【現役ハッカーが語る】フィッシングメール詐欺とは?? ~現状や有効な対策を知って適切な対応を~
2月1日から「サイバーセキュリティ月間」がスタートしました。この期間に便乗して情報セキュリティのことを多くお話していこうと思います。
今回は、最近芸能人の間でも被害が続出している「フィッシングメール詐欺」についてお話していこうと思います。
フィッシングメール知ってるよ~、という方は多いかと思います。しかし、多くの方に認知されているにもかかわらず被害が一向に減らない、むしろ増えているのがフィッシングメール詐欺です。
知っている人も知らない人も被害に遭わないようする為に知識をつけ自分で対策を施していきましょう。
フィッシングメール詐欺とは??
まず初めに基礎知識として「フィッシングメール詐欺」とは何なのかを説明していきます。
フィッシング(Phishing)とは、「魚を釣る(Fishing)」フィッシングのことではなく、人をだまして情報を盗み、最終的に金銭的な利益を得ようとする不正行為のことを意味します。
フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
引用:フィッシング対策協議会 https://www.antiphishing.jp/consumer/abt_phishing.html
フィッシングメール詐欺は”フィッシング”と言うだけあって魚釣りに例えることが出来ます。
まずは、魚おびき寄せるために大量の撒餌を行います。そう、撒餌という名の電子メール(フィッシングメール)を大量に手当たり次第にばら撒きます。そして魚を釣るための釣り針としての正規サイトにそっくりなフィッシングサイトを設置しておきます。そして、魚=ユーザーがかかるのを待ちます。
この一連の行為をフィッシングメール詐欺と呼ぶことが出来ます。
ブラックハッカーたちはユーザーが気付きにくい手口や文章を常に研究してきます。また新しい攻撃方法を編み出しセキュリティ対策ソフトの網を搔い潜ってきます。
そのため、フィッシングメール詐欺に対する情報を常にアップデートしていかなければ被害を防ぐことは難しくなっています。
実際にどんな内容のフィッシングメールが送られてくるのか??
フィッシングメールは多くの企業を語るものが存在しています。そして多くの文面・偽フィッシングサイトが存在しています。
これまで、フィッシングメール詐欺であることを見抜く一つの手段としてメール文面の日本語の怪しいでした。以前は海外のブラックハッカーたちが日本国内に対してフィッシングメールをばらまく際は日本語翻訳ツールを使用してメール本文を作成してることが大半でした。そのため、どこか日本語が怪しい部分が多々ありました。そのため、フィッシングメールであると断定することが出来ていました。
しかし、現在は日本人が呼んでも何ら違和感のない日本語が使用されており、文面からフィッシングメール詐欺を見抜くことは困難になっています。
そこで、重要になってくるのがどのような企業を語りどのような内容のフィッシングメールが流行しているのかを把握することが重要です。
通販サイトを語るフィッシングメール
日本国内のフィッシングメール詐欺で多く目にするのは通販サイトを語るフィッシングメールではないでしょうか。
具体的にはAmazonや楽天になりすましたメールになります。Amazon・楽天は日本国内において利用者が多いこともありブラックハッカーたちは好んで利用する傾向があります。
利用者が多い=釣り針にかかる魚(騙されるユーザー)が多いと言えます。
フィッシングメールの内容は「アカウント情報に不備があります」「不審なログインを検出しました」などといったようなアカウントの不備を語り、フィッシングサイトに誘導し、登録情報の更新やパスワードの変更を行わせるものが多くなっています。
それ以外では、「情報漏洩を確認したためパスワードを変更して下さい」や身に覚えのない購入確認を語り「キャンセルはこちらから」からのリンクを踏ませるなどが存在しています。
銀行・クレジットカード会社を語るフィッシングメール
通販サイトを語るフィッシングメールの次に多いのが銀行やクレジットカード会社を語るフィッシングメールです。
内容としては、「○○銀行を装う偽メールに注意して、安全のために、設備ロックを行ってください。」や「情報漏洩を確認したためパスワードを変更してください」、「クレジットカードの不正利用を確認しました。」などになります。
内容的には通販サイトを語るフィッシングメールとほとんど同じ様な内容になります。
その他出回っているフィッシングメール 新型コロナウイルスに関連した内容も
通販サイトや銀行・クレジットカード会社を語るフィッシングメール以外にもフィッシングメールは存在しています。
最近ではAppleを語るフィッシングメールも存在しています。内容としては「AppleIDとパスワードを再設定してください」や「Appleアカウントを更新してください」といった内容です。
そのほかにも2020年は新型コロナウイルスに関連したフィッシングメールも出回っていました。総務省を語った特別定額給付金に関するフィッシングメールや給付金当選詐欺、マスクを無料給付するといった内容のものが多く出回りました。
フィッシングメール詐欺の被害状況
2020年8月にIPA(独立行政法人情報処理推進機構)から発行された「情報セキュリティ白書2020」においてフィッシングメール詐欺の被害状況が発表されました。
フィッシング対策協議会への報告件数は2017年度が約1万2千けん、2018年度が約2万2千件と急増しており2019年度には2018年度の約3倍の7万3千件になっており2020年はさらに急増しています。
また、フィッシング対策協議会の最新の報告によれば2021年1月だけで約4万4千件にも上っており確実に被害が急増しています。
また、フィッシングサイトの業界別件数の推移を見てみると2017年以降「Eコマース(通販サイト)」が最多であり急増を続けています。また、「金融機関」は2018年から緩やかな増加傾向にありましたが2020年1月~3月期に急増しています。
元乃木坂46生駒里奈さんも被害に!! 芸能人の被害も続発!!
2021年1月16日に元乃木坂46の生駒里奈さんが自身のYouTubeチャンネルでフィッシング詐欺の被害に遭ったことを告白しました。「カードが使えなくて、おかしいなと思ったら(カード会社から)電話がかかってきて。上限絶対いってないはずなのにって思って、ネットバンキングを見たらフィッシング詐欺に遭ってて。誰かがいろいろなブランドでお買い物をしてた」と語っていました。某サイトから「カード番号を再登録しないと使えません」とのメールがきたため、カード番号を入力してしまい、被害額は10~15万円だったようです。
また、お笑い芸人のエハラマサヒロさんも2020年12月3日放送の情報番組「グッとラック!」(TBS系) で、やはりフィッシング詐欺の被害に遭ったことを告白しました。被害に遭う数日前にアマゾンから「アカウントを更新する必要があります」とのメールを受け取り、ちょうどスマートフォンを変えたタイミングだったことで疑いなく個人情報を入力してしまったとのことでした。カード会社からの連絡で被害に気付き、約40~50万円の被害に遭ったようです。
その他にもお笑いコンビ「ドランクドラゴン」の鈴木さんも被害に遭っていたことを告白しています。
2020年末から2021年にかけて多くの芸能人がフィッシングの被害に遭っており、他人ごとではなくなっていることがうかがえます。
フィッシングメール詐欺に対する対策方法
フィッシングメールを見抜く為に必要なことは受信したメールを注意深く確認することです。フィッシングメールは年々判別するのが難しくなっています。しかし、フィッシングメールにも一定の特徴があります。「アカウント情報に不備があります。」「アカウント情報が漏洩した可能性があります。」「クレジットカードの不正利用を確認しました。」などセンシティブな事象を装うことがほとんどです。
ユーザーに対して緊急性が高い、早く対処しなければいけないと思わせる内容になっています。そのため前述のような内容のメールが届いた場合は1度落ち着いて冷静に対処することが非常に重要です。
メール内のURLを安易にクリックしない
多種多様存在する攻撃に対するセキュリティ対策でも重要な事が「メール内のURLを安易にクリックしない」です。情報セキュリティ対策の基本中の基本でしょう。
フィッシングメール詐欺対策でも「メール内のURLを安易にクリックしない」という対策は非常に大切です。
フィッシングメール詐欺内のURLをクリックしてサイトにアクセスすることでウイルスに感染してしまうリスクも存在します。
そしてフィッシングメール詐欺で利用される偽のフィッシングサイトは正規にサイトとほとんど同じデザイン。ぱっと見では専門家でも気づくのが難しいものになっています。その為、一度偽のフィッシングサイトにアクセスすると警戒が薄れアカウント情報やパスワード・クレジットカード番号などといった機微な情報を入力してしまう可能性が高まります。
その為、メール内のURLからアクセスするのではなく自らサイトを検索する、ブックマークからサイトにアクセスする必要があります。
この対策は日常から習慣づけることでフィッシングメール詐欺に遭うリスクを低減することが出来るでしょう。
どのようなフィッシングメールが流行しているのか確認する
「知る」ということは非常に重要です。
知らなければ対策も出来ないですし、対応も出来ません。
Amazonや楽天の正規サイトや正規のメールの多くに「楽天を装った不審なメールにご注意ください。」などといった警告が存在しています。
銀行のサイトでも細かくフィッシングメールについて警告がなされています。
正規の情報を知り、いざフィッシングメールが届いた際の免疫を獲得しておきましょう。
また、一般財団法人日本サイバー犯罪対策センターではフィッシングメールの情報が逐一報告されています。(フィッシングメールの具体的な内容がしっかり掲載されているため非常に参考になります。)
また、警視庁やフィッシング対策協議会などでも情報提供がされているため確認してみましょう。
その他の対策
他にも多くの対策方法が存在します。
しかし、基本になり、重要な対策は前述した2つの対策になるでしょう。
以前まではURLがhttps:で始まるサイトであるか確認するなどがありました。https:とは通信が暗号化されているためセキュリティ対策がなされているサイトで安全である証明でした。しかし、現在ではhttps:は誰でも取得できるためブラックハッカーたちもフィッシングサイトを作成するときhttpsのサイトにするため、確認してもあまり意味を成しません。
また、メールの差出人を確認するといった対策もあります。しかし、現在はメールの差出人を偽装することは難しくありません。セキュリティ等の専門家であれば詳しく調べることで差出人を特定することは可能ですが、一般の方であれば難しくなっています。メールの差出人を確認することは重要ですが、絶対的な対策にはなりません。
現在のフィッシングメール詐欺は見抜くのが非常に難しくなっています。メールの内容も上手く偽サイトもしっかりと構築されています。
そのため、大切になってくるのが「基本の対策を忠実に実行する」ことです。難しいことはしなくていいです。出来ることを確実に実行していきましょう。
もしフィッシングメール詐欺の被害に遭ってしまったら・・・
対策をしていても100%防ぐことが難しいのが情報セキュリティです。
もし、フィッシングサイトで情報を入力してしまった場合は慌てず冷静に対処しましょう。
フィッシングサイトに情報を入力してしまってもできることはあります。
クレジットカード会社に連絡する
通販サイトやクレジットカード会社に装ったフィッシングに遭った場合は一番にクレジットカード会社に連絡してください。
クレジットカードの利用の一時停止措置や再発行措置を行ってくれます。クレジットカード会社に連絡することで金銭的な被害を未然に防ぐことが出来ます。もし被害が出ても軽減することが出来ます。
正規サイトでアカウント情報を修正する
クレジットカード会社に連絡を行った後は正規サイトでアカウント情報を修正しましょう。
パスワードは必ず違うものに変更。可能であればメールアドレスも変更しましょう。
アカウント情報を修正しなければブラックハッカーたちはいつでも情報を盗み見ることが出来ます。また、取得した情報で新たな攻撃をしかけてくる可能性もあるため必ず修正しましょう。
関連機関に通報する
フィッシング被害に遭った場合は専門の機関に通報しましょう。
1番はやはり警察に被害届を出すことです。
次にフィッシング対策協議会などに情報提供して下さい。次の被害を防ぐために重要です。
※フィッシング対策協議会(外部サイトに移動します。)
※警察庁フィッシング110番(外部サイトに移動します。)
まとめ
フィッシングメール詐欺の被害は年々増加しています。
他人ごとではなく自分事になってきています。
自分には関係ないが一番危ない考え方です。
インターネットを利用していれば必ず関係あることです。
しかし、難しいことではありません。簡単な基本を忠実に実行するだけでリスクは軽減できます。
適切に怖がっていきましょう。
