• 2022.11.01 (火)
    Posted by NTT東日本

増加するフィッシング詐欺とは?注意するべきポイントを徹底解説

フィッシング詐欺は実在する企業や公的機関になりすまして、メールやSMSを送信することで、受信者を偽のフィッシングサイトに誘導しパスワードやクレジットカード情報を盗み取ります。近年は、コロナ禍に便乗したフィッシング詐欺などが増加しており、警察なども注意を呼びかけています。被害にあわないためにも必要な対策や、万が一被害を受けた場合の対処について紹介します。

面倒な手間をかけずにパソコンやタブレットなど
複数の端末の情報セキュリティ対策をするポイントも紹介!

「おまかせアンチウイルス」の資料をこちらからダウンロードできます

資料をダウンロードする(無料)別ウィンドウで開きます

1.フィッシング詐欺とは

フィッシング詐欺はインターネット上で、ユーザー名やクレジットカード情報などを奪うための詐欺行為です。英語ではphisingと表記され、釣りを意味するfishingから変化した造語と言われています。

①フィッシング詐欺の現状

フィッシング詐欺はインターネットの普及と共に、その被害も拡大しています。フィッシング対策協議会の情報によると、20218月の1ヶ月で53千件の被害が報告されています。報告件数の24.8%は大手ECサイトのAmazonを装ったもので、その次に多いのが金融機関のなりすましです。

②フィッシング詐欺の被害発生の流れ

フィッシング詐欺は一般的に以下の流れで発生します。

  1. 1.金融機関等を名乗る送信元からのメール
  2. 2.ワードの期限切れ」などと危機感を煽るような文言を本文に記載
  3. 3.メール内のURLをクリック
  4. 4.遷移先ページ内で既存のパスワードを入力
  5. 5.パスワード情報が流失
  6. 6.流失したパスワードを攻撃者が不正利用

攻撃者によって14の内容はさまざまです。金融機関だけでなく、大手ECサイトや官公庁へのなりすましも行われます。またメール本文も偽の購入完了通知やアカウントロックなど、あらゆる内容で攻撃者はフィッシングサイトへの誘導を試みます。

2.フィッシング詐欺の手口と種類

画像_フィッシング詐欺の手口と種類

世の中に普及する技術の進化に伴って、フィッシング詐欺の手口も種類が増えています。ここでは代表的な5つのフィッシング詐欺について紹介します。

①スピアフィッシング

スピアフィッシングは特定の組織や個人などを標的にした攻撃です。攻撃者は事前に攻撃対象となる組織・個人に関する情報を集めます。たとえばメールアドレス、取引先やSNSアカウントなどです。このような情報から行われる攻撃は、詐欺メールと気づきにくいだけでなく、攻撃を受けたことにすら気づけません。

②ビッシング

ビッシングはVoicePhishingを掛け合わせた造語で、音声通話を利用したフィッシングです。ビッシングではメール経由で、偽の電話番号を知らせます。その電話番号にかけると、金融機関などを偽装した音声応答システムが流れ、そのやりとりの中で個人情報が盗み取られます。

③スミッシング

スミッシングはSMS(ショートメッセージサービス)を利用したフィッシングです。攻撃者は金融機関などと偽り、URL付きのメッセージをSMSで送ってきます。URLをクリックすると実在のサイトに似せたサイトに誘導され、ユーザー名やパスワードの入力を求められます。ここで入力を一度送信してしまうと、個人情報が流失してしまうのです。スミッシングには他にも、宅配業者の不在通知や通信事業者のお知らせになりすました手口があります。

④ホエーリング

ホエーリングはスピアフィッシング攻撃を利用して、経営幹部など組織の重要人物を狙う攻撃です。経営幹部は一般従業員に比べて重要度の高い情報を持っていることから、鯨に例えたホエーリングと呼ばれます。アメリカでは企業のCEOを対象に、米連邦捜査局(FBI)からの召喚状に見せかけたメールが送信され、その結果2000人近くの個人情報が流失したこともあります。

⑤BEC

BECはBusiness Email Compromiseの略で、ビジネスメール詐欺と訳されます。取引先や経営者からのメールを偽装して、金銭などの送金を誘導するフィッシング詐欺です。BECではさまざまな手段で、普段の業務で使われているメールを事前に盗み取ります。この情報を用いて実際に行われている手順そっくりのメールを作成し、攻撃者は不正送金や金銭搾取の実行を試みます。

3.フィッシング詐欺の事例

典型的なフィッシング詐欺事例を知ることは、詐欺に対する注意力の向上につながります。ここではメールとサイトそれぞれの事例について紹介します。

①フィッシングメールの事例

フィッシングメールは本文の内容やリンク先に応じて4つに分けることができます。

(1)設定確認

「サービスで新しい機能がリリースされました」など、利用しているサービスの設定確認を装ったメールです。攻撃者はメール内のURLから偽サイトに誘導し、被害者にログインをさせようと試みます。金融機関のサイトのようにログインを都度求められる場合、サービス利用者にとってパスワード入力は日常的な動作です。そのためログインを誘導されても疑うことなく、詐欺サイトに情報を入力してしまうのです。

(2)アカウントロック

「パスワードの有効期限が切れました」などと偽り、設定確認のパターンと同様に、被害者をログインに誘導します。中には数時間以内に変更しないとアカウントをロックするなど、脅迫的な文言を入れるケースも見られます。脅迫的な内容で受信者に心理的なプレッシャーを与え、正常な判断を鈍らせるのです。

(3)購入確認

ECサイトで商品購入後の確認通知を装ったメールが送られてきます。受信者は購入の心当たりがないため、商品購入キャンセルを試みようとします。その隙を狙って攻撃者は偽サイトに誘導を行い、ユーザーIDやパスワードを盗み取るのです。

(4)偽のHTMLメール

企業からのサービスのプロモーションや情報発信はHTMLメールの形式で送られてくることも増えてきました。HTMLメールは画像や文字の装飾など、Webサイトのデザインに似た作りになっています。そのため、ぱっと見でどのサービスからのメールなのか判別がつきやすいものです。

しかしフィッシング詐欺では、HTMLメールも偽装します。特定の企業から送られてくるHTMLメールと同一の装飾を施すのです。受信者が注意深くメール確認しないことを見越して、攻撃者はメール内に偽サイトのリンクを仕掛けます。

②フィッシングサイトの事例

フィッシング詐欺で送られてくるSMSやメールに記載のURLをクリックすると、フィッシングサイトに遷移します。ここでは代表的なフィッシングサイトの2つの手口を紹介します。

(1)有名サービスや公的機関へのなりすまし

フィッシングサイトは訪問者に気づかれないように、有名サービスや公的機関の偽サイトを作成します。大手ECサイトなど何千、何万ページにも及ぶサイトであっても、攻撃者はプログラムを用いコピーサイトを巧妙に作成します。このようなサイトではログインフォームなど一部の箇所だけが情報を盗む目的で改竄されているのです。

(2)SNSの「いいね」や連携サービスへのログイン誘導

フィッシングサイトにはWebアプリの形式で、FacebookLINEのアカウントで認証を求めてくるものもあります。SNSの友達との友好関係が可視化されるアプリ、SNSにログインすることで全文が読めるようになるゴシップ記事など。人々の好奇心を掻き立てる情報がSNSのフィードなどに流し、SNS認証を誘導します。一度認証をしてしまうと、そのアプリ経由でSNSが不正操作されるのです。

4.フィッシング詐欺に引っかからないための対策

画像_フィッシング詐欺に引っかからないための対策

フィッシング詐欺の被害に遭わないためには、個人のITリテラシーが非常に大切です。ここではフィッシング詐欺被害を避ける上で代表的な6つの対策を紹介します。

①URLやドメインの確認

URL・ドメインは運営者固有のものであり、攻撃者が同一のURL・ドメインを用いてサイトを運営することはできません。そのためどんなに巧妙な手口であっても、ブラウザのURLバーから、本物かどうか判別ができるのです。

②電子証明書(SSL証明書)の確認

URLやドメインはドメイン管理企業と契約が切れると、他の人の手に所有権が移ることもあります。このような場合、ドメインの所有権を確認する手段の一つとして、SSL証明書の確認があります。ブラウザのURLバーの鍵マークをクリックすることで、所有権を承認した第3者機関と、所有組織を確認できるのです。

一般的にSSL証明書が発行され、httpsで始まるサイトは安全と思われがちです。しかし偽サイトであっても最近ではhttpsで始まるサイトが増えているので、その点は注意は必要しましょう。

③メール・SMSの送信元の確認

一般的にメールの送信元にはメールアドレスと、その末尾にドメインが記載されています。フィッシング詐欺では、送信元も本物のドメインと数文字違いのものが利用されます。しかし同一のものを攻撃者が利用することは、ドメインの所有権が攻撃者に渡らない限り起こり得ません。

一方SMSはメールに比べて情報量が少なく、送信元の判別がしづらいです。ここ数年では大手宅配業者を偽り、再配達依頼を装い偽サイトに誘導、個人情報を盗みとる手口が増えています。SMSの場合は、本文に記載のURLを必ず目視で確認し、正しいものかどうか公式サイトなどで確認の上、クリックをするようにしましょう。

④メール中のリンククリックの回避

アカウント登録やパスワードの再発行などで、利用者にメールを送信されることはよく行われます。上記のように自分がインターネット上で操作を行い、その直後に送られてきたメールであれば、フィッシング詐欺である可能性は低くなります。

しかし自分の行動に紐づかず、一方的に送られてきているメール内のリンクについては注意が必要です。このようなメールの場合、日常的に利用しているサービスであっても、メール内のリンクは開かないことを推奨します。ブックマークへの登録や、ブラウザバーに直接URLを入力するなどして、メール内のリンクをクリックすることは日常的に避けるようにしましょう。

⑤Webブラウザのフィッシング対策機能

近年のWebブラウザはフィッシングサイトに遷移すると警告を発してくれる機能があります。ブラウザ運営企業はフィッシングサイトのデータベースを持っています。それに照合させる形でフィッシングサイトの検知が行われるのです。

⑥セキュリティソフトの導入

セキュリティソフトにはブラウザのフィッシング検知と同様の機能をもつものがあります。セキュリティソフトの場合は、ブラウザよりも強固にファイルダウンロード時のフィルタリングなどの制御が行えます。フィッシングサイト遷移後のマルウェア強制ダウンロードを防止する上でも、セキュリティソフトの導入は必須の対策です。

5.フィッシング詐欺への対処

万が一、フィッシング詐欺被害にあってしまった場合、すみやかな対処が非常に重要です。フィッシング詐欺に気づいた場合の3つの対処法について説明します。

①銀行やクレジットカード運営会社への連絡

クレジットカード情報や銀行の口座情報が流失した場合、すぐに運営元の金融機関に連絡しましょう。金融機関ではフィッシング詐欺の被害拡大を防ぐために、該当のクレジットカードや口座のアカウントを即座に停止してくれます。

金融機関では不正利用されないようにシステムを堅牢に作っています。万が一不正利用が発生した場合は、その被害を金融機関が補填してくれる可能性も考えられます。

②パスワードの変更と強制ログアウト

サービスのユーザーIDとパスワードが流失した場合、そのサービスにログインしてパスワードの変更を行いましょう。大手SNSなどでは強制ログアウトの機能も備わっています。攻撃者が万が一すでにアカウントを乗っ取っていても、強制的に利用を止められる可能性もあります。

またパスワードに関して、他のサービスでも同じものを利用している場合は、すべて変更しておくことが無難です。パスワードリスト攻撃では流失したパスワードを一覧化して、さまざまなサービスでログインが試みられます。被害を最小限に止めるためにも、一度外部に漏えいしたパスワードは使わないようにしましょう。

③都道府県警察サイバー犯罪相談窓口

フィッシング詐欺については各都道府県警にサイバー犯罪報告の窓口が設置されています。窓口では金融情報やアカウント情報に限らず、フィッシング詐欺に関するさまざまな対応についてアドバイスをもらえるのです。警察も犯罪抑制のため、情報提供は非常に重要視しています。万が一フィッシング詐欺の被害にあった場合は、できるだけ早く警察にも被害届の提出と相談を行うようにしましょう。

6.まとめ

フィッシング詐欺はメールやSMSを利用している誰もが被害を受ける可能性があります。被害を避けるためにも、フィッシング詐欺の手口や種類を個々人が理解し、普段から注意することが重要です。

NTT東日本の「おまかせサイーみまもり」は、フィッシング詐欺の予防に役立ちます。ぜひ自社のサイバー攻撃対策を検討する際に、ぜひご覧いただければと思います。

  • おまかせサイバーみまもり

    セキュリティのプロが通信を監視・サポート「おまかせサイバーみまもり」

  • お申し込み

    NTT東日本ビジネス向けストアで、いますぐ、簡単にお申し込みいただけます。

  • ご相談・お問い合わせ

    料金詳細、導入にあたり不安なことなど、いつでもお気軽にご相談ください!

    お電話でのお問い合わせ

    受付時間:平日9:00~17:00(年末年始を除きます)

    フォームでのお問い合わせ

    お問い合わせフォーム別ウィンドウで開きます

ページの先頭へ

おまかせアンチウイルスEDRプラス・おまかせアンチウイルスのトップに戻る

おすすめコラム

  • おまかせクラウドアップセキュリティ

    クラウドメール、クラウドストレージ上でセキュリティ脅威を検知・遮断する機能に加え、導入支援をセットでご提供。
    セキュリティサポートオプションの追加でセキュリティレポートのご提供やウイルス感染時の駆除支援等もご利用いただけます。

    おまかせクラウドアップセキュリティ
  • おまかせサイバーみまもり

    不正な通信を検知・遮断する機器に加え、社内ネットワークのモニタリング、ウイルス感染時の駆除・復旧支援を提供。

    おまかせサイバーみまもり

ページ上部へ戻る