社会の情勢に合わせて変化する詐欺の手口
サイバー犯罪にはさまざまな種類があるため、世間の情勢に応じて、流行する手口もあれば、廃れるものもある。しかし、時代が変われど、残り続けるサイバー犯罪も多い。ここ数年、被害の報告が絶えないのが「フィッシング詐欺」だ。
正規のサービスなどをよそおったメールで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すというもの。報道される機会も多いため、知っている人は少なくないだろう。
昔からあるサイバー犯罪ではあるが、とくに近年はコロナ禍で外出しにくい情勢になったため、在宅の環境を狙ったものが増えている。たとえば、ネットショッピングなどの需要が増えたことを見越して、不在通知など運送会社からのメッセージをよそおい、フィッシングサイトへ誘導するというケースだ。
具体的には、「ご本人様不在の為、お荷物を持ち帰りました。ご確認ください」などといった文面のSMSが届く。ここでリンクにアクセスすると、フィッシングサイトに誘導されてしまう。
フィッシング詐欺で使われる偽のサイトは、外見、さらにはURLまでも本物に似せて作られている。IDとパスワードを入力すれば、不正ログインなどの被害に遭ってしまう。不在通知をよそおっている場合など、「早く手続きをしないと、業者にも迷惑がかかってしまう」と思うかもしれないが、そこに罠がある。
さらに最近では、その偽サイトでIDやパスワードなどを入力してしまうと、それらを「正規のサイトに転送する」というフィッシング詐欺の報告例がある。これは、ログインの際に、電話番号(SMS)などによる認証も必要になる「二要素認証」(ログイン認証)などを破るための手口だ。
偽サイトにログイン情報を入れてしまうと、その情報が正規サイトに送られる。二要素認証のために、正規サイトは被害者のスマートフォンにセキュリティコードを送付する。そして、被害者がIDやパスワードなどに続いて、受け取ったセキュリティコードまでもを偽サイトに入力してしまうと、犯罪者側は、ID、パスワードだけでなく、二要素認証のためのセキュリティコードまでも入手できてしまう。
このように、社会の情勢に合わせて、古くから知られているサイバー犯罪も進化している。セキュリティの意識、そして知識をアップデートしないと、知らず知らずの間に被害に遭いかねない。
落ち着いて行動することが肝心
フィッシング詐欺の被害に遭わないために気をつけるポイントとしては、あわてて個人情報を入力することなく、しっかり確認することが肝心だ。リンクは開かずに無視し、SMSも削除する。
件名や本文などに「不在通知」「異常ログインの可能性」などの言葉がある場合、急いで対応しなければ……と思ってしまうかもしれないが、それが犯罪者のねらいでもある。
万一サイトを開いてしまった場合は、個人情報やパスワードなどは入力しないこと。多くの場合、開いただけでは被害がないので、落ち着いて行動すれば問題はない。
メールで送られてきたならメールアドレスは正規のものかをチェックする、サイトにアクセスをうながされた場合はウェブアドレスが正規のものであるかに注意する……とは、よく言われることだ。そうはいっても、まぎらわしい場合に見抜けるかどうか、不安だという考えもあるだろう。
そこで、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけたい。IDやパスワードを入力するメッセージなど、疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみてもよいだろう。
不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談する手段もある。
サイバー犯罪は常に進化している。油断せずに、悪意を持った人間につけこまれない行動を心がけることが肝心だ。今回はMcAfee Blogから「フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法:McAfee Blog
bank0famerica@acc0unt.comというメールアドレスから、クレジットカードの請求書に不審なアクティビティが確認されたことを報告するメールが届き、財務情報の確認を求められたとします。あなたならどのように対応しますか?メールに記載されているリンクをクリックしてすぐに問題を解決したくなりますよね。これはサイバー犯罪者による詐欺である可能性があります。フィッシング詐欺とは、メールの受信者自身に重要な個人情報を入力させるように誘導する手口の詐欺です。フィッシング詐欺メールの事例を確認し、よく耳にするこのオンライン詐欺について詳しく理解することで、フィッシング詐欺から自らを安全に守りましょう。
フィッシング詐欺とは?
フィッシング詐欺とは、重要な情報を盗み出すことを目的としたサイバー犯罪です。フィッシング詐欺は、大手企業など信用できる事業体を装って、Webサイトのログイン認証情報やクレジットカード番号などの情報が開示されるよう誘導します。
フィッシングメール/テキストメッセージとは?
フィッシング メールやテキスト メッセージ (SMiShing (スミッシング) とも呼ばれます) は、本物そっくりに見える偽のメッセージです。通常、さまざまな手口で重要な個人情報を提供することを求めます。メールやテキストを注意深く確認しないと、通常のメッセージとフィッシング詐欺メッセージとの見分けがつかない場合があります。詐欺師は、信用できる企業が送信するメールやテキストに非常によく似たフィッシング詐欺メッセージを作成することに心血を注いでいます。そのため、これらのメッセージを開封したり、メッセージに記載されているリンクをクリックしたりする際には、慎重になる必要があります。
フィッシング詐欺メッセージを見分ける方法
フィッシング詐欺犯は単純なミスを犯すことがよくあります。これらの単純なミスを認識する方法がわかれば、簡単にフィッシング詐欺メッセージを見分けることができるようになり、計画実行を防ぐことができます。メールやテキストメッセージを開封する際には、以下に示すフィッシング詐欺の兆候について確認するようにしてください。
不自然な文章
大手企業であっても、メッセージを送る上で些細な間違いをすることはあります。フィッシング詐欺メッセージには、文法上の誤り、スペルミスなど、大手企業が起こしそうもないあからさまな間違いが含まれていることがよくあります。個人情報を求めるメールやテキストメッセージに複数の文法上の誤りが顕著に見られる場合は、フィッシング詐欺の標的になっている可能性があります。
ロゴが正しく表示されない
巧妙に罠を仕掛けるために、フィッシング詐欺師がなりすまし相手のロゴを盗むことがよくあります。しかし多くの場合は、正しい形で企業ロゴを盗み出すことができていません。フィッシングメールやテキストメッセージに表示されているロゴの縦横比が間違っているか、低解像度のロゴである可能性があります。目を細めてメッセージ内のロゴを確認しなければならない場合は、フィッシング詐欺である可能性が高くなります。
ロゴが正しく表示されない
フィッシング詐欺では主に、リンクをクリックさせることを軸に手口が展開されています。ここでは、送信されたリンクが正規のものかどうかを確認する方法をいくつかご紹介します。
・メールに記載されたリンクの上にカーソルを置くと、そのURLが表示されます。多くの場合、フィッシング詐欺のURLには、フィッシング詐欺の一般的な兆候とされるスペルミスが含まれています。リンクの上にカーソルを置くと、リンクのプレビューを表示することができます。不審なURLと考えられる場合は、URLにアクセスしないでください。
・リンクを右クリックしてコピーし、URLをワードやテキストエディタ—に貼り付けます。これにより、悪意のある可能性のあるWebページに誘導されることなく、リンクの文法上の誤りやスペルミスなどを徹底的に調べることができます。
・モバイル デバイスでは、URLのリンクを指で長押しした状態で確認します。
フィッシング詐欺メールとテキストメッセージの種類
フィッシング詐欺メッセージは形もサイズもさまざまです。その中でも、他のメッセージよりも多く見られるフィッシング詐欺メールやテキストメッセージはほんの数種類です。最もよく送信されているフィッシング詐欺の事例をいくつかご紹介します。
アカウントロック詐欺
フィッシング詐欺メールの中には、異常なアクティビティにより銀行が口座を一時停止したとの通知を送信するものがあるようです。口座を開設していない銀行からの口座一時停止の電子メールを受信した場合はすぐに削除して、リンク先を確認することのないようにしてください。一方で、取引のある銀行を装った口座一時停止のフィッシング詐欺メールを見分けるのは簡単なことではありません。先に述べた方法で電子メールの整合性を確認してください。それでも確認できない場合は、受信した電子メール内に記載されているリンクを開くのではなく、銀行に直接問い合わせてください。
税金還付詐欺
私たちの誰もが、納税申告時期の重要性を知っていますね。フィッシング詐欺師は、まさにこの時期を当てにして、IRS (米国歳入庁) になりすました偽の還付メールを送信するのです。IRSによる納税者への連絡は郵送で行なわれます。電子メールでの予期せぬ現金の受領通知には注意するようにしてください。特に、IRSを装った送信元の電子メールには注意してください。税金還付フィッシング詐欺では通常、銀行の口座情報のみでなく、社会保障番号も要求されるため、深刻な被害をもたらす可能性があります。
注文確認詐欺
サイバー犯罪者は、偽の注文確認情報が記載された電子メールを送信して受信者を騙そうとする場合があります。多くの場合、これらのメッセージには、電子メールに「領収書」が添付されていたり、注文に関する詳細情報が掲載されているとされるリンクが記載されていたりします。実際には、犯罪者がこれらの添付ファイルやリンクを使用して、マルウェアを被害者のデバイスに拡散させることがよくあります。
職場でのフィッシング詐欺
勤務先のメールアドレスを使用している場合でも、フィッシング詐欺に注意する必要があります。よく使われるフィッシング詐欺として、会社の経営幹部を装って電子メールを送信するという手口があります。経営幹部を装って従業員にメールを送信し、顧客とされている相手に電信送金をするよう依頼します。実際には、これは詐欺実行犯のもとへ送金されます。先に述べたヒントを使用して、これらの偽の電子メールを見分けるようにしてください。
巧妙なフィッシング詐欺の場合
ハッカーは頻繁に古いスキーマを更新する方法を模索することで、特定のサイバー脅威をすでに認識しているユーザーに検出されないようにしています。これは、最新のフィッシング回避テクニックにも当てはまります。仮想マシンを検出して、人に気付かれないように巧妙にフィッシング詐欺を行うのです。サイバーセキュリティ企業は、ヘッドレスデバイスまたは仮想マシン (実際のコンピューターのように動作するコンピューターファイル) を使用して、Webサイトが実際にフィッシング詐欺ページであるかどうかを判断することがよくあります。しかし現在では、一部のフィッシングキットにはJavaScript (Webページに複雑な機能を実装できるプログラミング言語) が含まれています。そのため、仮想マシンがページを分析しているかどうかを確認することができるのです。フィッシングキットは、分析が試行されたことを検出すると、フィッシング詐欺ページではなく空白のページを表示し、詐欺が巧妙に検出を回避できるようにします。最新のフィッシング詐欺に騙されないように、最新のフィッシングテクニックに関する情報を常に把握するようにしましょう。そうすることで、サイバー犯罪者の一歩先を行くことができます。
フィッシング詐欺メールのリンクをクリックしてしまった場合
不審な電子メールに記載されているリンクは絶対にクリックしないでください。フィッシング詐欺犯により送信された電子メールのリンクをクリックすると、重要なデータ (社会保障番号、クレジットカード情報、ログイン認証情報など) を入力できるフォームが掲載されたWebページに誘導されます。このページにはいかなるデータも入力しないでください。
フィッシング詐欺に遭ってしまった疑いがある場合の対処法
不審な電子メールにリンクされているWebページに誤ってデータを入力してしまった場合、お使いのデバイスでフルマルウェアスキャンを実行してください。スキャンが完了したら、すべてのファイルをバックアップしてパスワードを変更します。フィッシング詐欺に提供したデータが1つのアカウントのみだったとしても、それ以外の個人情報へのアクセスの機会を与えてしまう可能性があります。そのため、フィッシング攻撃の疑いがある場合は、オンラインで使用するすべてのパスワードを変更する必要があります。
フィッシング詐欺メールを見分ける方法: 簡単な方法
フィッシング詐欺メールを回避する方法について、簡単にヒントをまとめておきます。
・判別がつかない場合は、不審な電子メールに記載されているリンクを開かずに、電子メールの送信元と思われる組織に直接問い合わせてください。
・不審な電子メールを慎重に調べて、粗悪な文法、画質の粗いロゴ、偽のリンクなど、フィッシング詐欺を示す明らかな兆候がないかどうかを確認してください。
・誤ってフィッシングリンクをクリックしてしまった場合は、データを入力しないでページを閉じてください。
・自分がフィッシング詐欺の標的になっていると考えられる場合は、ウイルススキャンを実行してファイルをバックアップし、すべてのパスワードを変更してください。
保護状態を維持する
フィッシング詐欺メールは気付かないうちに動作しています。フィッシング詐欺メールを見分ける方法、自分が標的にされている疑いがある場合の対処法についてご理解いただけたれば、このようなスキーマに陥る可能性は非常に低くなるでしょう。インターネットを使用するときは、慎重に個人情報を取り扱うようにしてください。個人情報、財務情報、またはログイン情報に関する重要な情報の開示を求められた場合は、注意してください。注意しすぎてもしすぎることはありません。
マカフィーに関する最新情報や、モバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_JPをフォローするか、電子メールを購読するか、PodcastでHackable?を聴くか、マカフィーのFacebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト