TOPICS
2021.10.07
業務支援だけではないメールアーカイブソリューション ~フィッシングメール編~
フィッシングメールによる被害を防ぐには?
見分ける方法や被害を防ぐ方法など詳しく解説
フィッシングメールは、運送会社や金融機関などを装い、情報を搾取しようとする詐欺メールです。
この記事は、フィッシング詐欺への対策を講じる企業の担当者に向けて解説します。フィッシングメールの対策方法から、フィッシング詐欺に遭遇した場合の対応まで解説するので、ぜひ参考にしてください。
フィッシングメールとは?
フィッシングメールとは、送信者を詐称したメールを送信し、ターゲットの情報やパスワードなどを盗み取る詐欺メールです。企業がフィッシング詐欺にあうと、企業機密や顧客情報などを盗まれる恐れがあります。
フィッシングメールとスパムメールの違い
フィッシングメールとスパムメールは、どちらも迷惑メールです。フィッシングメールが詐欺メールであるのに対して、スパムメールは無差別で送信される広告付きのメールです。コンピューターウイルスであるマルウェアが添付されている可能性もあります。
フィッシングメールの実状
フィッシング対策協議会の月次報告によると、2021年7月のフィッシング報告は34,787件でした。
1年前と比較すると倍増しているのが実情です。背景には新型コロナウイルスにより、在宅率が高くなったことがあげられます。また、フィッシングメール手口も巧妙化し、人々の心理的不安を煽るような悪質なものが増えています。
※参考:フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/07 フィッシング報告状況
※参考:フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/07 フィッシング報告状況
フィッシングメールの種類
フィッシングメールには多くの種類があります。ここでは代表的なフィッシングメールを4つ解説します。
ID・パスワードのリセットを求めるフィッシングメール
フィッシングメールには、IDやパスワードのリセットを求めるものがあります。このタイプでは、ログインが行われたと注意喚起の連絡があり、IDやパスワードのリセットをメールで求められます。リセットのためのリンクをクリックすると、公式のサイトに似たページに遷移します。偽のページでIDやパスワードを入力するとアカウントを乗っ取られる仕組みです。
購入確認を装ったフィッシングメール
購入確認を装ったフィッシングメールもあります。ネットショッピングで商品を購入すると送信されてくる購入確認を装ったものです。メール内に貼り付けられているリンクをクリックすると、IDやパスワードの入力を促すページへ遷移します。入力するとアカウントを乗っ取られ、情報を不正利用されます。
宅配便の不在通知を装ったフィッシングメール
宅配便の不在通知を装ったフィッシングメールは、スマートフォンにSMSで送られてきます。SMS内にあるリンクをクリックすると、不正アプリがダウンロードされ情報が盗まれる仕組みです。スマートフォンに登録されている情報は多岐にわたるため、被害が個人だけで収まらないケースもあります。
不正サイトへ誘導するフィッシングメール
メール内のリンク先が、企業や団体の公式サイトを装ったページになっているフィッシングメールです。金融機関やECサイト、地方自治体を装ったページが増えています。不正サイトにアクセスすると、個人情報が盗まれる仕組みです。
フィッシングメールで実際にあった被害
フィッシングメールで実際に起きた被害の事例を解説します。
不正ログインによるカードローンの借入
大手カードローン会社を装ったカードローンの借入被害の例です。このフィッシングメールでは、大手カードローン会社を装ったSMSやメールが送信されました。犯人は会員番号や暗証番号を搾取した後、本人になりすましてカードローンで借入を行いました。
特別定額給付金の案内を装った不正サイトへの誘導
新型コロナウイルスの蔓延よる、特別定額給付金の案内を装った不正サイトへの誘導も増加しています。このフィッシングメールでは、総務省をはじめとした定額給付金に関連する役所になりすまし、不安を煽る件名で被害者を偽の定額給付金申請フォームに誘導します。誘導先では、個人情報を入力させる仕組みになっています。
従業員へのフィッシングメールによる不正アクセス
ECサイトのメールサーバーが不正アクセスを受けて、第三者がメールを閲覧できる状態となる被害も報告されています。
この事例では、従業員が誤ってフィッシングメールのリンクをクリックしたことに端を発します。従業員は不正サイト上のフォームに、メールアドレスのパスワードを入力してしまい、パスワードを不正利用されました。これによりメールサーバーが公開され、第三者が閲覧できる状態になってしまったというケースです。
フィッシングメールかどうか見分ける方法
フィッシングメールか安全なメールか確認する方法を解説します。実際に対策する際の参考にしてください。
送信元やドメインを確認する
フィッシングメールを見分けるには、受信したメールの送信元やドメインを必ず確認することが大切です。ドメインとは、メールアドレスやWebサイトなどに用いられるネット上の住所です。たとえば、日本国内で運営されている公式サイトからのメールであれば「@△△.△△.co.jp」「@△△.△△.ne.jp」などが一般的です。
あわせて、アルファベットを数字に置き換えていないか、フリーメールアドレスのドメインを使用していないかなども確認しましょう。
件名や本文に不自然な点がないか確認する
件名や本文に不自然な日本語がないか確認することも重要です。外国語から日本語を直訳したような文章のメールであれば、フィッシングメールの可能性が高いです。中国語の簡体字や旧字体などが含まれているものもあります。
添付ファイルの拡張子をチェックする
フィッシングメールではありませんが、添付ファイルを開くことでマルウェアに感染するケースがあります。「.exe」の添付ファイルには注意が必要です。ExcelやWordなどの一般的なビジネスソフトの拡張子だからと、安易に添付ファイルは開かないようにしましょう。ファイルを開いてマクロを実行するとマルウェアに感染します。
フィッシングメールの実例と見分け方
Amazonや楽天など、有名企業を騙ったフィッシングメールの実例と見分け方を解説します。
Amazonを装ったフィッシングメール実例
Amazonは世界有数のIT企業であり、国内のユーザーも多いためフィッシングメールが多発しています。Amazonを詐称した主なフィッシングメールは、「未納料金の請求」、「登録情報の更新依頼」、「Amazon.co.jpを装った偽サイトへのリンク」の3つです。リンク先を確認して、Amazon公式のURLか確認しましょう。
楽天を装ったフィッシングメール実例
楽天を装ったフィッシングメールも増えています。件名に「【重要】楽天株式会社から緊急のご連絡」などと記載し、ユーザーを不安にさせる手口です。この手口では、トラブルを解決させるためと称してリンクに誘導します。このようなメールが届いたら、リンク先が楽天の公式URLか確認しましょう。
メルカリを装ったフィッシングメール実例
メルカリを装ったフィッシングメールは、差出人に「@mercari.jp」が使われていて、見分けがにくいことが特徴です。偽サイトにアクセスすると、個人情報やクレジットカード情報の入力を促されます。メルカリの公式サイトであれば、クレジットカード情報は要求されません。
厚生労働省を装ったフィッシングメール実例
コロナ禍では、厚生労働省を装ったフィッシングメールも増えています。件名に「【重要】新しいコロナウイルスの発生の予防と管理」などを利用しているのが特徴で、ワクチン予約の代行を案内し、代金を要求するといった手口です。このようなメールが届いたら政府機関の公式サイトかどうかを確認し、不安な場合は相談窓口に確認するとよいでしょう。
フィッシング詐欺の被害に遭わないための対策
フィッシング詐欺は対策を講じていれば防げる犯罪です。ここでは、被害に合わないための対策を紹介します。
セキュリティシステムを導入する
フィッシング詐欺の対策には、セキュリティシステムを導入するのが一般的です。セキュリティシステムの迷惑メール機能は、危険性の高いフィッシングメールを検出します。フィッシングメールの可能性があるメールが届くと、ポップアップで警告してくれたり、添付ファイルを無効にしてくれたりします。
OSやアプリケーションを最新版にアップデートする
OSやアプリケーションの脆弱性を狙うのも、フィッシングメールの特徴です。普段から利用しているOSやアプリケーションは、常に最新版にアップデートしておきましょう。最新情報はOSやアプリケーションの開発元で確認できます。日頃から情報をチェックする意識を持つことが大切です。
リンクや添付ファイルをクリックしない
無暗にメールを展開しないことも対策の1つです。もしメールを開いたとしても、リンクや添付ファイルをクリックすることは避けましょう。緊急性のあるメールを受信した場合でも、件名や送信元を確認してから開封することが大切です。自分で判断するのが難しいときは、公式サイトに確認するとよいでしょう。
二段階認証にする
二段階認証とは、セキュリティコードの入力などを利用して、本人確認する認証方法です。IDやパスワードとは別に、セキュリティのための設定をする方法です。
また、大切な情報を入力する際には、電子証明書の内容を確認しましょう。URLが「https://」から始まっていることを確認することも有効です。
フィッシング詐欺に遭ってしまった場合の対処法
対策を講じていてもフィッシング詐欺に遭う場合があります。ここでは、その場合の対処法を解説します。
不正な引き落としがあった場合
フィッシング詐欺に遭って、不正に口座から預金が引き落とされた場合は、預貯金者保護法により、金融機関が被害額を補償してくれます。被害に遭った際は居住地の警察に通報し、被害届を出しましょう。その際は被害者が増えないように、できるだけ詳しく状況説明することも大切です。
クレジットカード情報を入力してしまった場合
フィッシング詐欺に遭って、クレジットカード情報を入力してしまった場合は、すぐにクレジットカード会社に連絡してください。口座の不正引き落としと同様に、クレジットカード会社が不正に利用された分を補償してくれます。
IDやパスワードを入力してしまった場合
フィッシングメールのフォームにIDやパスワードを入力した場合は、パスワードを変更しましょう。連携しているアプリケーションがあれば、解除しておくと安心です。すでにアカウントを乗っ取られている場合は、Webサイトやアプリの事業者へ連絡し、対処を依頼しましょう。
まとめ
フィッシングメールによる詐欺事件が多発しています。企業の機密情報や顧客情報などを守るための対策は、必要不可欠です。フィッシングメールの最新情報をチェックし、具体的な方法を社内に周知する体制を整えましょう。
企業としてリスクの回避を図るのはもちろんのこと、万が一被害に遭ってしまった場合の感染経路の把握は、事後対応においての原因究明や今後の対策を施すうえでも重要な対策の一つと言えます。テックリンクのメールタンク®3は、電子メールを取り巻くさまざまなリスクから企業を防衛します。クライアントPCの設定変更や大幅なネットワークの変更作業は不要で、即時導入・運用が可能なメールのバックアップ専用機です。まずは資料請求から、ぜひご検討ください。
メールアーカイブソリューション メールタンクの資料請求はこちらから
- 新着情報
- 2024.01.10 電子帳簿保存法とは?改正の内容や対応方法は?
- 2021.11.04 次世代コミュニケーションサイネージ ~事例編~
- 2021.10.07 業務支援だけではないメールアーカイブソリューション ~フィッシングメール編~
- 2021.10.07 ライブストリーミング機能・音声配信機能を実装した一括配信ソリューション
- 2023.06.01 施設への導入事例紹介
- 2020.11.11 商業施設・公共施設向け集客対策ソリューション
- 2020.11.11 教育機関・社内教育向けeラーニングソリューション
- 2021.11.04 次世代コミュニケーションサイネージ ~仕組み編~
- 2021.11.04 次世代コミュニケーションサイネージ ~メリット編~
- 2021.10.07 業務支援だけではないメールアーカイブソリューション ~スパムメール編~