと、その情報は悪意のある第三者の手の元へ渡り、悪用される恐れがあります。
フィッシングメールが届かない設定にすることも可能
フィッシング詐欺に引っかからないためには、どうすれば良いのでしょうか?
警視庁では対策として、電子メールやSMS内のリンクはクリックしないこと、通信会社が提供するセキュリティ設定を活用し、フィッシングメールが届かないようにすること、たとえID・パスワードが流出しても被害が広がらないよう、サイトごとに異なるID・パスワードを使用することを挙げています。
さらに企業側に対しても、自社のサイトのドメインが悪用されないよう、メール送信者のドメインが正しいものかどうかを検証する「送信ドメイン認証技術」を導入することを推奨しています。この技術を導入することで、メール受信者は正規の送信者から送られたメールなのか否かが判定できるため、フィッシングメールの被害を未然に防ぐことが可能になります。
送信ドメイン認証技術にはさまざまな種類がありますが、特に「DMARC(ディーマーク)」という技術を導入することで、フィッシングメールを迷惑メールフォルダに隔離したり、そもそもメールボックスにフィッシングメールを到達させないことも可能になります。
フィッシングサイトと本物のサイトを見分けるのは、簡単なことではありませんが、そもそもフィッシングメールを開封せず、フィッシングサイトへ通じるリンクをクリックしなければ、フィッシング詐欺の被害に遭う恐れはありません。相手側の手口を理解し、それを防ぐ方法を知っておくことが、フィッシング詐欺に引っかからないためには重要な要素といえるでしょう。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
- 第19回 返金されない?オンラインゲームの無断課金にご注意2024.05.22 (Wed)
- 第20回 その動画、本物?偽物?ディープフェイクの脅威2024.07.11 (Thu)
- 第21回 攻撃を察知し先手を取る。「能動的サイバー防御」とは2024.07.12 (Fri)
- 第22回 悪質な通販サイトを見分けるポイントとは2024.07.12 (Fri)
- 第23回 知らぬ間にスマホが乗っ取られる「SIMスワップ」の恐怖2024.07.12 (Fri)
- 第24回 詐欺トレンド、ライブ配信を狙ったフィッシング詐欺にご注意2024.08.08 (Thu)
- 第25回 自分の個人情報が「ダークウェブ」に流出!?チェックする方法とは2024.08.08 (Thu)
- 第26回 パスワードの定期的な変更は不要!今年5月に刷新された総務省の指針を読み解く2024.08.08 (Thu)
- 第27回 あなたは見破れるか?ビジネスメールに扮した「BEC詐欺」の手口2024.09.24 (Tue)
- 第28回 頼れる存在「ホワイトハッカー」を社内で育成する方法2024.09.24 (Tue)
- 第29回 その情報、拡散しても大丈夫?災害時のニセ情報の見分け方2024.10.08 (Tue)
- 第30回 日本のセキュリティ知識は世界最下位!?どうすれば向上するのか2024.10.18 (Fri)
- 第31回 「フィッシングにご注意」のメールが詐欺だった!対策はあるのか2024.12.26 (Thu)