時事ネタはサイバー犯罪者もチェックしている
サイバー犯罪の常套手段として、「話題になっているトピックに便乗する」というものがある。ニュース番組などで扱われている話題に関連しているように見せかけた手口で、相手をあざむこうとするものだ。
この手段がよく使われるのが、フィッシング詐欺。正規のサービスなどをよそおったメールで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すサイバー犯罪だ。
たとえば、2023年9月末には、マイナポイント第2段の申し込み期限がある。マイナンバーカードを申請した人に対し、最大2万円分のポイントが付与されるというものだ。
これに便乗して、「マイナポイント第2弾で2万円のマイナポイントを獲得しましたが、まもなく無効になります」というメッセージで、ポイントが無効になると偽るフィッシング詐欺の報告例がある。
この手のメールには、本文にURLが記載されている。そこからアクセスできるのは偽のサイトなのだが、氏名、メールアドレス、生年月日、電話番号、住所などの入力を要求してくる。ここで入力してしまうと、サイバー犯罪者に情報が知られてしまうというわけだ。
総務省も、マイナポイントに乗じた詐欺に注意するように呼びかけている。総務省や市区町村の職員、その関係者が、マイナンバーや金融機関の口座番号、口座の暗証番号などの個人情報を聞くことや、通帳やキャッシュカードを預かったり、確認したりすることなどはない(マイナポイントに乗じた詐欺にご注意ください! | マイナポイント事業)。
こういった手口に用いられるフィッシングサイトは、外見やURLが本物に似せて作られていることが多く、注意しなければ見抜くことは難しい。
まして、「ポイントが無効になる」などと言われれば、「損をしてしまうのでは」と考えて、あせって行動してしまうことも考えられる。しかし、それこそが悪意をもった人間の罠なのだ。
メールやSMSで送られてきたリンクから
アクセスする際は要注意
メールやSMSで送られてきたリンクを、公式サイトのURLなどと照らし合わせて確認していくのは骨の折れる作業だ。むしろ、よく利用するサービスへのアクセスとログインには、公式のアプリやブラウザーのブックマークなどからのアクセスを習慣化してしまったほうがいい。
そもそも、多くの場合、フィッシングサイトは開いただけでは被害がないことも覚えておきたい。個人情報やパスワードなどは入力せず、すぐにブラウザーを閉じてしまおう。
メールやSMSのリンクからはアクセスしない(アクセスしても、IDやパスワードなどは入力しない)ことを決めておけば、フィッシング詐欺の被害にあう可能性は減らせる。
また、セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護することも重要といえる。
不審に思った場合、最寄りの消費生活センターなどに相談することも考慮しよう。フィッシング詐欺の被害にあってしまったら、各都道府県の警察のフィッシング専用窓口に相談したい(参考:フィッシング対策|警察庁Webサイト)。被害にあった場合は、最寄りの消費生活センターなどに相談すること。
今回は、McAfee Blogから「フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
フィッシング詐欺メールの事例: フィッシング詐欺メールを見分ける方法:McAfee Blog
bank0famerica@acc0unt.comというメールアドレスから、クレジットカードの請求書に不審なアクティビティが確認されたことを報告するメールが届き、財務情報の確認を求められたとします。あなたならどのように対応しますか?メールに記載されているリンクをクリックしてすぐに問題を解決したくなりますよね。これはサイバー犯罪者による詐欺である可能性があります。フィッシング詐欺とは、メールの受信者自身に重要な個人情報を入力させるように誘導する手口の詐欺です。フィッシング詐欺メールの事例を確認し、よく耳にするこのオンライン詐欺について詳しく理解することで、フィッシング詐欺から自らを安全に守りましょう。
フィッシング詐欺とは?
フィッシング詐欺とは、重要な情報を盗み出すことを目的としたサイバー犯罪です。フィッシング詐欺は、大手企業など信用できる事業体を装って、Webサイトのログイン認証情報やクレジットカード番号などの情報が開示されるよう誘導します。
フィッシングメール/テキストメッセージとは?
フィッシング メールやテキスト メッセージ (SMiShing (スミッシング) とも呼ばれます) は、本物そっくりに見える偽のメッセージです。通常、さまざまな手口で重要な個人情報を提供することを求めます。メールやテキストを注意深く確認しないと、通常のメッセージとフィッシング詐欺メッセージとの見分けがつかない場合があります。詐欺師は、信用できる企業が送信するメールやテキストに非常によく似たフィッシング詐欺メッセージを作成することに心血を注いでいます。そのため、これらのメッセージを開封したり、メッセージに記載されているリンクをクリックしたりする際には、慎重になる必要があります。
フィッシング詐欺メッセージを見分ける方法
フィッシング詐欺犯は単純なミスを犯すことがよくあります。これらの単純なミスを認識する方法がわかれば、簡単にフィッシング詐欺メッセージを見分けることができるようになり、計画実行を防ぐことができます。メールやテキストメッセージを開封する際には、以下に示すフィッシング詐欺の兆候について確認するようにしてください。
不自然な文章
大手企業であっても、メッセージを送る上で些細な間違いをすることはあります。フィッシング詐欺メッセージには、文法上の誤り、スペルミスなど、大手企業が起こしそうもないあからさまな間違いが含まれていることがよくあります。個人情報を求めるメールやテキストメッセージに複数の文法上の誤りが顕著に見られる場合は、フィッシング詐欺の標的になっている可能性があります。
ロゴが正しく表示されない
巧妙に罠を仕掛けるために、フィッシング詐欺師がなりすまし相手のロゴを盗むことがよくあります。しかし多くの場合は、正しい形で企業ロゴを盗み出すことができていません。フィッシングメールやテキストメッセージに表示されているロゴの縦横比が間違っているか、低解像度のロゴである可能性があります。目を細めてメッセージ内のロゴを確認しなければならない場合は、フィッシング詐欺である可能性が高くなります。
ロゴが正しく表示されない
フィッシング詐欺では主に、リンクをクリックさせることを軸に手口が展開されています。ここでは、送信されたリンクが正規のものかどうかを確認する方法をいくつかご紹介します。
・メールに記載されたリンクの上にカーソルを置くと、そのURLが表示されます。多くの場合、フィッシング詐欺のURLには、フィッシング詐欺の一般的な兆候とされるスペルミスが含まれています。リンクの上にカーソルを置くと、リンクのプレビューを表示することができます。不審なURLと考えられる場合は、URLにアクセスしないでください。
・リンクを右クリックしてコピーし、URLをワードやテキストエディタ—に貼り付けます。これにより、悪意のある可能性のあるWebページに誘導されることなく、リンクの文法上の誤りやスペルミスなどを徹底的に調べることができます。
・モバイル デバイスでは、URLのリンクを指で長押しした状態で確認します。
フィッシング詐欺メールとテキストメッセージの種類
フィッシング詐欺メッセージは形もサイズもさまざまです。その中でも、他のメッセージよりも多く見られるフィッシング詐欺メールやテキストメッセージはほんの数種類です。最もよく送信されているフィッシング詐欺の事例をいくつかご紹介します。
アカウントロック詐欺
フィッシング詐欺メールの中には、異常なアクティビティにより銀行が口座を一時停止したとの通知を送信するものがあるようです。口座を開設していない銀行からの口座一時停止の電子メールを受信した場合はすぐに削除して、リンク先を確認することのないようにしてください。一方で、取引のある銀行を装った口座一時停止のフィッシング詐欺メールを見分けるのは簡単なことではありません。先に述べた方法で電子メールの整合性を確認してください。それでも確認できない場合は、受信した電子メール内に記載されているリンクを開くのではなく、銀行に直接問い合わせてください。
税金還付詐欺
私たちの誰もが、納税申告時期の重要性を知っていますね。フィッシング詐欺師は、まさにこの時期を当てにして、IRS (米国歳入庁) になりすました偽の還付メールを送信するのです。IRSによる納税者への連絡は郵送で行なわれます。電子メールでの予期せぬ現金の受領通知には注意するようにしてください。特に、IRSを装った送信元の電子メールには注意してください。税金還付フィッシング詐欺では通常、銀行の口座情報のみでなく、社会保障番号も要求されるため、深刻な被害をもたらす可能性があります。
注文確認詐欺
サイバー犯罪者は、偽の注文確認情報が記載された電子メールを送信して受信者を騙そうとする場合があります。多くの場合、これらのメッセージには、電子メールに「領収書」が添付されていたり、注文に関する詳細情報が掲載されているとされるリンクが記載されていたりします。実際には、犯罪者がこれらの添付ファイルやリンクを使用して、マルウェアを被害者のデバイスに拡散させることがよくあります。
職場でのフィッシング詐欺
勤務先のメールアドレスを使用している場合でも、フィッシング詐欺に注意する必要があります。よく使われるフィッシング詐欺として、会社の経営幹部を装って電子メールを送信するという手口があります。経営幹部を装って従業員にメールを送信し、顧客とされている相手に電信送金をするよう依頼します。実際には、これは詐欺実行犯のもとへ送金されます。先に述べたヒントを使用して、これらの偽の電子メールを見分けるようにしてください。
巧妙なフィッシング詐欺の場合
ハッカーは頻繁に古いスキーマを更新する方法を模索することで、特定のサイバー脅威をすでに認識しているユーザーに検出されないようにしています。これは、最新のフィッシング回避テクニックにも当てはまります。仮想マシンを検出して、人に気付かれないように巧妙にフィッシング詐欺を行うのです。サイバーセキュリティ企業は、ヘッドレスデバイスまたは仮想マシン (実際のコンピューターのように動作するコンピューターファイル) を使用して、Webサイトが実際にフィッシング詐欺ページであるかどうかを判断することがよくあります。しかし現在では、一部のフィッシングキットにはJavaScript (Webページに複雑な機能を実装できるプログラミング言語) が含まれています。そのため、仮想マシンがページを分析しているかどうかを確認することができるのです。フィッシングキットは、分析が試行されたことを検出すると、フィッシング詐欺ページではなく空白のページを表示し、詐欺が巧妙に検出を回避できるようにします。最新のフィッシング詐欺に騙されないように、最新のフィッシングテクニックに関する情報を常に把握するようにしましょう。そうすることで、サイバー犯罪者の一歩先を行くことができます。
フィッシング詐欺メールのリンクをクリックしてしまった場合
不審な電子メールに記載されているリンクは絶対にクリックしないでください。フィッシング詐欺犯により送信された電子メールのリンクをクリックすると、重要なデータ (社会保障番号、クレジットカード情報、ログイン認証情報など) を入力できるフォームが掲載されたWebページに誘導されます。このページにはいかなるデータも入力しないでください。
フィッシング詐欺に遭ってしまった疑いがある場合の対処法
不審な電子メールにリンクされているWebページに誤ってデータを入力してしまった場合、お使いのデバイスでフルマルウェアスキャンを実行してください。スキャンが完了したら、すべてのファイルをバックアップしてパスワードを変更します。フィッシング詐欺に提供したデータが1つのアカウントのみだったとしても、それ以外の個人情報へのアクセスの機会を与えてしまう可能性があります。そのため、フィッシング攻撃の疑いがある場合は、オンラインで使用するすべてのパスワードを変更する必要があります。
フィッシング詐欺メールを見分ける方法: 簡単な方法
フィッシング詐欺メールを回避する方法について、簡単にヒントをまとめておきます。
・判別がつかない場合は、不審な電子メールに記載されているリンクを開かずに、電子メールの送信元と思われる組織に直接問い合わせてください。
・不審な電子メールを慎重に調べて、粗悪な文法、画質の粗いロゴ、偽のリンクなど、フィッシング詐欺を示す明らかな兆候がないかどうかを確認してください。
・誤ってフィッシングリンクをクリックしてしまった場合は、データを入力しないでページを閉じてください。
・自分がフィッシング詐欺の標的になっていると考えられる場合は、ウイルススキャンを実行してファイルをバックアップし、すべてのパスワードを変更してください。
保護状態を維持する
フィッシング詐欺メールは気付かないうちに動作しています。フィッシング詐欺メールを見分ける方法、自分が標的にされている疑いがある場合の対処法についてご理解いただけたれば、このようなスキーマに陥る可能性は非常に低くなるでしょう。インターネットを使用するときは、慎重に個人情報を取り扱うようにしてください。個人情報、財務情報、またはログイン情報に関する重要な情報の開示を求められた場合は、注意してください。注意しすぎてもしすぎることはありません。
マカフィーに関する最新情報や、モバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_JPをフォローするか、電子メールを購読するか、PodcastでHackable?を聴くか、マカフィーのFacebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト