フィッシング詐欺の意味とは?手口・被害事例やセキュリティ対策を解説
- 「フィッシング詐欺」とは、どのようなサイバー攻撃ですか?よく耳にするのですが、具体的にどのような詐欺なのかわかりません。
- フィッシング詐欺とは、電子メールなどでなりすましのサイトに誘導し機密情報を盗んだり、金銭を要求したりする悪質なサイバー攻撃のひとつです。
- 怪しい電子メールに注意すれば良いんですね。それなら社内で教育していますし、騙される心配はなさそうです。
- いえいえ、実は電子メールだけではありません。サイバー攻撃は、日々新たな手口で企業を狙っているんです。被害に遭わないためには、フィッシング詐欺を正しく理解することが大切ですよ。
フィッシング詐欺は、日常業務のコミュニケーションツールとして利用頻度の高い「メール」を中心にねらいます。
しかし、その手口は高度化ならびに多様化しており、被害を受ける企業が近年増加しているため、十分な警戒が必要です。
そこで今回は、中小企業をフィッシング詐欺から守るための基礎知識から対策まで解説します。
フィッシングとは?知っておきたい基礎知識
ITの専門用語を苦手とする社員にセキュリティの重要性を理解してもらうときには、身近な話題を使うと効果的です。
そこでまずは、フィッシング詐欺の理解を深めるために基礎知識を解説します。
フィッシングは英語でPhishing、釣りを語源とする詐欺の手口
フィッシングという言葉を聞くと、魚釣りの「フライフィッシング」を思い浮かべませんか?
フライフィッシングは昆虫に似せた毛ばりのフライを使って、獲物の魚を騙して釣り上げます。
同様に紛らわしい件名のメールなどで利用者を騙して、大切な情報を引き出して盗む悪質行為がフィッシング詐欺です。
個人はクレジットカード、法人はID、パスワードなどの情報が盗まれる!
個人のスマートフォンに日々届く迷惑メールに、うんざりしている方も多いのではないでしょうか。
また高齢者に電話をかけるオレオレ詐欺は社会問題化していますが、そのIT版が「フィッシング詐欺」です。
個人向けのフィッシング詐欺は、主としてクレジットカードなどの情報を盗んでお金を盗むことをねらいとしています。
しかし、企業の場合はIDやパスワード、企業が保有している機密情報や顧客リストなどを盗み、情報を人質にして身代金を要求するようなケースがあります。
盗んだ情報を漏えいさせることにより、企業の社会的な信頼を失墜させるねらいもあります。
中小企業にとって、大企業からの受託は大きなステータスで、営業拡大のために重要な役割を果たします。
しかしサイバー攻撃によって情報漏えいが起きた場合、取引停止になり事業が縮小する恐れがあるでしょう。
なりすましのトップはFacebook?被害の事例を紹介
フィッシング詐欺は、著名企業のサービスやブランドになりすまして、IDやパスワードなどの情報を盗みます。
世界的中に10億個のメールボックスを保有し、AIによるセキュリティソリューションを提供しているフランスの「Vade Secure」は、フィッシング詐欺のなりすましブランドのランキング「Phishers’ Favorites」を発表しました。
2021年のランキング首位はFacebook、前年度1位だったMicrosoftは2位になりました。
個人の利用はもちろん、Facebookページや広告を活用している中小企業は注意すべきです。
またPayPalなど金融サービスのなりすましがフィッシングサイト全体の35%を占めることから、お金を目当てに犯行に及んでいる傾向がうかがえます。
参考:2021 年のフィッシング攻撃 Top20 をまとめたレポートを発表
フィッシング詐欺を防ぐために何をチェックすべき?
一般的にフィッシング詐欺は、メール送信によって行われます。
しかし、メールだけチェックしていれば騙されないわけではありません。
では具体的に何チェックすべきか、ひとつひとつ確認していきましょう。
不審なメール
個人のスマートフォンに届くメールでもおなじみかもしれませんが、「重要」「ご確認」などの件名で送付されるメールです。
リンクから怪しいサイトに誘導するほか、添付ファイルに悪質なプログラムが組み込まれている場合などがあります。
本物と似せたログインページ
MicrosoftやAmazon、通信キャリアのサービスからのメールにみせかけて、本物とそっくりの偽のログインページに誘導します。
不正アプリや脆弱性のあるOS
モバイル端末が普及したことにより、不正アプリによるフィッシングが増加しています。
SMSやメールから、不正サイトに誘導してアプリのインストールを促します。
また、アップデートしたばかりや古いバージョンの脆弱性があるOSを利用している場合にも注意が必要です。
なりすましのWebサイト
メールに記載されたURLをクリックさせて、なりすましのWebサイトに誘導します。
このときWebサイトにアクセスしただけで、ウイルスに感染する場合があるので注意が必要です。
このようなウイルスは「ワーム」と呼ばれます。
ヘルプデスクを偽った電話
ヘルプデスクになりすまし、電話でIDやパスワードを聞き出すフィッシング詐欺もあります。
外部にサポートを依頼している場合は注意が必要です。
外部協力会社であっても、安易にIDやパスワードを電話で告げるべきではありません。
フィッシング詐欺の手口、主要な6つを解説
ここからは具体的なフィッシング詐欺の手口について、主要な6つを専門用語から解説します。
①スピアフィッシング
スピア(spear)は、「槍」の意味。
フィッシング攻撃の一種ですが、標的を定めて槍を突き刺すように攻撃します。
したがって「標的型攻撃メール」と呼ばれることもあります。
上司からの業務メール、知人からのメールを装うため注意。
添付されたマルウエアと呼ばれるプログラムを実行、不正なURLをクリックさせてWebサイトに誘導して、IDやパスワードといった情報を盗み出そうとします。
②ホエーリング
スピアフィッシングをより巧妙に使い、経営幹部や財務担当者などキーマンに絞り込んだ攻撃がホエーリングです。
「whaling」とは「クジラの捕獲」の意味であり、まさに大物を釣るための手口。
標的を特定して、業務内容はもちろんSNSから個人的な情報を収集して巧みに偽装したメールを送付します。
③ヴィッシング
ヴィッシング(vishing)は、「voice」とフィッシングをかけ合わせた造語です。
一般的にオレオレ詐欺と呼ばれる電話の詐欺は、悪意のある人間が攻撃対象者に電話をかけます。
しかし、ヴィッシングでは攻撃対象者がみずから電話をかけるように仕向けることが主流であり、リバースヴィッシングと呼ばれています。
たとえばGoogle Mapに偽りの企業と電話番号を掲載して電話をかけさせ、個人情報を聞き出すような手口です。
④スミッシング
スミッシング(Smishing)は「SMS phishing」であり、携帯電話のショートメッセージ(SMS)によるフィッシングです。
Amazonや銀行系のカードなどに似せたメッセージを送付します。
たとえば「不在のためお荷物を持ち帰りました」「料金が未払いです」といった記載からURLをクリックさせます。
⑤ファーミング
ファーミング(Pharming)は、WebサイトのIPアドレスを書き換えて、利用者を偽のホームページに転送させる手口。
ブラウザ上では正規のURLが表示されているため、なりすましと気づかずにIDやパスワードを入力する危険性があります。
⑥エモテット(Emotet)
Emotet(エモテット)は2014年に発見され、感染力と拡散力が強く、他のウイルスを拡散させるプラットフォームの役割も果たすマルウェアです。
2021年1月には一度下火になりましたが、2022年2月から被害が拡大しています。
フィッシング詐欺の対策!従業員に徹底すべきこと、管理者がやっておくこと
フィッシング詐欺は基本的にメールを媒介として行われるため、従業員それぞれが手口を理解し、メールの扱いに注意する必要があります。
もちろん中小企業の情報システム管理者としては、システム上で対策を講じておくことが必須です。
教育とセキュリティソリューションの2つの側面を踏まえつつ、フィッシング詐欺対策のポイントをご紹介します。
送信先、宛先、件名を確認、不自然な文章に注意しよう
フィッシング詐欺のメールの見分け方として、まず送信元と宛先に注目しましょう。
メールは「○○株式会社」のような表示名ではなく、ドメインを確認します。
ドメインはメールの「@(アットマーク)」以降の部分で、「co.jp」「ne.jp」「.com」など。
「.online」「.xyz」というような表示名とは違う英文にの場合は注意が必要です。
また、海外のドメインに注意しましょう。
例えば「.jp」は日本のドメインですが、「.tk」は南太平洋にあるトケラウ島のドメインです。
日本や海外の代表的なサービスでこのようなドメインを使うことはないため、なりすましを見破るポイントになります。
次に、件名や文章に注目します。
機械翻訳をかけたような、不自然な日本語になっている場合は注意が必要です。
具体的に注意すべき表現を箇条書きにします。
- 敬語が不適切
- 句読点の位置がおかしい
- 文章に不要なスペース、改行がある
- 現在では使っていない古い漢字、中国語が使われている
緊急を煽る言葉もよく使われるので、日本語はもちろん内容も落ち着いて確認しましょう。
安易にアクションを起こさない
送信元、件名、内容を確認して、催促や警告にも関わらず何が問題なのか詳細が書かれていなかったり、明らかに的外れな記載だったり、少しでも疑問を感じたのであれば絶対にアクションを起こさないことが大切です。
具体的に禁止すべきアクションには以下があります。
怪しいメールに記載されたURLをクリックしない
多くのフィッシング詐欺では、URLをクリックさせて偽装されたホームページに誘導します。
怪しいと感じたURLは、クリック(携帯電話のメールではタップ)しないことが重要です。
添付ファイルを安易に開かない
添付ファイルにも、注意が必要です。
拡張子(ファイルの「.」以降)が「.exe」になっている不審なファイルはクリックしないように気をつけてください。
クリックすると、ウイルスのプログラムが被害を及ぼす仕組みになっています。
WordやExcelのファイルにも悪質なマクロが仕掛けられている場合があるので、不審な宛先からの添付ファイルは開かないようにします。
怪しいメールに返信しない
質問されたからといってIDやパスワードを記載して、怪しいメールに返信しないこと。
「質問がよく分かりません。教えてください」と相手を信じて律儀に返信することは避けたほうが賢明です。
おかしいと感じたメールに関しては、あらゆるアクションをしないことです。
アクセス先のWebサイトでIDやパスワードを入力する前にURLを確認
仮にURL先のWebサイトを開いてしまってIDやパスワードを要求されたときには、ブラウザ上のアドレスを確認します。
ドメインがサービスとまったく違っていたり、ふだん登録時に使っているページとボタンやレイアウトの配置が異なっていたり、違和感があれば重要な情報を入力しないこと。
偽物のWebサイトはプロでも見分けが困難なほど巧妙に作られています。細心の注意が必要です。
セキュリティソリューションで防衛
人間の能力には限界があり、注意力が散漫になると騙しに乗ってしまうかもしれません。
したがって、従業員のセキュリティ意識を向上させるとともに、セキュリティのシステムで防御できる部分はあらゆる面から強化しておくことが必要です。
OSやアプリケーションを最新の状態に保つ
OSやアプリケーションは、最新バージョンにしておくことがセキュリティ対策の基本です。
フィッシング詐欺に限らず「面倒くさいからバージョンアップをしなかった」という気の緩みがないようにしましょう。
ワンタイムパスワードや二段階認証で防ぐ
パソコンのブラウザからIDやパスワードを入力したあとに、別の端末やメールアドレスに確認コードを送信して認証する「二段階認証」が一般化しました。
30秒など一定時間だけ有効で、1回だけ使えるパスワードを「ワンタイムパスワード」といいます。
クラウドサービスなどの利用に際しては、必ず認証方式を複雑にして簡単に悪用されない対策を行うことが重要です。
メールソリューションの導入
メールに特化したセキュリティ製品を使うと、誤送信の回避、メールから不審なURLへのアクセスを遮断、悪意のある添付ファイルを無効化が可能です。
フィッシング詐欺の手口はメールから始まります。まずメールのセキュリティを徹底的に強化します。
もしフィッシング詐欺に引っかかってしまったら?
サイバー攻撃は巧妙化しており、日々新たな手口が登場しています。
従業員に対するセキュリティ教育を徹底し、セキュリティソリューションを導入して万全の体制を整えても、フィッシング詐欺に騙されない可能性はゼロではありません。
では、もしフィッシング詐欺に引っかかったら、どうすべきでしょうか?
まず、悪質な添付ファイルを開いてしまった場合です。
ウイルスに感染したパソコンやネットワークを物理的に隔離します。
LANで繋がれていたのであれば感染したパソコンからLANケーブルを抜いて電源を切ります。
ネットワークを介して感染は拡大するため、物理的に使えないようにすることが重要です。
次に、金融機関やクラウド上のサービスのIDやパスワードを盗まれた場合は、すみやかにパスワードを変更して連携したアプリを解除します。
金銭的な被害、不正アクセス、脅しなどの発生時は、警察に相談することも考慮しなければなりません。
さらに社内はもちろん、取引先や顧客に状況を公開して調査を行い、被害の拡大を防ぐことが重要です。
被害状況が明らかになったときは、ホームページなどを使って注意勧告を行います。
経営者や管理者の立場では「なるべく物事を荒立てたくない」と考えるのは当然。
しかし被害を隠して問題が拡大したときには、最悪の事態になる恐れがあることを頭に入れておくべきです。
まとめ|セキュリティ教育×ソリューションによる徹底的な対策が大切!
フィッシング詐欺に騙されてしまうと、従業員個人の問題ではなく、全社的あるいは顧客や取引先も巻き込んだトラブルに発展する可能性があります。
場合によっては社会的な事件に発展します。
したがって、事前に徹底的な対策を行って、未然に防ぐことが重要です。
対策においては、従業員へのセキュリティ教育とセキュリティソリューションの活用の2つの側面から徹底します。
具体的にはフィッシング詐欺の手口を理解し、とにかく不審なメールにはアクションを起こさないことがポイント。
社員の知識不足による「うっかり」を防ぐだけで、トラブルの発生率を低下できます。
また、問題が発生した後で慌てて対応しても間に合いません。
被害が起きたことを想定して、組織体制やフローを定めておくとよいでしょう。
OFFICE110のUTM「NISG6000Std」でフィッシング詐欺を含めた総合的なセキュリティ対策を
フィッシング詐欺を防ぐためには、メールはもちろん不正な侵入を検知したり、怪しいWebサイトへのアクセスを遮断したりと、総合的なセキュリティ対策が求められます。
そこで最後におすすめするのが、OFFICE110が提供する業界最高スペックのUTM「NISG6000Std」。
アンチウイルスやアンチスパム、URLフィルタリング、ファイアウォールなどの様々なセキュリティ機能を包括しており、これ1台で企業のセキュリティ対策が実現します。
またNISG6000Stdなら月額9,800円で利用でき、複数のセキュリティソフトを導入するよりも10分の1程度のコストで済みます。
フィッシング詐欺を含め、包括的なセキュリティ対策を低コストで実現したい方はぜひお気軽にお問合せください!