フィッシング詐欺の報告件数は増加傾向にあります。企業の従業員が誤って、フィッシング詐欺にひっかかった場合、情報漏えいの可能性もあるため注意が必要です。
そのため、企業でもフィッシング対策を講じる必要があるでしょう。この記事では、フィッシング詐欺の事例や、企業が行うべき対策について解説します。
フィッシングサイトとは
フィッシングサイトとは、フィッシング詐欺の誘導先となるサイトです。ユーザーはフィッシングメールから誘導されて、フィッシングサイトにたどり着きます。
企業のサイトや EC サイト、会員サイトなどが模倣されフィッシングサイトが作られます。本物のサイトとほとんど見分けのつかないくらい精巧に作られたサイトもあり、注意が必要です。
フィッシングサイトに誘導する目的は、クレジットカードや ID・パスワードなどのアカウント情報を盗むことです。フィッシングサイト上の入力フォームで、アカウント登録に必要な項目を入力することで、悪意のある第三者に情報を盗まれます。
フィッシングサイトの見分け方
フィッシングサイトの見分け方には、送信者をチェックする方法やメールの見出しを検索する方法などが考えられます。また、URL を本物のサイトと見比べるのも有効な見分け方です。それぞれの見分け方について詳しく解説します。
送信元をチェックする
メールや SNS 経由で送られてきたメッセージは、送信元をチェックしましょう。送信元をチェックすることで、不自然な点に気づける可能性があります。ただし送信元を偽装されることもあるため、確実にフィッシングサイトにつながるメールを見分けられるわけではありません。
また送信元に自分以外のメールアドレスが何件も入っている場合は、フィッシングサイトへの誘導メールの可能性があるため注意してください。
メールの見出しを検索する
メールの見出しや文章の一部をインターネット検索すると、正規サイトからの注意喚起が見つかることがあります。もしくは、フィッシング詐欺についての情報収集を行うフィッシング対策協議会などで被害情報が公開されていることもあります。
正規の企業やフィッシング対策協議会で注意喚起されていたら、そのメールはゴミ箱に移動してそれ以上何もしないようにしましょう。文章に不自然な点があれば、インターネット検索をする習慣をつけると、フィッシングサイト詐欺への予防につながります。
URL を本物のサイトと見比べる
フィッシングサイトの URL は本物と比べてもそっくりに作られていますが、異なる点はあります。なぜなら、まったく同じ URL は作れないため、URL の一部を変更する必要があるからです。
まずは「.com」「co.jp」などの URL の末尾が本物のサイトと同じであるかどうかを確認してみてください。他にも「I(アイ)」と「l(エル)」、「O(オー)」と「0(ゼロ)」など、本物の URL に記載されているアルファベットと異なる点が見つかる場合もあります。
日本語の文章をチェックする
メールの日本語に不自然な点がないかチェックすると、フィッシングメールを見分けられる場合があります。フィッシングメールの中には、英語を翻訳サイトで日本語に訳して、そのまま使用しているケースもあるからです。
ただし、自然な日本語で書かれたメールでも、フィッシング詐欺の場合もあるため、注意してください。
運営者情報の表記を確認する
サイト内に、運営者情報の表記があるのかどうかを確認してみてください。たとえば EC サイトでは、住所や電話番号、代表者名、従業員数、資本金、会社設立年などの運営者情報を記載することが法律で決められています。
フィッシングサイトの場合、運営者情報の記載がないこともあるため、該当する場合は偽のサイトと判断できます。はじめて利用するサイトは、とくに運営者情報を確認するようにしましょう。
SSL 化でフィッシングサイトを見分ける
SSL 化されていない場合は、フィッシングサイトを疑いましょう。URL の左側にカギマークがついていると SSL 化されています。ただし、SSL 化されていれば必ず安全というわけではないため注意が必要です。
SSL 化は、本来はフィッシングサイトを見分ける手段ではありません。本来の役割は、中間者攻撃による個人情報やカード情報の窃取や、改ざんを防止することです。中間者攻撃とは、二社間の通信を特殊なソフトウェアで傍受したり、盗聴したりすることを指します。
現在は以前と比べると、SSL 証明書の取得コストが低下しています。そのため、SSL 化されたフィッシングサイトも増えてきていることも把握しておきましょう。
フィッシング詐欺の被害事例
フィッシング詐欺は増加傾向にあるため、さまざまな事例が報告されています。ここでは、3つのフィッシング詐欺事例を紹介します。フィッシング詐欺に会社の従業員が巻き込まれた事例もあるため、注意してください。
フィッシング詐欺に遭った従業員メールへの不正アクセス
従業員がフィッシングメールから偽サイトにアクセスしたことがきっかけで、会社のメールに不正アクセスされるようになりました。従業員が企業の利用しているクラウド型メールサービスを模した偽サイト上の入力フォームに、誤ってメールアドレスとパスワードを入力したためです。
その後、悪意のある第三者が、盗んだパスワードでメールサーバーに不正にアクセスしました。被害を受けた従業員のメールを第三者が確認できる状態だったことが確認されています。
大手銀行を装ったフィッシング詐欺
「緊急のご連絡」や「カードが第三者に利用される恐れがあります」などの件名で、銀行を装ったメールが送られてきた事例です。メールだけではなく、SMS で送られてくることもあります。偽のフィッシングサイトに誘導して、インターネットバンキングの ID やパスワードなどを盗む手口です。
銀行は注意喚起メールの配信やパスワードカードの導入などを実施しました。また、サイトに暗号化通信を導入して、ユーザーの保護に努めました。このように、銀行もさまざまな対策を講じていますが、フィッシング詐欺は増加しているのが実情です。企業の担当者も、大手銀行を装ったフィッシング詐欺には注意する必要があるでしょう。
大手テレビ局を語るフィッシング詐欺
大手テレビ局を語るフィッシング詐欺の事例では、「ご利用手続きメール」や「アップグレード通知」などの件名でメールが送られてきたことが報告されています。アカウント登録画面に似せたサイトに誘導し、アカウントの登録を促し、次のような情報を記入させる手口です。
- 受信契約に必要な名前
- 住所
- メールアドレス
- クレジットカード情報
テレビ局は、自社サイトやフィッシング対策協議会のサイトに注意喚起を促すページを設けて対応しています。テレビ局関連のフィッシング詐欺には、企業の担当者も注意する必要があります。
企業におけるフィッシングサイト対策
不正メールのリンクをすぐにクリックせずに、正規の URL にアクセスするように従業員に周知することが大切でしょう。さらに、従業員が使用するパソコンにフィッシング対策機能のあるソフトを導入するのも有効です。ここでは、企業におけるフィッシングサイト対策を紹介します。
正しい URL にアクセスする
取引先の企業や金融機関のサイトにアクセスするときは、送られてきたメールの URL を利用しないように注意しましょう。本物のサイトをブックマークするなどして、常に正しい URL からアクセスするように努めるとフィッシングサイトへのアクセスを防げます。正しい取引先からのメールであっても、アカウントが乗っ取られている場合もあります。
すぐにリンクをクリックしない
フィッシング対策では、メールに書かれているリンクをすぐにクリックしないことも重要です。メールに書かれている URL が正しい表記であっても、異なるリンク先が紐づけられている場合もあるため注意しましょう。
メール上のリンクをすぐにクリックせずに、右クリックしてリンクを、コピー&ペーストして書かれているリンク先が正しいかチェックしましょう。本来のリンク先をチェックすると、表示されている URL とは異なるサイトに誘導されるのを防げます。メール上の URL と実際の URL が似ていて異なる場合は、ほぼ偽装だと考えて間違いありません。
フィッシング対策機能のあるソフトを導入する
ウィルス対策ソフトには、フィッシング詐欺に対抗する機能が付いている場合もあります。フィッシング対策機能が備えられていれば、フィッシングサイトへのアクセス防止も容易です。フィッシング対策機能のあるソフトは、フィッシングメールやサイトを検知してアクセスを遮断します。
侵入を前提とした対策をする
フィッシングに限らず、アカウントを100%盗まれないようにするのは困難です。100%を目指すより侵入を前提とした対策を考慮する方が効果的です。Active Directory や IDaaS では不審な挙動や通常とは異なるアクセスがあった場合アラートをあげる機能があります。このアラートを元に MFA 認証を再度要求するポリシーを設定できるものもあります。
まとめ
フィッシングサイトによる詐欺は、年々増加傾向にあります。フィッシングサイトを見分けるのは、容易ではありません。今回紹介したポイントをチェックして、フィッシング詐欺への対策を実践しましょう。
従業員に対して、フィッシングサイトに関する啓発活動を行うことは、詐欺被害を防ぐために重要な取り組みです。またフィッシングサイトのアクセスを防ぐためには、フィッシング対策機能のあるソフトや仕組みを導入するなどしてセキュリティの強化を図るのも有効です。
フィッシングの脅威は侵入後の対策も考慮すると、様々なセキュリティ対策を組み合わせる必要があります。侵入を前提としたゼロトラストセキュリティである Microsoft 365 E5 Security は、総合的なセキュリティ対策機能や一元管理、各種連携機能を備えています。セキュリティ対策の手段を探している担当者様は、お問い合わせください。
