フィッシング対策協議会(https://www.antiphishing.jp/)の発表によると2023年10 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 39,771 件増加し、156,804 件となりました。
2022年11月は70,204件であったため1年で約2倍の報告数となり、またフィッシングサイトへの誘導方法も巧妙化し、個人だけでなく企業や団体でも被害が報告されており、注意が必要です。
1.フィッシングとは
実在のサービスや企業を騙って偽のメールやSMSでフィッシングサイトに誘導してIDやパスワードなどの入力を求められ詐取されたり、マルウェアに感染するなどの被害が起こります。
情報を盗まれてしまうとオンラインバンキングからお金を盗まれたり、クレジットカードで買物をされるなどの金銭的な被害やマルウェアに感染してしまうとPCやスマートフォンのデータ盗まれたり、偽のメールやSMSの発信元になってしまうこともあります。
<入力を求められる情報の例>
- 住所、氏名、電話番号、生年月日
- 電子メール、インターネットバンキング、SNSアカウント等のID・パスワード
- クレジットカード番号、金融機関の口座番号、暗証番号 など
2.誘導方法
最近では、携帯電話のSMSを悪用して携帯電話会社、宅配業者、銀行を騙り偽サイトに誘導し情報を入力させる事例を多数確認されています。他にも企業のメールアドレスになりすまして誘導する方法や、検索サイトの広告から誘導する方法など、様々な方法が報告されています。
電子メールの場合はメールソフトに表示される送信元名称や送信元メールアドレスが変更可能なことから、実在の企業や団体になりすますことができ、表示される送信元情報だけではメールの真偽を確認することは難しくなっています。
また、スマートフォンのメールアプリで表示される送信元情報は、PCに比べて表示項目が少ないものが多く、メールの真偽を確認することが更に難しくなります。
3.被害防止対策
フィッシングサイトは実在するサイトを精巧に模したものが多く、偽物(フィッシングサイト)であると判断することが難しくなっていますが、被害に遭わないために以下の対策が必要です。
<電子メールやSMSで送られてきたリンクはクリックしない>
電子メールやSMSで送られてきたリンクは本物のように見えても偽装されている可能性があるため、よく見るサイトは「お気に入り」や「ブックマーク」に登録して接続する、スマートフォンはアプリを活用して確実に正規サイトに接続することをお勧めします。
<パソコンやスマートフォンを安全に保つ>
OSやアプリの脆弱性を悪用して広告からフィッシングサイトに誘導される事例もありますのですので、OSやアプリ、ソフトウェアのセキュリティパッチやアップデートを行い安全な状態に保つことをお勧めします。
<携帯電話会社などが提供するセキュリティ設定を利用する>
携帯電話会社が提供する迷惑メッセージブロック機能などを利用してフィッシングメールや不審なSMSが届きにくくすることをお勧めします。ただし、すべてのフィッシングメールや不審なSMSがブロックできるとは限らないので注意が必要です。
<ワンタイムパスワードなどを利用する>
インターネットバンキングやインターネット通信販売サービスなどでログインや決済の際にワンタイムパスワード認証が提供されている場合は利用することをお勧めします。
<IDパスワードの使いまわしはしない>
複数のサイトで同じID、パスワードを使い回しをしていると、ID、パスワードが盗まれた際に使い回しをしている全てのサービスが乗っ取られる可能性があるので、ID、パスワードはサイトごとに違うものを設定するようにして、覚えられない場合にはパスワード管理アプリなどを活用することをお勧めします。
<送信ドメイン認証の導入>
企業や団体は自組織ではドメインの悪用を防止する送信ドメイン認証技術の導入をお勧めします。
認証方式には以下のものがあります。
- SPF(ネットワーク方式):メール送信元IPアドレスの妥当性を認証するもの
- DKIM(電子署名方式) :電子署名を検証することで認証するもの
- DMARC :ネットワーク方式と電子署名形式を組み合わせたもの
これらの対策を組み合わせてフィッシング被害に遭わないようにお気を付けください。
フィッシング対策お困りの場合は、
- 標的型攻撃メール訓練
- 送信ドメイン認証導入
- セキュリティコンサルティング
などのサービスで対策のご支援をさせていただきますので、お気軽にご連絡ください。
