著作者:rawpixel.com/出典:Freepik
旧正月以降、被害報告は増える傾向
さまざまなサイバー犯罪がある中、ここ数年で被害の報告が増えているものの一つに、フィッシング詐欺がある。
正規のサービスなどをよそおったメールで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すというものだ。被害の多さから、カード会社や運送会社などが、公式サイトで注意を促していることも少なくない。
フィッシング詐欺に関しては、こんなデータがある。フィッシング対策協議会が発表した2023年1月のフィッシング報告件数は、前月より2万7205件減り、計3万8269件となっている(フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2023/01 フィッシング報告状況)。これだけ見ると、被害が減少傾向にあるのでは……と思うかもしれない。
しかし、安心してはならない。フィッシング報告が急増した2020年以降は、毎年、旧正月(2023年は1月22日)の前後は報告が減る傾向にある。また、過去の事例では、その翌月は報告が増加する傾向にあるからだ。つまり、2月以降はフィッシング詐欺が増加する可能性も大いにある。
近年はコロナ禍で外出しにくい情勢になったため、在宅の環境を狙ったフィッシング詐欺が増えている。一例としては、不在通知など運送会社からのメッセージをよそおい、フィッシングサイトへ誘導するパターンだ。
「ご本人様不在の為、お荷物を持ち帰りました。ご確認ください」などといった文面のSMSが届くのだが、ここでリンクにアクセスすると、フィッシングサイトに誘導されてしまう。
フィッシング詐欺で使われる偽のサイトに、IDとパスワードを入力すれば、サイバー犯罪者にその情報が悪用されて、不正ログインなどの被害に遭ってしまうというわけだ。そして、それらのフィッシングサイトは、外見やURLが本物に似せて作られていることが多く、注意しなければ見抜くことは難しい。
しかし、メールやSMSで送られてきたリンクを、公式サイトのURLなどと照らし合わせて一つ一つ確認していくのは、決して簡単ではない。また、URLの異変に気付いても、「問い合わせ用のURLだから、公式のURLとは違うのかも」と考えてしまう人もいるだろう。
対策としては、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけることが挙げられる。すなわち、メールやSMSのリンクからは安易にアクセスしない(アクセスしても、IDやパスワードなどは入力しない)ことを決めておくわけだ。
あわせて、疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみてもよい。
「今すぐに」と書かれていても慌てないこと
フィッシング詐欺の被害に遭わないためのポイントとしては、あわてて個人情報を入力することなく、しっかり用心することが肝心だ。
メールやSMSのリンクから万一サイトを開いてしまった場合でも、個人情報やパスワードなどは入力しない。多くの場合、開いただけでは被害がないので、落ち着いて行動すれば問題はない。
件名や本文などに「不在通知」「異常ログインの可能性」などの言葉がある場合、急いで対応しなければ……と思ってしまうかもしれない。しかし、そうやって焦らせることが、犯罪者の狙いでもある。
フィッシング詐欺のメール/SMSで「今すぐに」と言われるようなことは、冷静に考えてみると、後で対応できる事柄が多い。宅配便の営業所が荷物を預かっているなら、トラックドライバーや営業所から電話がかかってくるだろう。ネットで購入した荷物が届かなければ、ユーザーがショッピングサイトから問い合わせれば対応するはずだ。
もっとも、電話を利用した詐欺もあるため、誰からの発送なのか質問する、心当たりがなければ「こちらからサービス窓口に連絡する」とかけ直すことも大切だ。
不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談する手段もある。
今回は、McAfee Blogから「フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法:McAfee Blog
bank0famerica@acc0unt.comというメールアドレスから、クレジットカードの請求書に不審なアクティビティが確認されたことを報告するメールが届き、財務情報の確認を求められたとします。あなたならどのように対応しますか?メールに記載されているリンクをクリックしてすぐに問題を解決したくなりますよね。これはサイバー犯罪者による詐欺である可能性があります。フィッシング詐欺とは、メールの受信者自身に重要な個人情報を入力させるように誘導する手口の詐欺です。フィッシング詐欺メールの事例を確認し、よく耳にするこのオンライン詐欺について詳しく理解することで、フィッシング詐欺から自らを安全に守りましょう。
フィッシング詐欺とは?
フィッシング詐欺とは、重要な情報を盗み出すことを目的としたサイバー犯罪です。フィッシング詐欺は、大手企業など信用できる事業体を装って、Webサイトのログイン認証情報やクレジットカード番号などの情報が開示されるよう誘導します。
フィッシングメール/テキストメッセージとは?
フィッシング メールやテキスト メッセージ (SMiShing (スミッシング) とも呼ばれます) は、本物そっくりに見える偽のメッセージです。通常、さまざまな手口で重要な個人情報を提供することを求めます。メールやテキストを注意深く確認しないと、通常のメッセージとフィッシング詐欺メッセージとの見分けがつかない場合があります。詐欺師は、信用できる企業が送信するメールやテキストに非常によく似たフィッシング詐欺メッセージを作成することに心血を注いでいます。そのため、これらのメッセージを開封したり、メッセージに記載されているリンクをクリックしたりする際には、慎重になる必要があります。
フィッシング詐欺メッセージを見分ける方法
フィッシング詐欺犯は単純なミスを犯すことがよくあります。これらの単純なミスを認識する方法がわかれば、簡単にフィッシング詐欺メッセージを見分けることができるようになり、計画実行を防ぐことができます。メールやテキストメッセージを開封する際には、以下に示すフィッシング詐欺の兆候について確認するようにしてください。
不自然な文章
大手企業であっても、メッセージを送る上で些細な間違いをすることはあります。フィッシング詐欺メッセージには、文法上の誤り、スペルミスなど、大手企業が起こしそうもないあからさまな間違いが含まれていることがよくあります。個人情報を求めるメールやテキストメッセージに複数の文法上の誤りが顕著に見られる場合は、フィッシング詐欺の標的になっている可能性があります。
ロゴが正しく表示されない
巧妙に罠を仕掛けるために、フィッシング詐欺師がなりすまし相手のロゴを盗むことがよくあります。しかし多くの場合は、正しい形で企業ロゴを盗み出すことができていません。フィッシングメールやテキストメッセージに表示されているロゴの縦横比が間違っているか、低解像度のロゴである可能性があります。目を細めてメッセージ内のロゴを確認しなければならない場合は、フィッシング詐欺である可能性が高くなります。
ロゴが正しく表示されない
フィッシング詐欺では主に、リンクをクリックさせることを軸に手口が展開されています。ここでは、送信されたリンクが正規のものかどうかを確認する方法をいくつかご紹介します。
・メールに記載されたリンクの上にカーソルを置くと、そのURLが表示されます。多くの場合、フィッシング詐欺のURLには、フィッシング詐欺の一般的な兆候とされるスペルミスが含まれています。リンクの上にカーソルを置くと、リンクのプレビューを表示することができます。不審なURLと考えられる場合は、URLにアクセスしないでください。
・リンクを右クリックしてコピーし、URLをワードやテキストエディタ—に貼り付けます。これにより、悪意のある可能性のあるWebページに誘導されることなく、リンクの文法上の誤りやスペルミスなどを徹底的に調べることができます。
・モバイル デバイスでは、URLのリンクを指で長押しした状態で確認します。
フィッシング詐欺メールとテキストメッセージの種類
フィッシング詐欺メッセージは形もサイズもさまざまです。その中でも、他のメッセージよりも多く見られるフィッシング詐欺メールやテキストメッセージはほんの数種類です。最もよく送信されているフィッシング詐欺の事例をいくつかご紹介します。
アカウントロック詐欺
フィッシング詐欺メールの中には、異常なアクティビティにより銀行が口座を一時停止したとの通知を送信するものがあるようです。口座を開設していない銀行からの口座一時停止の電子メールを受信した場合はすぐに削除して、リンク先を確認することのないようにしてください。一方で、取引のある銀行を装った口座一時停止のフィッシング詐欺メールを見分けるのは簡単なことではありません。先に述べた方法で電子メールの整合性を確認してください。それでも確認できない場合は、受信した電子メール内に記載されているリンクを開くのではなく、銀行に直接問い合わせてください。
税金還付詐欺
私たちの誰もが、納税申告時期の重要性を知っていますね。フィッシング詐欺師は、まさにこの時期を当てにして、IRS (米国歳入庁) になりすました偽の還付メールを送信するのです。IRSによる納税者への連絡は郵送で行なわれます。電子メールでの予期せぬ現金の受領通知には注意するようにしてください。特に、IRSを装った送信元の電子メールには注意してください。税金還付フィッシング詐欺では通常、銀行の口座情報のみでなく、社会保障番号も要求されるため、深刻な被害をもたらす可能性があります。
注文確認詐欺
サイバー犯罪者は、偽の注文確認情報が記載された電子メールを送信して受信者を騙そうとする場合があります。多くの場合、これらのメッセージには、電子メールに「領収書」が添付されていたり、注文に関する詳細情報が掲載されているとされるリンクが記載されていたりします。実際には、犯罪者がこれらの添付ファイルやリンクを使用して、マルウェアを被害者のデバイスに拡散させることがよくあります。
職場でのフィッシング詐欺
勤務先のメールアドレスを使用している場合でも、フィッシング詐欺に注意する必要があります。よく使われるフィッシング詐欺として、会社の経営幹部を装って電子メールを送信するという手口があります。経営幹部を装って従業員にメールを送信し、顧客とされている相手に電信送金をするよう依頼します。実際には、これは詐欺実行犯のもとへ送金されます。先に述べたヒントを使用して、これらの偽の電子メールを見分けるようにしてください。
巧妙なフィッシング詐欺の場合
ハッカーは頻繁に古いスキーマを更新する方法を模索することで、特定のサイバー脅威をすでに認識しているユーザーに検出されないようにしています。これは、最新のフィッシング回避テクニックにも当てはまります。仮想マシンを検出して、人に気付かれないように巧妙にフィッシング詐欺を行うのです。サイバーセキュリティ企業は、ヘッドレスデバイスまたは仮想マシン (実際のコンピューターのように動作するコンピューターファイル) を使用して、Webサイトが実際にフィッシング詐欺ページであるかどうかを判断することがよくあります。しかし現在では、一部のフィッシングキットにはJavaScript (Webページに複雑な機能を実装できるプログラミング言語) が含まれています。そのため、仮想マシンがページを分析しているかどうかを確認することができるのです。フィッシングキットは、分析が試行されたことを検出すると、フィッシング詐欺ページではなく空白のページを表示し、詐欺が巧妙に検出を回避できるようにします。最新のフィッシング詐欺に騙されないように、最新のフィッシングテクニックに関する情報を常に把握するようにしましょう。そうすることで、サイバー犯罪者の一歩先を行くことができます。
フィッシング詐欺メールのリンクをクリックしてしまった場合
不審な電子メールに記載されているリンクは絶対にクリックしないでください。フィッシング詐欺犯により送信された電子メールのリンクをクリックすると、重要なデータ (社会保障番号、クレジットカード情報、ログイン認証情報など) を入力できるフォームが掲載されたWebページに誘導されます。このページにはいかなるデータも入力しないでください。
フィッシング詐欺に遭ってしまった疑いがある場合の対処法
不審な電子メールにリンクされているWebページに誤ってデータを入力してしまった場合、お使いのデバイスでフルマルウェアスキャンを実行してください。スキャンが完了したら、すべてのファイルをバックアップしてパスワードを変更します。フィッシング詐欺に提供したデータが1つのアカウントのみだったとしても、それ以外の個人情報へのアクセスの機会を与えてしまう可能性があります。そのため、フィッシング攻撃の疑いがある場合は、オンラインで使用するすべてのパスワードを変更する必要があります。
フィッシング詐欺メールを見分ける方法: 簡単な方法
フィッシング詐欺メールを回避する方法について、簡単にヒントをまとめておきます。
・判別がつかない場合は、不審な電子メールに記載されているリンクを開かずに、電子メールの送信元と思われる組織に直接問い合わせてください。
・不審な電子メールを慎重に調べて、粗悪な文法、画質の粗いロゴ、偽のリンクなど、フィッシング詐欺を示す明らかな兆候がないかどうかを確認してください。
・誤ってフィッシングリンクをクリックしてしまった場合は、データを入力しないでページを閉じてください。
・自分がフィッシング詐欺の標的になっていると考えられる場合は、ウイルススキャンを実行してファイルをバックアップし、すべてのパスワードを変更してください。
保護状態を維持する
フィッシング詐欺メールは気付かないうちに動作しています。フィッシング詐欺メールを見分ける方法、自分が標的にされている疑いがある場合の対処法についてご理解いただけたれば、このようなスキーマに陥る可能性は非常に低くなるでしょう。インターネットを使用するときは、慎重に個人情報を取り扱うようにしてください。個人情報、財務情報、またはログイン情報に関する重要な情報の開示を求められた場合は、注意してください。注意しすぎてもしすぎることはありません。
マカフィーに関する最新情報や、モバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_JPをフォローするか、電子メールを購読するか、PodcastでHackable?を聴くか、マカフィーのFacebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト