著作者:macrovector/出典:Freepik
重要そうなお知らせが来ても、焦らないように
何か問題があったとき、先送りにせず迅速に対応することが大切……という考えは、セキュリティ業界に限らずよく言われることだ。しかし、その気持ちにつけこんだサイバー犯罪がある。
正規のサービスなどをよそおったメールで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すフィッシング詐欺だ。
近年も被害が多く、カード会社や運送会社などが、公式サイトで注意を促していることも少なくない。
最近では、Appleや国土交通省をかたってフィッシングサイトへ誘導するショートメッセージ(SMS)の報告がある。いずれも、「重要なお知らせ」という文面で、届いた人間を焦らせるような内容になっているところがポイントだ(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2023/05/02))、(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 国土交通省をかたるフィッシング (2023/04/25))。
日頃から使っているサービスやメーカー、緊急性の高そうな問題を扱う行政機関などからのメッセージとなれば、「急いで対応しなくては」と思うかもしれない。しかし、そこがまさに悪意を持った人間の狙いだ。
フィッシング詐欺で使われる偽のサイトに、IDとパスワードを入力すれば、サイバー犯罪者にその情報が悪用され、不正ログインなどの被害に遭ってしまう。もちろん、それらのフィッシングサイトは、外見やURLが本物に似せて作られていることが多い。注意しなければ、見抜くことは難しい。
ただし、メールやSMSのリンクから万一サイトを開いてしまった場合でも、個人情報やパスワードなどは入力しなければ大丈夫だ。多くの場合、開いただけでは被害がないので、落ち着いて行動すれば問題はないことを覚えておこう。
メールやSMSのリンクからアクセスするときは注意
フィッシング詐欺の被害に遭わないためのポイントとして、あわてて個人情報を入力することなく、しっかり用心することが肝心と言われる。
もっとも、「気をつけろ」と言われるだけでは、すべての問題に対処できるようにならないはず。やみくもにフィッシング詐欺をこわがったり、メールやSMSをすべて罠だと思ったりするのも極端だろう。また、「スマートフォンのメーカーや行政機関などを名乗る宛先から、緊急性の高そうな文面が来た」ときに、落ち着いて対処できるだろうか。
メールやSMSで送られてきたリンクを、公式サイトのURLなどと照らし合わせて一つ一つ確認していくのは手間がかかる作業だ。URLが公式と異なっていても、「問い合わせ用のURLだから、公式のURLとは違うのかも」と考えてしまうかもしれない。
具体的な対策としては、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけることだ。
すなわち、メールやSMSのリンクからは安易にアクセスしない(アクセスしても、IDやパスワードなどは入力しない)ことをあらかじめ決めておけば、フィッシング詐欺の被害に遭う可能性は減らせる。
また、疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認するのも一つの手だ。トラブルにあった場合、不審に思った場合などは、最寄りの消費生活センターなどに相談する手段もある。もちろん、信頼できるセキュリティソリューションを導入しておくのは基本だ。
今回は、McAfee Blogから「フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法:McAfee Blog
bank0famerica@acc0unt.comというメールアドレスから、クレジットカードの請求書に不審なアクティビティが確認されたことを報告するメールが届き、財務情報の確認を求められたとします。あなたならどのように対応しますか?メールに記載されているリンクをクリックしてすぐに問題を解決したくなりますよね。これはサイバー犯罪者による詐欺である可能性があります。フィッシング詐欺とは、メールの受信者自身に重要な個人情報を入力させるように誘導する手口の詐欺です。フィッシング詐欺メールの事例を確認し、よく耳にするこのオンライン詐欺について詳しく理解することで、フィッシング詐欺から自らを安全に守りましょう。
フィッシング詐欺とは?
フィッシング詐欺とは、重要な情報を盗み出すことを目的としたサイバー犯罪です。フィッシング詐欺は、大手企業など信用できる事業体を装って、Webサイトのログイン認証情報やクレジットカード番号などの情報が開示されるよう誘導します。
フィッシングメール/テキストメッセージとは?
フィッシング メールやテキスト メッセージ (SMiShing (スミッシング) とも呼ばれます) は、本物そっくりに見える偽のメッセージです。通常、さまざまな手口で重要な個人情報を提供することを求めます。メールやテキストを注意深く確認しないと、通常のメッセージとフィッシング詐欺メッセージとの見分けがつかない場合があります。詐欺師は、信用できる企業が送信するメールやテキストに非常によく似たフィッシング詐欺メッセージを作成することに心血を注いでいます。そのため、これらのメッセージを開封したり、メッセージに記載されているリンクをクリックしたりする際には、慎重になる必要があります。
フィッシング詐欺メッセージを見分ける方法
フィッシング詐欺犯は単純なミスを犯すことがよくあります。これらの単純なミスを認識する方法がわかれば、簡単にフィッシング詐欺メッセージを見分けることができるようになり、計画実行を防ぐことができます。メールやテキストメッセージを開封する際には、以下に示すフィッシング詐欺の兆候について確認するようにしてください。
不自然な文章
大手企業であっても、メッセージを送る上で些細な間違いをすることはあります。フィッシング詐欺メッセージには、文法上の誤り、スペルミスなど、大手企業が起こしそうもないあからさまな間違いが含まれていることがよくあります。個人情報を求めるメールやテキストメッセージに複数の文法上の誤りが顕著に見られる場合は、フィッシング詐欺の標的になっている可能性があります。
ロゴが正しく表示されない
巧妙に罠を仕掛けるために、フィッシング詐欺師がなりすまし相手のロゴを盗むことがよくあります。しかし多くの場合は、正しい形で企業ロゴを盗み出すことができていません。フィッシングメールやテキストメッセージに表示されているロゴの縦横比が間違っているか、低解像度のロゴである可能性があります。目を細めてメッセージ内のロゴを確認しなければならない場合は、フィッシング詐欺である可能性が高くなります。
ロゴが正しく表示されない
フィッシング詐欺では主に、リンクをクリックさせることを軸に手口が展開されています。ここでは、送信されたリンクが正規のものかどうかを確認する方法をいくつかご紹介します。
・メールに記載されたリンクの上にカーソルを置くと、そのURLが表示されます。多くの場合、フィッシング詐欺のURLには、フィッシング詐欺の一般的な兆候とされるスペルミスが含まれています。リンクの上にカーソルを置くと、リンクのプレビューを表示することができます。不審なURLと考えられる場合は、URLにアクセスしないでください。
・リンクを右クリックしてコピーし、URLをワードやテキストエディタ—に貼り付けます。これにより、悪意のある可能性のあるWebページに誘導されることなく、リンクの文法上の誤りやスペルミスなどを徹底的に調べることができます。
・モバイル デバイスでは、URLのリンクを指で長押しした状態で確認します。
フィッシング詐欺メールとテキストメッセージの種類
フィッシング詐欺メッセージは形もサイズもさまざまです。その中でも、他のメッセージよりも多く見られるフィッシング詐欺メールやテキストメッセージはほんの数種類です。最もよく送信されているフィッシング詐欺の事例をいくつかご紹介します。
アカウントロック詐欺
フィッシング詐欺メールの中には、異常なアクティビティにより銀行が口座を一時停止したとの通知を送信するものがあるようです。口座を開設していない銀行からの口座一時停止の電子メールを受信した場合はすぐに削除して、リンク先を確認することのないようにしてください。一方で、取引のある銀行を装った口座一時停止のフィッシング詐欺メールを見分けるのは簡単なことではありません。先に述べた方法で電子メールの整合性を確認してください。それでも確認できない場合は、受信した電子メール内に記載されているリンクを開くのではなく、銀行に直接問い合わせてください。
税金還付詐欺
私たちの誰もが、納税申告時期の重要性を知っていますね。フィッシング詐欺師は、まさにこの時期を当てにして、IRS (米国歳入庁) になりすました偽の還付メールを送信するのです。IRSによる納税者への連絡は郵送で行なわれます。電子メールでの予期せぬ現金の受領通知には注意するようにしてください。特に、IRSを装った送信元の電子メールには注意してください。税金還付フィッシング詐欺では通常、銀行の口座情報のみでなく、社会保障番号も要求されるため、深刻な被害をもたらす可能性があります。
注文確認詐欺
サイバー犯罪者は、偽の注文確認情報が記載された電子メールを送信して受信者を騙そうとする場合があります。多くの場合、これらのメッセージには、電子メールに「領収書」が添付されていたり、注文に関する詳細情報が掲載されているとされるリンクが記載されていたりします。実際には、犯罪者がこれらの添付ファイルやリンクを使用して、マルウェアを被害者のデバイスに拡散させることがよくあります。
職場でのフィッシング詐欺
勤務先のメールアドレスを使用している場合でも、フィッシング詐欺に注意する必要があります。よく使われるフィッシング詐欺として、会社の経営幹部を装って電子メールを送信するという手口があります。経営幹部を装って従業員にメールを送信し、顧客とされている相手に電信送金をするよう依頼します。実際には、これは詐欺実行犯のもとへ送金されます。先に述べたヒントを使用して、これらの偽の電子メールを見分けるようにしてください。
巧妙なフィッシング詐欺の場合
ハッカーは頻繁に古いスキーマを更新する方法を模索することで、特定のサイバー脅威をすでに認識しているユーザーに検出されないようにしています。これは、最新のフィッシング回避テクニックにも当てはまります。仮想マシンを検出して、人に気付かれないように巧妙にフィッシング詐欺を行うのです。サイバーセキュリティ企業は、ヘッドレスデバイスまたは仮想マシン (実際のコンピューターのように動作するコンピューターファイル) を使用して、Webサイトが実際にフィッシング詐欺ページであるかどうかを判断することがよくあります。しかし現在では、一部のフィッシングキットにはJavaScript (Webページに複雑な機能を実装できるプログラミング言語) が含まれています。そのため、仮想マシンがページを分析しているかどうかを確認することができるのです。フィッシングキットは、分析が試行されたことを検出すると、フィッシング詐欺ページではなく空白のページを表示し、詐欺が巧妙に検出を回避できるようにします。最新のフィッシング詐欺に騙されないように、最新のフィッシングテクニックに関する情報を常に把握するようにしましょう。そうすることで、サイバー犯罪者の一歩先を行くことができます。
フィッシング詐欺メールのリンクをクリックしてしまった場合
不審な電子メールに記載されているリンクは絶対にクリックしないでください。フィッシング詐欺犯により送信された電子メールのリンクをクリックすると、重要なデータ (社会保障番号、クレジットカード情報、ログイン認証情報など) を入力できるフォームが掲載されたWebページに誘導されます。このページにはいかなるデータも入力しないでください。
フィッシング詐欺に遭ってしまった疑いがある場合の対処法
不審な電子メールにリンクされているWebページに誤ってデータを入力してしまった場合、お使いのデバイスでフルマルウェアスキャンを実行してください。スキャンが完了したら、すべてのファイルをバックアップしてパスワードを変更します。フィッシング詐欺に提供したデータが1つのアカウントのみだったとしても、それ以外の個人情報へのアクセスの機会を与えてしまう可能性があります。そのため、フィッシング攻撃の疑いがある場合は、オンラインで使用するすべてのパスワードを変更する必要があります。
フィッシング詐欺メールを見分ける方法: 簡単な方法
フィッシング詐欺メールを回避する方法について、簡単にヒントをまとめておきます。
・判別がつかない場合は、不審な電子メールに記載されているリンクを開かずに、電子メールの送信元と思われる組織に直接問い合わせてください。
・不審な電子メールを慎重に調べて、粗悪な文法、画質の粗いロゴ、偽のリンクなど、フィッシング詐欺を示す明らかな兆候がないかどうかを確認してください。
・誤ってフィッシングリンクをクリックしてしまった場合は、データを入力しないでページを閉じてください。
・自分がフィッシング詐欺の標的になっていると考えられる場合は、ウイルススキャンを実行してファイルをバックアップし、すべてのパスワードを変更してください。
保護状態を維持する
フィッシング詐欺メールは気付かないうちに動作しています。フィッシング詐欺メールを見分ける方法、自分が標的にされている疑いがある場合の対処法についてご理解いただけたれば、このようなスキーマに陥る可能性は非常に低くなるでしょう。インターネットを使用するときは、慎重に個人情報を取り扱うようにしてください。個人情報、財務情報、またはログイン情報に関する重要な情報の開示を求められた場合は、注意してください。注意しすぎてもしすぎることはありません。
マカフィーに関する最新情報や、モバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_JPをフォローするか、電子メールを購読するか、PodcastでHackable?を聴くか、マカフィーのFacebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト