フィッシングメール被害の実例から学ぶ5つの対策
ECサイトや銀行などを装った詐欺メールをターゲットに送りつけ、クレジットカード番号などの個人情報を窃取しようとするフィッシングメール。この記事では、実際に送信されたフィッシングメールの事例をいくつか挙げながら、フィッシングメールの被害を防ぐためにどのような対策を行うべきかについて解説していく。
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「実例から学ぶ!フィッシングメールの被害を防ぐために必要なこと」を再編集したものです。
フィッシングメールとは?
フィッシングメールとは、なりすましメールなどを介して、ターゲットのカード情報やパスワードなどの個人情報を窃取する犯罪手法のことである。著名なECサービスや銀行などを巧妙に装ったメールをユーザーに送り、心理的な不安を煽ることで不正なWebサイトに誘導させるのが常套手段だ。フィッシング詐欺やフィッシングメール詐欺とも呼ばれる。最近ではメールに限らず、スマートフォン(以下、スマホ)のSMSを悪用したフィッシングメールも増えている。こちらはSMSフィッシングまたはスミッシングと呼ばれている。
フィッシングメールの現状
インターネットやスマホで利用できるサービスが普及したことで、フィッシングメールは増加している。フィッシング対策協議会が発表した2021年2月のフィッシング報告件数は30,949件だった。前年度3月の報告件数は9,671件となっており、1年で約3倍に急増していることがわかる。
急増の背景には、新型コロナウイルスによる、世界的な「巣ごもり」が挙げられる。在宅勤務を導入する企業も増え、ECや動画配信サービスをはじめとしたインターネットサービスも利用が増加している。こうした社会情勢の変化を受け、Amazonや楽天といった企業になりすましたフィッシングメールが横行している。
フィッシングメールの内容も年々、巧妙になっており、ユーザーの心理的な不安を煽る悪質なものも多い。フィッシングメールにより、オンラインバンキングやクラウドサービスなどで利用しているパスワードといった個人情報が詐取されてしまうと、不正ログインによって身に覚えのない請求が届くなど、さまざまな被害が起こり得るため、注意が必要だ。
フィッシングメールの被害事例
では、具体的にどのような被害が発生しているのだろうか。フィッシングメールの被害事例をいくつか紹介していく。
1)カードローン会社で不正ログインによる借入
2020年11月から12月にかけ、大手カードローン会社でSMSやメールによるフィッシング詐欺が発生した。攻撃者は被害者に対しSMSやメールを用いて、当該カードローン会社を装ったメールを送り、会員番号や暗証番号を詐取していた。このフィッシングメールにより、身に覚えのない借入などが行われていたという。
2)特別定額給付金の案内を装い詐欺サイトに誘導
新型コロナウイルスのパンデミックに便乗したフィッシングメールも横行している。特に、総務省からの連絡を偽装し、「【重要】特別定額給付金(新型コロナウイルス感染症緊急経済対策関連)」などといった、不安を煽るような件名のメールでユーザーを偽の申請フォームへ誘導し、個人情報を詐取するタイプのものが増加している。
3)従業員のフィッシングメール受信による不正アクセス
あるECサイトでは、2020年8月から9月にかけ、フィッシングメールによる不正アクセスが発生した。フィッシングメールを受信した従業員が誤って不正なWebサイトのURLをクリックし、そのサイト上のフォームでメールアドレスのパスワードを入力してしまったことがきっかけとなった。フィッシングメール詐欺の発覚後、当該メールアドレスのパスワードは変更されたものの、その間にメールサーバーが不正アクセスを受けていた。顧客情報等が外部に流出した事実は確認されていないと報告されつつも、第三者がメールを閲覧できる状況にあった。
著名な企業を騙る、フィッシングメールの実例
より具体的なイメージを持ってもらうために、実際に送信されたフィッシングメールの内容をいくつか紹介する。これらはフィッシング対策協議会が公表しているものだ。なお、ここで紹介している件名やURLはあくまで一例であって、攻撃者はユーザーの反応を見ながら、内容を日々刻々と変化させていることは頭に入れておきたい。
1)楽天に偽装したフィッシングメール
新型コロナウイルスのパンデミックによって、ECの利用が急増している。そのためECサイトに偽装したフィッシングメールも増加傾向にある。楽天を騙るフィッシングメールでは、下記のような件名とURLでメッセージが送られている。「重要」などと記載し、ユーザーの不安を煽っている。
【メールの件名】
【重要】楽天株式会社から緊急のご連絡
【サイトのURL例】
メール内のURL
http://redirect-●●●●-rakuten.com/
転送先のURL
http://account-recovery-●●●●-rakuten.com/
2)Amazonに偽装したフィッシングメール
楽天同様、Amazonも日本国内でユーザーが多いECサイトだ。そのため、フィッシングメールも多発している。Amazonを騙るフィッシングメールの件名やURLは下記のとおりである。こちらも「アカウント閉鎖」といったフレーズを用い、ユーザーを不安に陥れようとしていることが特徴だ。
【メールの件名】
今すぐあなたのアカウントを確認してください.
異常な活動-アカウントを保護して下さい。
アラート:あなたのアカウントは閉鎖されます。
あなたのアカウントは閉鎖されます。
【サイトのURL】
http://www.ama●●●●.jp/
http://www.ama●●●●.info/
http://www.ama●●●●.tokyo/
3)LINEに偽装したフィッシングメール
日本国内でユーザー数を多く抱えるLINEでもフィッシングメールが多数確認されている。文面内に利用されるURLの一部に「line」という単語が入るなど、正規のメールのように見えてしまうので気をつけたい。
【メールの件名】
・メール文面1
[LINE緊急問題]
・メール文面2
LINEアカウントのパスワードのポストを忘れましたか?
あなたのLINEアカウントはブロックされています
LINEログインネット異常[アルファベット文字列]
LINE ページ例外[アルファベット文字列]
LINE 接続できないLINE解決方法[アルファベット文字列]
LINE システムのアップグレード
LINE異常
(上記以外の件名が使われている可能性もある)
【サイトのURL例】
メール文面1: メール内のURL
https://●●●●.com/Ops.aspx?name=lines&email=●●●●&uuid=●●●●
https://●●●●.net/Ops.aspx?name=lines&email=●●●●&uuid=●●●●
メール文面1: 転送先のURL
https://●●●●.com/
https://●●●●.info/
メール文面2: メール内のURL
http://[IP アドレス]/?u=●●●●&p=●●●●
メール文面2: 転送先のURL
https://line-id-safety-center-signin-openid-pape-max-auth-age-openid.●●●●.info/
引用・出典:フィッシング対策協議会
上記からもわかるように、フィッシングメールは緊急性を煽ることでユーザーの判断力を失わせようと試みる。また、不特定多数に送付するケースが多いため、ユーザー数が多い傾向にある大手企業を騙ることが多い。しかし、漏えいしたデータベースをもとに、登録ユーザーに対してフィッシングメールを送付するようなケースも今後出てくることが想定されるので、規模の小さいサービス事業者からのメールであっても油断は禁物だ。
フィッシングメールの被害に遭わないために
フィッシングメールの被害に遭遇しないために、どのような対策をすべきだろうか。最低限、以下5つを心掛けるようにして欲しい。
1)身に覚えのないものはまず疑う
まず、身に覚えのないこと、心当たりのない内容については疑うようにすることを習慣づけたい。受信したメールについて、内容に少しでも違和感があれば、フィッシングメールの可能性があると考え、うかつに開かないこと。仮に開いた場合でも、疑念を持って内容を吟味することが重要だ。
2)慌ててクリックしない
フィッシングメールは多くの場合、緊急事態を装いユーザーを急かす内容であることが多い。このようなメールを受信したときには、慌ててクリックせず、一度冷静になることが重要だ。日常から、フィッシングメールはいつ届いてもおかしくないという前提を頭に入れておき、クリックする前に一度スマホやパソコンの画面から目を離しクールダウンしてから対応するようにしたい。
3)不審な点がないか確認する
フィッシングメールは、攻撃者が文面のテンプレート(ひな形)をあらかじめ作成して複数のユーザーに送りつけている。そのため、日本語が不自然なものや、文面内で内容の整合性が取れないもの、URLが正規のものと異なるなど、落ち着いて確認すればユーザー側で不審な点を見つけられるものも少なくない。件名の内容からついつい焦ってしまいがちだが、まずは落ち着いて文面を精査するようにしたい。
4)公式サイトや公式アプリで情報の真偽を確認する
SMSやメールで受信した内容を鵜呑みにせず、公式のWebサイトやアプリで情報を確認すること。メールで「緊急」と書かれているにもかかわらず、公式サイトで一切アナウンスがない場合は詐欺メールの可能性が疑われる。著名なサービスなどの場合、緊急性が高いものはSNSなどでも情報が飛び交っていることもある。自分宛に飛び込んできたメールの内容だけで判断するのではなく、自ら情報を入手することを心掛けるようにしたい。他の場所で該当の情報が見つからない場合は、サービス運用会社の問い合わせ窓口に確認してみるのも一つの手だろう。
5)セキュリティソフトを導入する
最もシンプルな対応策として挙げられるのが、セキュリティソフトの導入だ。迷惑メール対策機能では、危険が疑われるフィッシングメールをある程度除外することができる。また、ESETが提供する「ESET Internet Security」では「フィッシング対策機能」も搭載されている。メールフィルタリングをすり抜けてきたメールに記載された不正なURLをクリックした場合でも、そのリンク先の危険性が高い場合、ポップアップで警告し、アクセスをブロックしてくれるため、二重の防御壁としてユーザーを危険から守ってくれる。
危険は常に身の回りに存在するという認識を
日本国内では諸外国と比較して凶悪な犯罪が少ない時代が続いたことから、「安全であること」が日常生活の前提となっている。しかし、常に世界とつながっているインターネット上では、そうした考えは幻想でしかない。安全な状態は与えられるものではなく、自ら作り上げていくものという意識が求められる。
コロナ禍を受けて、日本でもデジタルシフトが加速していくのは既定路線となりつつある。そして、インターネットで提供されるサービスの多くは日常生活をより豊かにしてくれるものだ。こうした利便性を享受しながら、安全・安心を確保するためにどうすべきか。ユーザーそれぞれが現状を常に捉えて、適切な対策を講じていくようにしてほしい。