ネット上ではさまざまなサイバー攻撃があるが、未だに被害の報告があとを立たないのがフィッシング詐欺だ。
正規のサービスなどをよそおったメールで、偽のWebサイト(フィッシングサイト)に誘導させ、クレジットカード情報やログイン情報(IDとパスワードなど)を盗み出す詐欺のこと。ちなみに、スペルは「phishing」。
誘導するフィッシングサイトは、銀行やクレジットカード会社、オンラインゲームなどのオンラインサービスなど。また、すぐにアクセスしないといけないと思わせるように、危険をアピールしたり、至急の対応をうながすような文面が使われることが多い。
一昔前は、日本語のフィッシングメールは少なく、あっても文章が不自然なものばかりで、すぐに怪しいと気づくことができた。しかし、最近はかなり違和感のない文章が多く、誘導先のサイトもロゴや文言などを本物そっくりにしてあるケースが少なくない。これからは悪意のある攻撃者が機械学習を使って、多くのデータを採取・統合し、ソーシャル エンジニアリング力を強化してくるおそれもあるとマカフィーは警告している。
フィッシング詐欺の見分け方は、とにかく用心することが第一。メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならWebアドレスが正規のものであるかどうかなどを確認するのは基本。不自然な文章ではないか、身に覚えのある内容なのかもチェックしたい。
あわててすぐにアクションを起こすのではなく、時間を置いてから、再度メールを見直すのもよいだろう。たとえば相手は金融機関を名乗っているのなら、本当にメールで個人に連絡する取り組みをしているのか、連絡先を調べて問い合わせてみるのも有効といえる。もちろん、セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのも大事だ。
それでも、フィッシング詐欺の被害に遭ってしまったとしたら? もしくは、友人や職場の人間、もしくは家族などがフィッシング詐欺の被害に遭い、助けを求められることがあるかもしれない。そうなったら、あなたは「何をすればよいのか」知っているだろうか。
被害に遭わないことが一番のぞましいのは当然だが、被害に遭ったときに何をするべきかを知っていれば、いざというときに対応や助言ができるだけでなく、新しいパターンの攻撃が流行した際の心のそなえになるはずだ。
今回は、フィッシング詐欺を見抜くコツと対策を伝授しよう。McAfee Blogから「フィッシング詐欺とは?これで安心!詐欺を見抜くコツと対策のすべて」を紹介する。
フィッシング詐欺とは?これで安心!詐欺を見抜くコツと対策のすべて
「フィッシングに注意」と良く言われますが、フィッシングとは詐欺の手口のひとつ。現実の生活でも詐欺まがいの手口が多いですが、インターネット上でもユーザーを巧妙に誘導する詐欺が非常に多くあります。うっかり騙されてしまうと、クレジットカード情報など大切な情報を盗まれ、それを悪用されてしまいます。ここでは、フィッシングの手口、対策方法を紹介していきます。
目次
1.フィッシング詐欺とは
フィッシングとは、インターネットの世界で行われる詐欺の一種で、正規のサービスなどのふりをしたメールで偽のWebサイト(フィッシングサイト)に誘導させ、クレジットカード情報やログイン情報(IDとパスワードなど)を盗み出す行為です。エサで魚を釣るようにユーザーを詐欺サイトに誘導することからフィッシングと呼ばれますが、そのスペルは「fishing」ではなく「phishing」と表記します。
クレジットカード情報もログイン情報も、ともにインターネットの世界で「身分証明書」となる重要なものです。クレジットカード情報があれば、本人になりすまして様々なオンラインショップで買い物ができますし、有料サービスへの登録もできます。ログイン情報も第三者の手に渡れば、サービスを自由に利用されてしまいますし、ログインパスワードを変えられてしまったら、もはやサービスを解約することもできなくなります。
2.フィッシング詐欺の手口
フィッシングの目的は、クレジットカード情報やログイン情報といった、ユーザーが持つ重要な情報の搾取です。こうした情報は闇市場で販売できるので、より多くの情報を盗むために不特定多数を標的とします。しかし、特定の個人や企業が持つ情報を標的としたフィッシングもあり、これは「スピアフィッシング」と呼ばれます。この場合は、より巧妙な手口を使用します。
フィッシングの多くは「フィッシングメール」と呼ばれるメールを使用しますが、最近ではスマートフォンのメールに特化したものや、SNS(ソーシャルネットワークサービス)のメッセージ機能を悪用したり、色々な人が書き込みを行える掲示板サービスを悪用するケースもあります。インターネット上の様々な場所にワナが仕掛けられているのです。
フィッシングでは、何とかしてユーザーをフィッシングサイトに誘導しようとします。誘導するフィッシングサイトは、銀行やクレジットカード会社、オンラインゲームなどのオンラインサービスがその多くを占めます。また、すぐにアクセスしないといけないと思わせるような、人間の心理を利用する文面が使われます。具体的な例を見ていきましょう。
2-1.フィッシングメールの例
2-1-1 設定確認型
・新たなセキュリティ対策を導入したと連絡が来る
「情報漏えい事件が多発していることから、新たなセキュリティ対策を導入しました」として、設定を有効にするためにリンクからログインするよう促すものです。「二要素認証を導入した」など、具体的な名称を使用するケースもあります。
※文面例:LINE をかたるフィッシング (2018/02/20)
出典:フィッシング対策協議会 フィッシングに関するニュース
・パスワードが簡単すぎると指摘される
「システムのテストにより、あなたのアカウントのパスワードは簡単すぎ、安全面で問題がある」として、パスワードを変更するためにリンクからログインするよう促すものです。サービス側が、すでに利用しているユーザーに対してパスワードの強度を調べることはありません。
※文面例:LINE をかたるフィッシング (2017/10/30)
出典:フィッシング対策協議会 フィッシングに関するニュース
2-1-2 アカウントロック型
・第三者によるアクセスが確認されたと連絡が来る
「当サービスに第三者によるアクセスを確認したため、お客様の登録IDを暫定的に変更した」として、リンクをクリックしてパスワードを再設定させようとするものです。パスワードを暫定的に変更したのに、リンク先でIDとパスワードを入力させようとするので、冷静に考えればおかしいことです。
※文面の例:MUFG カードをかたるフィッシング (2017/12/18)
出典:フィッシング対策協議会 フィッシングに関するニュース
・アカウント情報に誤りがあると指摘される
「アカウントの登録情報に誤りがある」として、登録情報を変更するためにリンクからログインするよう促すものです。「24時間以内に変更しないとアカウントがロックされる」と脅すケースも確認されています。登録情報の何が誤りなのか、具体的に書かれていないことがポイントです。
※文面例:Amazon をかたるフィッシング (2017/08/21)
出典:フィッシング対策協議会 フィッシングに関するニュース
・プロダクトキーが第三者に利用されていると連絡が来る
マイクロソフトの「Office」を使用するために必要な「プロダクトキー」が、第三者に使用されている可能性があるとして、「検証作業」のためにリンクからログインさせようとするものです。このケースも「24時間以内にログインしないとプロダクトキーの権利がなくなる」として、ユーザーの不安感をあおります。
2-1-3 購入確認型
・購入確認のメールを装う
ショッピングサイトで商品を購入した際に送信される「購入確認」のメールを騙るものです。実際の購入確認メールと同様にHTMLメールで送られてきます。受け取ったユーザーは「心当たりがない」として「キャンセルはこちらから」というリンクをクリックしてしまいます。ユーザーの心理を突いたケースといえます。
※文面の例:Apple をかたるフィッシング (2017/08/24)
出典:フィッシング対策協議会 フィッシングに関するニュース
2-2.本物そっくりのサイトに誘導
フィッシングメールのリンクをクリックすると、本物とまったく同じサイトが表示されます。これは、サイバー犯罪者向けに提供されている、Webページを丸ごとコピーできるツールを使用しているためです。そのため、見た目は本物のWebページとまったく同じです(入力項目が増えているケースもあります)。
しかし、そのWebページがあるのは本物のWebサイト(Webサーバ)ではなく、サイバー犯罪者が用意したWebサイトにあるのです。そのため、フィッシングサイト上で入力した内容は、サイバー犯罪者の手に渡ってしまいます。
3.フィッシング詐欺に引っかからないために
3-1.フィッシング「メール」を見抜くためのポイント
フィッシングは、「このままではサービスが利用できなくなる」あるいは「このままではお金を支払わされる」などと思い込ませることでユーザーを動揺させ、リンクをクリックさせて重要な情報を盗み出そうとします。まずは落ち着いて冷静になることが大事です。不安を感じたときには、次のポイントを確認してみましょう。
3-1-1 本当に、あなた宛のメールですか?
設定変更が必要になるような重要なメールが届いたら、まずはメールの宛先や件名、本文に自分の氏名があるかどうかを確認しましょう。通常、サービス側から設定変更などを求めるメールには、ユーザーの氏名や会員番号などが記載されます。重要なメールなのに、それらの記載がない場合は怪しいメールと考えられます。なぜなら、フィッシングを行うサイバー犯罪者は、メールアドレスしか知らないことがほとんどだからです。
3-1-2 送信元を確認しましょう
メールの「送信者」の表示は、実は自由に書き換えることができます。そのため、送信者のメールアドレスが正しいからといって信じてしまうのは禁物です。パソコンの場合は、メールのヘッダ情報を確認することで、ある程度メールの信頼性をチェックできます。メールソフトからヘッダ情報を開きますが、実はほとんどの項目が偽装できます。しかし、「Received」の項目が異常に多い場合や、項目のURLにカッコがついている場合は、偽装の可能性が高いといえます。
3-1-3 メールに入力エリアがあるものは無視しましょう
サービス側からのメールは、利便性を意識してかHTMLメールが増えています。フィッシングメールにもHTMLメールが多くありますが、IDやパスワードなどの入力エリアがメールに表示される場合は、フィッシングを疑うべきでしょう。特に銀行やクレジットカード会社からのメールでは、入力エリアが表示されることはありません。
3-1-4 同じ情報があるか、Webサイトで確認しましょう
パスワードの変更や購入確認などのメールが届いたときは、メールのリンクからではなく、Webブラウザのブックマーク(お気に入り)からWebサイトにアクセスし、同じ情報が掲載されているかどうか確認しましょう。購入履歴も同様にブックマークからWebサイトを開き、そこからログインして履歴を確認します。重要な情報であれば、メールで告知するだけでなく、Webページも告知しているはずです。
3-1-5 リンク先のURLアドレスを確認しましょう
いちいちブックマークからWebサイトにアクセスするのが面倒という場合には、リンク先のURLアドレスを確認してみましょう。リンクされている部分にマウスカーソルを合わせれが、リンク先のURLアドレスが表示されますし、右クリックしてメニューから「プロパティ」を選ぶことでも確認できます。この場合、一見すると正しいURLアドレスのようでも、よく見ると文字が違っていることがあります。
3-1-6 日本語におかしいところはないですか?
数年前は日本語のフィッシングメールは少なく、確認されてもひどい日本語で、すぐに怪しいと気づくことができました。しかし、最近は日本語が上手になり、かなり違和感がなくなっています。それでも全体で見ると文章のつながりがおかしい部分があるので、そのような場合はフィッシングを疑いましょう。
3-2.フィッシング「サイト」を見抜くためのポイント
フィッシングの場合は、IDやパスワードのなどの情報を盗み出すことが目的ですので、リンクをクリックしても問題はありません。ただし、ウイルスに感染させるようなWebサイトにリンクされていることもありますので、注意が必要です。
3-2-1 入力項目を確認しましょう
フィッシングサイトは正しいサイトとまったく同じ内容が表示されますが、銀行やクレジットカード会社のフィッシングサイトでは、本来はないはずの「第2パスワード」や「秘密の質問」「乱数表」なども入力させるようになっています。こうした項目があれば、フィッシングサイトと判断できます。
3-2-2 暗号化通信になっているかを確認しましょう
IDとパスワードのみを入力するWebサイトでは、アドレスバーに鍵のマークがあるかどうかを確認します。鍵のマークは、通信が暗号化されているという意味で、SSL/TLS化やHTTPS化と呼ばれます。ただし、最近では無料でSSL/TLS化することもできるため、必ずしも安全とは限りません。鍵のマークをクリックして「証明書の表示」を選び、ドメイン名が正しいかを確認しましょう。
3-2-3 URL詐称を見破る
フィッシングサイトの中には、ホームページの表示画面に画像を貼り付けることで、あたかも正しいURLアドレスが表示されているかのように見せかける手口も確認されています。このようなときは、ページを「新しいウィンドウで開く」で開き、ウィンドウを重ねてみましょう。画像を貼り付けている場合はURLアドレス部分が浮いて見えます。
※画像イメージ:アドレスバーの画像貼り付けの確認方法
出典:三菱UFJニコス こうして見分けるフィッシング詐欺
4.引っかかってしまったときには
フィッシングと気づかずにIDやパスワードなどを入力してしまった場合は、まずはサービス側に連絡をしましょう。たいていの場合、ログイン情報を入力しても設定変更などのページが表示されないことで気づくことになりますが、気づいたらなるべく早く連絡することが大事です。
銀行やクレジットカードなど金融機関の場合は、金融犯罪に遭ってしまった場合の連絡先が用意されています。連絡先は、一般社団法人 全国銀行協会(全銀協)のWebサイトで調べることができます(「金融犯罪に遭った場合のご相談・連絡先」)。 金融機関に届け出ることで、オンラインバンキングやクレジットカードの一時停止、ログイン情報の変更、補償についての相談などが行えます。
SNSやオンラインゲームサービスなどで、フィッシングサイトにIDとパスワードを入力してしまった場合には、正しいサイトでログインし、パスワードを変更しましょう。すでにパスワードを変更されていた場合には、「パスワードを忘れた場合」から再発行を行いましょう。
また、フィッシングに遭ってしまったときには、被害の有無にかかわらず警察庁の「フィッシング110番」 や、フィッシング対策協議会に情報提供することも検討しましょう。
5.まとめ
LINEやSkype、Slackなどといったメッセンジャーベースのコミュニケーションアプリの利用が増えていますが、メールはまだまだなくならない重要なツールといえます。そのため、今後もフィッシングメールは送りつけられてくるでしょうし、他のコミュニケーションアプリへのフィッシングも増えてくると思われます。
フィッシングは、システムで守れる部分と、人が判断するしかない部分があります。ここではまとめとして、フィッシングに引っかからないために注意すべき点を挙げていきます。何よりもあわてず、冷静にメールを読み解きましょう。
1:セキュリティ対策ソフトを導入する
単なるウイルス対策ソフトではなく、複数の機能を持つ総合セキュリティ対策ソフトを導入し、最新の状態に保ちます。
2:メールの本文に自分の名前やIDが記載されているか確認する
緊急性の高いメールであっても、本文に自分の名前やIDなどが書かれていない場合は、不特定多数に送られているフィッシングメールの可能性が高いといえます。
3:メールと同じ情報があるかWebサイトで確認する
ログイン情報の変更など重要なことは、Webサイトにも同じ情報が記載されているはずです。ブックマークからサイトをチェックしましょう。
4:通常、メールから直接ログインさせることはない
特に金融系サービスでは、HTMLメールの本文にIDやパスワードの入力エリアがあるようなメールは、フィッシングと断定していいでしょう。
5:フィッシングメールに返信しない
どんなに不安にさせる内容であっても、フィッシングの疑いがあるときは返事してはいけません。
6:SNSでは知り合いからのメッセージでも慎重に対応を
SNSで、めったにメッセージのやり取りをしない相手からメッセージが届いたときは、乗っ取りの可能性もあるので慎重に対応しましょう。
著者:マカフィー株式会社 マーケティング本部
■関連サイト