• 2024.3.29 (金)
  Posted by NTT東日本

増加するフィッシング詐欺とは？注意するべきポイントを徹底解説

フィッシング詐欺は実在する企業や公的機関になりすまして、メールやSMSを送信することで、受信者を偽のフィッシングサイトに誘導しパスワードやクレジットカード情報を盗み取ります。近年は、コロナ禍に便乗したフィッシング詐欺などが増加しており、警察なども注意を呼びかけています。被害にあわないためにも必要な対策や、万が一被害を受けた場合の対処について紹介します。

フィッシング詐欺はインターネット上で、ユーザー名やクレジットカード情報などを奪うための詐欺行為です。英語ではphisingと表記され、釣りを意味するfishingから変化した造語と言われています。

フィッシング詐欺はインターネットの普及と共に、その被害も拡大しています。フィッシング対策協議会の情報によると、2021年8月の1ヶ月で5万3千件の被害が報告されています。報告件数の24.8％は大手ECサイトのAmazonを装ったもので、その次に多いのが金融機関のなりすましです。

フィッシング詐欺は一般的に以下の流れで発生します。

1. １．金融機関等を名乗る送信元からのメール
2. ２．「パスワードの期限切れ」などと危機感を煽るような文言を本文に記載
3. ３．メール内のURLをクリック
4. ４．遷移先ページ内で既存のパスワードを入力
5. ５．パスワード情報が流失
6. ６．流失したパスワードを攻撃者が不正利用

攻撃者によって1〜4の内容はさまざまです。金融機関だけでなく、大手ECサイトや官公庁へのなりすましも行われます。またメール本文も偽の購入完了通知やアカウントロックなど、あらゆる内容で攻撃者はフィッシングサイトへの誘導を試みます。

世の中に普及する技術の進化に伴って、フィッシング詐欺の手口も種類が増えています。ここでは代表的な5つのフィッシング詐欺について紹介します。

スピアフィッシングは特定の組織や個人などを標的にした攻撃です。攻撃者は事前に攻撃対象となる組織・個人に関する情報を集めます。たとえばメールアドレス、取引先やSNSアカウントなどです。このような情報から行われる攻撃は、詐欺メールと気づきにくいだけでなく、攻撃を受けたことにすら気づけません。

ビッシングはVoiceとPhishingを掛け合わせた造語で、音声通話を利用したフィッシングです。ビッシングではメール経由で、偽の電話番号を知らせます。その電話番号にかけると、金融機関などを偽装した音声応答システムが流れ、そのやりとりの中で個人情報が盗み取られます。

スミッシングはSMS（ショートメッセージサービス）を利用したフィッシングです。攻撃者は金融機関などと偽り、URL付きのメッセージをSMSで送ってきます。URLをクリックすると実在のサイトに似せたサイトに誘導され、ユーザー名やパスワードの入力を求められます。ここで入力を一度送信してしまうと、個人情報が流失してしまうのです。スミッシングには他にも、宅配業者の不在通知や通信事業者のお知らせになりすました手口があります。

ホエーリングはスピアフィッシング攻撃を利用して、経営幹部など組織の重要人物を狙う攻撃です。経営幹部は一般従業員に比べて重要度の高い情報を持っていることから、鯨に例えたホエーリングと呼ばれます。アメリカでは企業のCEOを対象に、米連邦捜査局（FBI）からの召喚状に見せかけたメールが送信され、その結果2000人近くの個人情報が流失したこともあります。

BECはBusiness Email Compromiseの略で、ビジネスメール詐欺と訳されます。取引先や経営者からのメールを偽装して、金銭などの送金を誘導するフィッシング詐欺です。BECではさまざまな手段で、普段の業務で使われているメールを事前に盗み取ります。この情報を用いて実際に行われている手順そっくりのメールを作成し、攻撃者は不正送金や金銭搾取の実行を試みます。

• 

  
  フィッシング対策もおまかせ！「おまかせアンチウイルスEDRプラス」
  
  「おまかせアンチウイルスEDRプラス」の資料を無料でダウンロードいただけます。

典型的なフィッシング詐欺事例を知ることは、詐欺に対する注意力の向上につながります。ここではメールとサイトそれぞれの事例について紹介します。

フィッシングメールは本文の内容やリンク先に応じて4つに分けることができます。

（１）設定確認

「サービスで新しい機能がリリースされました」など、利用しているサービスの設定確認を装ったメールです。攻撃者はメール内のURLから偽サイトに誘導し、被害者にログインをさせようと試みます。金融機関のサイトのようにログインを都度求められる場合、サービス利用者にとってパスワード入力は日常的な動作です。そのためログインを誘導されても疑うことなく、詐欺サイトに情報を入力してしまうのです。

（２）アカウントロック

「パスワードの有効期限が切れました」などと偽り、設定確認のパターンと同様に、被害者をログインに誘導します。中には数時間以内に変更しないとアカウントをロックするなど、脅迫的な文言を入れるケースも見られます。脅迫的な内容で受信者に心理的なプレッシャーを与え、正常な判断を鈍らせるのです。

（３）購入確認

ECサイトで商品購入後の確認通知を装ったメールが送られてきます。受信者は購入の心当たりがないため、商品購入キャンセルを試みようとします。その隙を狙って攻撃者は偽サイトに誘導を行い、ユーザーIDやパスワードを盗み取るのです。

（４）偽のHTMLメール

企業からのサービスのプロモーションや情報発信はHTMLメールの形式で送られてくることも増えてきました。HTMLメールは画像や文字の装飾など、Webサイトのデザインに似た作りになっています。そのため、ぱっと見でどのサービスからのメールなのか判別がつきやすいものです。

しかしフィッシング詐欺では、HTMLメールも偽装します。特定の企業から送られてくるHTMLメールと同一の装飾を施すのです。受信者が注意深くメール確認しないことを見越して、攻撃者はメール内に偽サイトのリンクを仕掛けます。

フィッシング詐欺で送られてくるSMSやメールに記載のURLをクリックすると、フィッシングサイトに遷移します。ここでは代表的なフィッシングサイトの2つの手口を紹介します。

（１）有名サービスや公的機関へのなりすまし

フィッシングサイトは訪問者に気づかれないように、有名サービスや公的機関の偽サイトを作成します。大手ECサイトなど何千、何万ページにも及ぶサイトであっても、攻撃者はプログラムを用いコピーサイトを巧妙に作成します。このようなサイトではログインフォームなど一部の箇所だけが情報を盗む目的で改竄されているのです。

（２）SNSの「いいね」や連携サービスへのログイン誘導

フィッシングサイトにはWebアプリの形式で、FacebookやLINEのアカウントで認証を求めてくるものもあります。SNSの友達との友好関係が可視化されるアプリ、SNSにログインすることで全文が読めるようになるゴシップ記事など。人々の好奇心を掻き立てる情報がSNSのフィードなどに流し、SNS認証を誘導します。一度認証をしてしまうと、そのアプリ経由でSNSが不正操作されるのです。

フィッシング詐欺の被害に遭わないためには、個人のITリテラシーが非常に大切です。ここではフィッシング詐欺被害を避ける上で代表的な6つの対策を紹介します。

URL・ドメインは運営者固有のものであり、攻撃者が同一のURL・ドメインを用いてサイトを運営することはできません。そのためどんなに巧妙な手口であっても、ブラウザのURLバーから、本物かどうか判別ができるのです。

URLやドメインはドメイン管理企業と契約が切れると、他の人の手に所有権が移ることもあります。このような場合、ドメインの所有権を確認する手段の一つとして、SSL証明書の確認があります。ブラウザのURLバーの鍵マークをクリックすることで、所有権を承認した第3者機関と、所有組織を確認できるのです。

一般的にSSL証明書が発行され、httpsで始まるサイトは安全と思われがちです。しかし偽サイトであっても最近ではhttpsで始まるサイトが増えているので、その点は注意は必要しましょう。

一般的にメールの送信元にはメールアドレスと、その末尾にドメインが記載されています。フィッシング詐欺では、送信元も本物のドメインと数文字違いのものが利用されます。しかし同一のものを攻撃者が利用することは、ドメインの所有権が攻撃者に渡らない限り起こり得ません。

一方SMSはメールに比べて情報量が少なく、送信元の判別がしづらいです。ここ数年では大手宅配業者を偽り、再配達依頼を装い偽サイトに誘導、個人情報を盗みとる手口が増えています。SMSの場合は、本文に記載のURLを必ず目視で確認し、正しいものかどうか公式サイトなどで確認の上、クリックをするようにしましょう。

アカウント登録やパスワードの再発行などで、利用者にメールを送信されることはよく行われます。上記のように自分がインターネット上で操作を行い、その直後に送られてきたメールであれば、フィッシング詐欺である可能性は低くなります。

しかし自分の行動に紐づかず、一方的に送られてきているメール内のリンクについては注意が必要です。このようなメールの場合、日常的に利用しているサービスであっても、メール内のリンクは開かないことを推奨します。ブックマークへの登録や、ブラウザバーに直接URLを入力するなどして、メール内のリンクをクリックすることは日常的に避けるようにしましょう。

近年のWebブラウザはフィッシングサイトに遷移すると警告を発してくれる機能があります。ブラウザ運営企業はフィッシングサイトのデータベースを持っています。それに照合させる形でフィッシングサイトの検知が行われるのです。

セキュリティソフトにはブラウザのフィッシング検知と同様の機能をもつものがあります。セキュリティソフトの場合は、ブラウザよりも強固にファイルダウンロード時のフィルタリングなどの制御が行えます。フィッシングサイト遷移後のマルウェア強制ダウンロードを防止する上でも、セキュリティソフトの導入は必須の対策です。

万が一、フィッシング詐欺被害にあってしまった場合、すみやかな対処が非常に重要です。フィッシング詐欺に気づいた場合の3つの対処法について説明します。

クレジットカード情報や銀行の口座情報が流失した場合、すぐに運営元の金融機関に連絡しましょう。金融機関ではフィッシング詐欺の被害拡大を防ぐために、該当のクレジットカードや口座のアカウントを即座に停止してくれます。

金融機関では不正利用されないようにシステムを堅牢に作っています。万が一不正利用が発生した場合は、その被害を金融機関が補填してくれる可能性も考えられます。

サービスのユーザーIDとパスワードが流失した場合、そのサービスにログインしてパスワードの変更を行いましょう。大手SNSなどでは強制ログアウトの機能も備わっています。攻撃者が万が一すでにアカウントを乗っ取っていても、強制的に利用を止められる可能性もあります。

またパスワードに関して、他のサービスでも同じものを利用している場合は、すべて変更しておくことが無難です。パスワードリスト攻撃では流失したパスワードを一覧化して、さまざまなサービスでログインが試みられます。被害を最小限に止めるためにも、一度外部に漏えいしたパスワードは使わないようにしましょう。

フィッシング詐欺については各都道府県警にサイバー犯罪報告の窓口が設置されています。窓口では金融情報やアカウント情報に限らず、フィッシング詐欺に関するさまざまな対応についてアドバイスをもらえるのです。警察も犯罪抑制のため、情報提供は非常に重要視しています。万が一フィッシング詐欺の被害にあった場合は、できるだけ早く警察にも被害届の提出と相談を行うようにしましょう。

フィッシング詐欺はメールやSMSを利用している誰もが被害を受ける可能性があります。被害を避けるためにも、フィッシング詐欺の手口や種類を個々人が理解し、普段から注意することが重要です。
NTT東日本の「おまかせアンチウイルスEDRプラス」は、ウイルス侵入防御機能を備え、感染時の早期発見・早期対応まで行うサービスです。万が一ウイルス感染が疑われる際には、NTT東日本のセキュリティ人材が、調査・復旧支援を行います。
また、プロによる通信状況のモニタリングや、不正通信のブロックによって脅威から守るサービス「おまかせサイバーみまもり」も提供中です。不正なネットワーク通信を発見した際にはすぐにお客さまへ電話で連絡します。該当端末の隔離や、ウイルス駆除の遠隔サポートも可能です。さらに、サイバー保険が付帯され、調査や復旧にかかった費用の一部を補償できるのもポイントです。
ぜひ自社のサイバー攻撃対策を検討する際に、ご検討いただければと思います。

• 

  
  複数端末のセキュリティを一括管理「おまかせアンチウイルスEDRプラス」
  
  「おまかせアンチウイルスEDRプラス」の資料を無料でダウンロードいただけます。

• 

  
  セキュリティのプロが通信を監視・サポート「おまかせサイバーみまもり」
  
  「おまかせサイバーみまもり」の資料を無料でダウンロードいただけます。

ページの先頭へ

おまかせアンチウイルスEDRプラス・おまかせアンチウイルスのトップに戻る

• 
  ランサムウェアの対策とは。感染した場合の対処を徹底解説
  ランサムウェアに感染しても金銭の要求には応じないようにしましょう。金銭を支払ってもデータが復元できる...
  続きを読む
• 
  拡大するランサムウェアの脅威とは。知っておくべき手口や対策
  ランサムウェアはマルウェアの一種で、感染するとデータを暗号化、その解除を見返りに金銭の要求を行う攻撃...
  続きを読む
• 
  増加するフィッシング詐欺とは？注意するべきポイントを徹底解説
  フィッシング詐欺は実在する企業や公的機関になりすまして、メールやSMSを送信することで、受信者を偽の...
  続きを読む

• おまかせアンチウイルスEDRプラス・おまかせアンチウイルス コラム一覧へ