Trace Id is missing

フィッシング詐欺とは? 手口や対策方法を解説

2022 年 8 月 10 日

「クレジット会社のサイトだと思って入力したら、カード情報が盗まれた」という話を聞いたことはありませんか。身近に迫るこういった詐欺行為は「フィッシング詐欺」と呼ばれ、多くの被害事例が報告されています。
フィッシング詐欺のターゲットは、個人だけでなく企業も対象です。詐欺メールや偽サイトで有名企業を装うケースなど、企業イメージ損失のリスクにつながることもあります。

この記事では、被害に遭わないようフィッシング詐欺についての知識を深めるとともに、被害に遭った場合の対策についても解説します。

フィッシング サイトの URL
  1. フィッシング詐欺とは
    1-1. フィッシング詐欺の概要
    1-2. フィッシング詐欺の手口とその広がり
  2. フィッシング詐欺の実例とその見分けかた
    2-1. 銀行口座が「不正に使われた」と不安を煽るケース
    2-2. URL すら正しい「オープン リダイレクト」を利用したケース
  3. フィッシング詐欺への対策方法
    3-1. フィッシング詐欺に遭わないための事前対策
    3-2. フィッシング詐欺に遭ってしまった場合はどうすればよい?
    3-3. フィッシング詐欺から企業を守る Microsoft のソリューションとは
  4. まとめ

1. フィッシング詐欺とは

まず、フィッシング詐欺とはどのようなものか、基礎的な知識を得ていきましょう。  

1-1. フィッシング詐欺の概要

総務省のホーム ページによれば、フィッシング詐欺とは「送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホーム ページに接続させたりするなどの方法で、クレジット カード番号、アカウント情報 (ユーザー ID、パスワードなど) といった重要な個人情報を盗み出す行為」と定義されています。

たとえば、銀行やクレジット カード会社など信頼できるサイトを装った偽サイトを「信頼できるサイトである」と勘違いしたユーザーが、ID やパスワード、カード番号などを入力し、個人情報を盗まれたり、クレジット カードを使って買い物をされてしまったりするというものです。

また、個人を対象としたフィッシング詐欺以外にも、企業をターゲットにした攻撃も増えています。通常のフィッシング詐欺や、特定の組織や人物をねらって偽メールを送信し、個人情報を収集する「スピア フィッシング」と呼ばれるものなどがその例です。

通常のフィッシング詐欺はメール配信で不特定多数に罠を仕掛けるのに対し、スピア フィッシングでは特定の人物など狭い範囲をねらう点が特徴です。その手口は巧妙で、特定の人物の SNS などから情報を集め、同僚や会社のエグゼクティブなどになりすまして信ぴょう性が高そうな詐欺メールを送るため、よりいっそうの注意が必要です。

1-2. フィッシング詐欺の手口とその広がり

フィッシング対策協議会によると、2020 年以降、フィッシング メールの報告数は激増しており、2020 年の 22 万 4,676 件に対して 2021 年は 52 万 6,504 件と、約 2.3 倍になりました。

前述のとおり、フィッシング詐欺は信頼できそうな偽サイトに誘導し情報を入力させることによって実行されます。誘導手口としては、メールや Web サイトに貼られた URL が利用されることが一般的です。
信頼できるサイトに見せかけるために、以下のような仕掛けが施されています。

  • 差出人が銀行や有名な EC サイト、宅配業者などの名前になっている
  • 件名に「あなたの ID がロックされました」「支払いが滞っています」など、開封や行動を迫るような文言が入っている
  • 差出元のメール アドレスやリンク先の URL を、「O」 (オー) を「0」 (ゼロ) にするなど、見間違えやすい形で偽装している

近年では SMS 経由で偽サイトに誘導する「スミッシング (Smishing)」 (SMS +フィッシング) といわれる手口も増えています。メールを使った手口と同様に、SMS に偽サイトの URL を記載し、クリックするよう誘導するものです。
SMS は緊急性が高い印象があるため誘導されがちで、迷惑メールを除外するフィルターのような対策もないため、さらなる注意を要します。

2. フィッシング詐欺の実例とその見分けかた

次に、実際のフィッシング詐欺がどのような手口で行われているのか、具体的な例を挙げて紹介しましょう。      

2-1. 銀行口座が「不正に使われた」と不安を煽るケース

典型的なフィッシング詐欺の事例として、2022 年 5 月に大手ネット銀行を装った大規模なフィッシング詐欺が報告されています。
メール件名は「お客様の口座は悪用された可能性があります」とされ、メール本文も本物の銀行からのメッセージのように自然な内容で、署名欄の銀行住所も正しく記載されていました。

誘導先のサイトは同行会員向けサービスのログイン画面を巧妙に偽装したもので、認証情報(ユーザーネーム、Web ログイン パスワード)、 Web 取引パスワード、キャッシュ カード暗証番号の入力、さらに電話認証を要求するしくみになっています。
差出人のメール アドレスが違うこと、URL のドメインが違うことからフィッシング詐欺であることを見抜くこともできますが、パッと見ただけではわかりません。

このようなフィッシング サイトから情報を入力してしまうと、誤って預金を引き出されたり、情報を悪用されたりする可能性があります。

2-2. URL すら正しい「オープン リダイレクト」を利用したケース

2-1では URL は巧妙に作られた偽サイトでしたが、信頼できるサイトの URL で「オープン リダイレクト」のしくみを使ってフィッシング サイトに飛ばされてしまうといったケースもあります。

オープン リダイレクトとは、サイト URL の後ろに遷移 (リダイレクト) させたいサイトの文字列を付与し、自動的にそのサイトへとリダイレクトさせるしくみのことです。サイトに脆弱性がある場合、フィッシング詐欺に悪用される場合があります。

たとえば、信頼できるサイトの URL が「http://example.com」でフィッシング サイトの URL が「url」だった場合、「http://example.com/goto?url=<url>」のように「<url>」にリダイレクトさせる文字列をつけることによって、フィッシング サイトに遷移されてしまうのです。

こういったケースが横行していることからも、メールに添付された URL が一見正しそうであっても、パラメータ (変数) がついている URL は用心する、知らない人から来たメールの URL は開かない、といった注意が必要です。

必要なセキュリティ対策がすべて手に入るサービスは?

Windows を知り尽くしたセキュリティ ツール
Microsoft Defender for Business
詳しくはこちら
Win を守る Defender Windows を知り尽くしたセキュリティ ツール

3. フィッシング詐欺への対策方法

このように巧妙なフィッシング詐欺に対して、どのように対策すべきなのでしょうか。
ここではまず、フィッシング詐欺に遭わないための対策、そして遭ってしまってから被害を軽減し再発を防止する対策を見ていきましょう。そのうえで具体的なソリューションとして、マイクロソフト社の製品導入による対策を紹介します。             

3-1. フィッシング詐欺に遭わないための事前対策

まず大前提として、銀行やクレジット カード会社がメールでユーザーの口座番号やクレジット番号、ID やパスワードを確認することはありません。疑わしいメールが送られてきた際は、メールの送信元やリンク先の URL がおかしくないかなどを確認しましょう。
また、リンクが送られてきたメールの内容や状況も考慮し、おかしなタイミングで送られてきていないかを疑ってみることも大事です。

特にフィッシング詐欺では「つい開封してしまった」というケースが多いため、「不正に使われた」「不在通知」など、早急な対応を求めるメールほど落ち着いて対応することが肝要です。

また、セキュリティ対策ソフトを最新バージョンにアップデートしておくこともフィッシング詐欺防止には有効です。以前のセキュリティ対策ソフトでは、危険な Web サイトの情報を集めたデータベースに基づいてフィッシング サイトを検出するケースが一般的でした。しかし、最新のセキュリティ対策ソフトでは、AI によって未知のフィッシング サイトも検出できるほどにまで機能が向上しています。

さらに、信ぴょう性が高そうなメールが届いた場合は、送信元の企業や団体などの公式 Web サイトにアクセスし、不審な事例が報告されていないか調べてみることも有効でしょう。

ほかにも、検索サイトでメールの文言や差出人のアドレスなどを検索すると、詐欺事例として載っている場合もあります。それでも判断がつかないという場合は、送信元のコール センターや公式のサポート窓口に問い合わせてみましょう。
いずれにしても、緊急度の高いメールだからといって、反射的に URL にアクセスしないことです。

3-2. フィッシング詐欺に遭ってしまった場合はどうすればよい?

それでは、実際にフィッシング詐欺に遭ってしまった場合はどうすればよいのでしょうか。

まず、「メールを開いただけ」「偽サイトにアクセスしただけ」では被害にはつながらないことがほとんどですので、とにかくサイトへの情報入力を一瞬待つ冷静さを保つことが重要です。
ID やパスワード、口座番号などの重要情報を入力し、送信してしまった場合は、残念ながら入力したデータが抜き取られている可能性がきわめて高いといえます。被害を最小限に抑えるために、以下のような対策を講じましょう。

  • ID やパスワードを入力してしまった場合は直ちにパスワードを変える
  • カード番号などを入力してしまった場合はカード会社に連絡し使用をストップする
  • SNS の ID やパスワードを入力してしまった場合などはアカウントが乗っ取られ、関係者にウイルス メールなどが送られる可能性があるので注意を喚起する
  • 「各都道府県警察サイバー犯罪相談窓口」に問い合わせ、「フィッシング 110番」で被害を防ぐための情報提供を行う
  • フィッシング対策協議会に情報提供する

このほかの企業のリスクとしては、自社の名前がフィッシング詐欺に悪用されてしまうケースも考えられます。自社に非はないとはいえ、フィッシング詐欺の材料として使われてしまった場合には完全に無視するわけにはいきません。事態を把握でき次第、自社サイトなど広く情報伝達できる媒体を通じてユーザーに注意喚起することも必要となるでしょう。

3-3. フィッシング詐欺から企業を守る Microsoft のソリューションとは

フィッシング詐欺から企業を守るためには、セキュリティ ソリューションを導入することも有効です。たとえばマイクロソフト社ではセキュリティ製品 Microsoft 365 Defender のうち Microsoft Defender for Office 365 がメール メッセージ、URL リンク、コラボレーション ツール経由の脅威を防ぐ機能を有しており、フィッシング詐欺にも対応しています。

Microsoft Defender for Office 365 にはプラン 1 とプラン 2 があり、プラン 1 ではポリシーを作ることでフィッシング詐欺と思われるメールを排除できるほか、なりすまされた送信者やドメインを見分けることもできます。
また、添付されている URL についても、安全なリンクにはアクセスでき、悪意のあるリンクはブロックする、といった検証が可能です。

Microsoft Defender for Office 365 のプラン 2 は、プラン 1 の機能に加えてフィッシング詐欺のような脅威を調査して対応するツールが含まれています。スピア フィッシングによる攻撃のシミュレーションなどを行い、より現実的な脅威に対するシステムの脆弱性を見極めることが可能です。

Microsoft 365 のセキュリティにもう 1 つ加わるのが Exchange Online Protection (EOP) です。
EOP は、実際の送信元とは異なるユーザーや場所から発信されたように見える「スプーフィング (なりすまし) 攻撃」に対し、メッセージ本文の From ヘッダー (メール クライアントでメッセージ送信者を表示するために使用されます) の偽造を調査します。偽造されていると判断した場合、スプーフィング攻撃として識別することが可能です。

Microsoft Defender for Office 365 の効果をさらに高めてくれるのが Microsoft Defender for Business です。これは Microsoft Defender のセキュリティ対策を拡張し、Endpoint Detection and Response (EDR) により、ウイルス感染後、感染経路や原因を特定し、ウイルス対策や修復などを行うことで、Defender for Office365 で防ぎきれなかった問題に対処し、社内のデバイスに拡散されることを防ぐ効果があります。
Microsoft 365 Business Premium においては、Microsoft Defender for Office 365 Plan1と Microsoft Defender for Business が含まれていますので、オールイン ワンで導入するには便利です。

また、ブラウザーの Microsoft Edge で Web サイトを閲覧中にも Hyper-V 仮想化テクノロジーによって標的型攻撃の脅威から守ることができます。
たとえば、閲覧された Web サイトがフィッシング詐欺のような信頼できないサイトである場合、Hyper-V コンテナーは、その端末をネットワークの別の部分へ分離することで、企業の他のデータまでアクセスされてしまうことを防ぎます。

4. まとめ

フィッシング詐欺については常々注意を喚起されているものの、年々手口が巧妙化しており、依然として被害件数は増加傾向にあります。
各自が正しい情報や知識を得て注意することはもちろんですが、最新のセキュリティ ソリューションを使用することで、効率的に詐欺メールや偽サイトへのアクセスを防止することが可能です。

今回紹介した対策を企業としても積極的に行い、フィッシング詐欺に対するリスクを軽減することが重要でしょう。

リモートワーク・ハイブリッドワークに適した環境設置のために

リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。
これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。

必要なセキュリティ対策がすべて手に入るサービスは?

Win を守る Defender Windows を知り尽くしたセキュリティ ツール

Win を守る Defender

Windows を知り尽くしたセキュリティ ツール
Microsoft Defender for Business
詳しくはこちら

ご購入検討の問い合わせ先

電話アイコン

お電話で購入相談

受付時間: 9:00 - 17:30 (土日祝日、弊社指定休業日を除く)

0120-167-400
封筒アイコン

Web フォームで購入相談

フォームを開く

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

トップに戻る