年々、被害が拡大しているフィッシング詐欺。フィッシング攻撃の大半は「フィッシングメール」というメール経由の手口で、悪意のあるサイトへの誘導やマルウェア感染により、クレジットカード情報やオンラインバンキングの情報、機密情報を盗み出し被害を拡大させます。この記事ではフィッシング攻撃の主な手口や事例、被害防止のための対策について紹介します。
フィッシングとは
フィッシングとは、オンライン詐欺の一種で、攻撃者がメール、SMSなどのテキストメッセージ、デジタル広告、その他の手段で実在する企業や政府機関、団体などの組織になりすまし、ID、パスワード、クレジットカード情報や、企業の機密情報などを盗み出すサイバー攻撃です。
フィッシング被害の動向
フィッシングの被害の件数は、年々増えています。
警察庁と金融庁の連名による報告によると、2023年11月末時点のフィッシングによるものとみられるインターネットバンキングによる不正送金の被害件数は5,147件、被害額は80,1億円と過去最高を更新しました。
2023年12月にフィッシング対策協議会に報告された、フィッシングに悪用されたブランドは、80件(前月比7件増)、フィッシングサイトのURLは17,172件(前月比6,494件増)、フィッシングの報告件数は、90,792件(前月比6,444件増)でおよそ倍増しています。
出所:インターネットバンキングによる預金の不正送金事案が急増しています:金融庁
フィッシング攻撃の主な手口
フィッシングメール
フィッシングメールは、最も知られているフィッシングの形態です。フィッシングメールは、実在する企業や政府機関、団体などの組織からのメールに見せかけ、受信者をだまし、マルウェアの感染や機密情報を盗み出そうとします。
QRコード攻撃
フィッシングメールにフィッシングサイトのQRコードを添付してユーザーに送信し、QRコードを読み取ったユーザーに個人情報や銀行口座の認証情報を入力させ、盗み出した譲歩を情報を使って口座から金銭を不正送金を狙います。QRコードを読み取った際に表示されるURLは、正規サイトに似せていたり短縮URLでリダイレクト不正サイトにリダイレクトすることでフィッシングサイトであることを気づきにくくさせる手法も存在します。
マルウェアによるフィッシングメール
マルウェアに感染したコンピュータに保存されているメールアドレスや宛先に、マルウェアがフィッシングメールを送信します。トロイの木馬型のマルウェア、Emotet(エモテット)は、感染者になりすましたフィッシングメールを送りつけることで添付ファイルのマクロファイルの実行やリンク先URLのクリックを促し、マルウェアをデバイスにインストールさせる攻撃です。現在、最も蔓延しているフィッシングメール攻撃です。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(Business Email Compromise)は、攻撃対象の企業や関連会社の経営層や取引先になりすまし、金銭をだましとることを目的としたフィッシングメールです。米FBIのインターネット犯罪苦情センター(IC3)によると、2023年には約4,050億円の被害が発生したと報告されています。
スミッシング
スミッシングは、SMSを利用したフィッシングです。メールと同様に、実在する企業や政府機関を装い、本物そっくりのSMSを送りつけ、偽サイトや不正なアプリのインストールに誘導します。ECサイトの不正ログイン検知、宅配事業者の不在通知、携帯電話会社の料金請求、公的機関の税金の支払い、などのパターンがあります。
ビッシング(ボイスフィッシング)
ビッシング(ボイスフィッシング)は、電話をつかったフィッシング詐欺です。社内の情報システムの担当者や政府機関などの組織を装い、V偽の電話をかけ銀行やクレジットカード情報やVPN情報のログイン情報などの情報を盗み出します。
SEOポイズニング
SEOポイズニングは、本物そっくりの偽サイトを検索結果の上位に表示する「SEO対策」で上位に表示させることでユーザーID、パスーワード、クレジット情報を盗み取る攻撃手法です。2022年に。Googleの検索結果のトップに「えきねっと」の偽サイトが表示されるインシデントが発生しました。
ファーミング
ファーミングは、ドメインに紐づけられたIPアドレスを書き換えることで、正規のWebサイトへ来訪したユーザーを偽のWebサイトに誘導する攻撃手法です。偽サイトで、入力したユーザーIDやパスワード、クレジットカード情報などを盗み取ります。
フィッシングメールの事例
先にご紹介した説明したとおり、フィッシング攻撃は、送信者を詐称したメールや偽のメールを送りつけ、受信者を悪意のあるサイトへ誘導しマルウェアに感染や情報を盗み出します。フィッシング攻撃の手口の大半でメールが利用されます。
一般社団法人 JPCERT コーディネーションセンターが、「なりすまし」送信メールの受信を観測しているメールアドレスで受信したフィッシングメールの内、平均約 71.6%、最大で 89.9%が「なりすまし」送信メールでした(フィッシングレポート 2023 年6月, フィッシング対策協議会、P7より引用)。
国税庁をかたるフィッシング
国税庁をかたるフィッシング詐欺について、フィッシング対策協議会が注意喚起しています。税務署から、税金の滞納、登録情報の確認や秘密の質問の登録に関するなどのお知らせをおくりつけ、個人情報やVプリカ発行カードの入力を促すフィッシングについて注意喚起しています。
メルカリをかたるフィッシング
メルカリをかたるフィッシング詐欺について、フィッシング対策協議会が注意喚起しています。メルカリの事務局から本人確認通知、アカウント認証に関する本人確認、アカウントが停止されている、アカウントのセキュリティ更新を促すような件名のメールやSMSを送りつけ偽サイトに誘導しメルカリの認証情報を盗み出します。
Apple をかたるフィッシング
Appleをかたるフィッシング詐欺について、フィッシング対策協議会が注意喚起しています。Appleアカウントの認証に関する重要なお知らせといった件名のメールやSMSを送りつけ、フィッシングサイトに誘導しアカウント情報を盗み出します。
NTTドコモをかたるフィッシング
NTTドコモのクレジットカード、dカードの利用停止、カードの利用明細のお知らせを偽ったフィッシングについて、フィッシング対策協議会が注意喚起しています。
りそな銀行をかたるフィッシング
りそな銀行をかたり、銀行口座の凍結、入金制限や取引に関する重要なお知らせなどを偽ったフィッシング詐欺について、フィッシング対策協議会が注意喚起しています。
メールの差出人を偽装したフィッシングメールを送れる理由
メールの「From」に表示される差出人メールアドレスや返信先のメールアドレスは、メールの差出人が自由に設定できることから、実在する組織や人物になりすましたメールを送ることができます。
参考:
なりすましメールを防ぐ技術
実在する組織や人物のなりすましメールを防ぐ技術に「DMARC (Domain-based Message Authentication Reporting and Conformance、読み方:ディーマーク)」があります。
送信元メールのドメインとIPアドレスを認証する「SPF」、公開鍵暗号を用いてメールの改ざんされずに送信されたことを保証する認証技術「DKIM」の両方を利用して送信者のドメインが正当なものかを判断します。受信したメールの送信者ドメインが正当なものではない場合の対処法をポリシーとして定義することで、フィッシングメールやなりすましメールの受信を防止します。
GoogleやYahoo!はそれぞれの事業者が管理するメールサービスに、大量のメールを送信するシステムの管理者にSFPとDKIMの両方で認証されていないメールの受信を拒否すると発表しました。フィッシング被害が世界的に問題になっている状況において、被害を軽減する対策が進んでいます。
フィッシングメールで被害にあわないために
フィッシングメールやフィッシングサイトは、巧妙に偽装されています。これらのフィッシングメールやサイトでの被害にあわないために次のような点に注意しましょう。
メールの内容を疑う
フィッシングメールは、重要、緊急、至急といった言葉を用いて受信者を不安にさせたり焦らせることで注意力の低下をはかり偽サイトへ誘導し、不正送金を促します。実在する組織や人物からの本物に見えるメールが届いたとしても、緊急性を要したり不安になるような内容のメールは、その内容が真実でない場合があります。
そのようなメールを受信した際には、メールの内容を疑い、メールの送信元に送信されたメールの内容が真実か確認しましょう。
添付ファイルは、信頼できるセキュリティソフトでチェックする
添付ファイルを開く際には、セキュリティソフトを最新の状態にアップデートしたうえで、マルウェアが含まれていないかチェックしましょう。また、Microsoft Office製品で利用されている「マクロ」を有効にする場合は、メールやファイルの送信元にファイルを送ってきたか電話で確認した上で実行します。
多層的なメールセキュリティで安全な状態でメールを受け取る
フィッシングメールは送信元を偽装して送りつけられます。メールの送信元のドメインやIPアドレスが正規のものであるか、メール本文が改ざんされていない正規のメールであることを確認した上で、メールの添付ファイルや添付ファイルやメール本文のリンク先にマルウェアが含まれていないか、未知の脅威がふくまれていないか、複合的なセキュリティチェックの後にメールを受信できる複合的なメールセキュリティ対策を導入します。
フィッシングメール対策はサイバーソリューションズへ
サイバーソリューションズ株式会社は、2000年の設立以来、20,000社以上のお客様の400万アカウントのクラウド型メールサービスとメールセキュリティを提供しています。
サイバーソリューションズ株式会社は、お客様に当社クラウドサービスを安心してご利用いただくために、情報セキュリティマネジメントシステム(ISMS)の国内規格「JIS Q 27001:2014」および「ISO/IEC 27001:2013」に加え、クラウドセキュリティの国際規格である『ISO/IEC 27017:2015(以下、ISO/IEC 27017)』『ISO/IEC 27018:2014(以下、ISO/IEC 27018)』の認証を取得しています。
月額200円で迷惑メール対策を実現
サイバーソリューションズが提供するCloud Mail SECURITYSUITE(CMSS)は、月額200円からMicrosoft 365やGoogle Workspaceの迷惑メールの受信を防御します。
CMSSは、DMARCによる、なりすましメールの受信防止、ビジネスメール詐欺やフィッシングメールの受信防止、ウイルス、マルウェア対策、迷惑メール対策、サンドボックス、受信時のPPAP対策も提供します。詳しくは、Cloud Mail SECURITYSUITE のWebサイトをください。