( 1 ) フィッシングメールとは?
フィッシングメールとは、フィッシング詐欺に多く使われる「偽のメール」のことを指し、メールを受信したユーザーを不正なフィッシングサイトに誘導し、IDやアカウント、更にはクレジットカードやネットバンクの情報を入力させようとします。フィッシング詐欺によって入手された情報は、銀行口座やクレジットカードを不正に使用されるだけでなく、闇市場で取引されることもあります。この情報がサイバー攻撃の材料として使用されるケースもあり、さらに被害が拡大する可能性もあります。
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2022」においては「フィッシングによる個人情報等の詐取」が個人部門第1位となっています。昨年のランキング2位からランクアップしていることから、注意喚起や対策が求められています。
また、フィッシングメールと似た手法に「標的型攻撃メール」があります。これは主に企業や組織といった特定の標的を定めて行われる攻撃です。上記ランキングの組織部門で2位になっており、同じメールを使用した攻撃として同様に対策が必要とされています。
( 2 ) フィッシングメールの手口
フィッシングメールの主な種類としては次のようなものがあります。
設定確認、ID・パスワード変更の催促
使用しているWebサービス等を装い、以下のような偽のメッセージが届きます。
- 新しいセキュリティ対策を導入しました
- パスワードの安全面に問題があります
- パスワードが第三者にアクセスされたため暫定的に変更しました
すぐに対応しなければサービスが使えなくなるなど、危機感を煽る文面を用いてリンクする不正なサイトに誘導します。
購入確認、宅配便の不在通知による偽サイトへの誘導
ネットショップ等で購入した際に送信される購入確認のメールを装うケースです。購入の心当たりがないユーザーが「キャンセルはこちら」というリンクをクリックすると、クレジットカードの番号やパスワードを入力するフォームが表示され、入力を求められます。
最近ではスマートフォンのSMSを使った手法も増えてきており、偽の宅配便の不在通知がSMSで送られてくるケースが多く見られます。このSMSを使用する手口をスミッシング(SMS+フィッシング)と呼びます。
( 3 ) フィッシングメールの見分け方
フィッシングメールかどうかを見分けるポイントとして、以下が挙げられます。
- 送信元やドメインが正規のものか
- メールの件名や本文が不自然な日本語になっていないか
- 不審なファイルが添付されていないか
- SSL(暗号化通信)に対応しているか
この4点を確認するだけでも、怪しいメールの多くを見分けることができます。
フィッシングサイトにアクセスするだけで実害が生じることはありませんが、手口は年々巧妙化しており、閲覧しただけでマルウェアに感染させる悪質なサイトも存在します。送信元や件名などをしっかりと確認し、安易に添付ファイルを開いたり、リンクをクリックしたりしないことが第一の対策になります。
さらに、Webサービスを使用する際に二段階認証を設定しておくことにより、万が一ログイン情報が流出した場合でも、攻撃者の不正ログインを防ぐことができます。
フィッシングサイトの情報収集や閉鎖に向けた取り組みを行なっているフィッシング対策協議会では月毎のフィッシング報告状況をはじめ、以下の情報提供を行っていますので対策の参考として活用しましょう。
〈消費者向け〉
- フィッシングの典型的な手口
- フィッシング対策の心得
〈サービス事業者向け〉
- なりすまし送信メール対策
- 警告ページの設置方法
- フィッシングサイトURL提供方法
