3.フィッシング詐欺の手口と対策:怪しいメールやWebサイトの見分け方
こんにちは。前回は、パスワード管理の重要性と具体的な方法について解説しました。今回は、インターネット上の脅威の一つである「フィッシング詐欺」を取り上げます。
フィッシング詐欺とは、メールやWebサイトを通じて個人情報を盗み取る手口のことです。金融機関やショッピングサイトなどを装い、ログイン情報やクレジットカード情報を入力させようとします。
- 2022年のフィッシング被害件数は、前年比で30%増加(警視庁調べ)
- フィッシングメールの90%以上が、本物のサービスを装ったものである(トレンドマイクロ調査)
- フィッシング詐欺による被害額は、1件あたり平均で約30万円に上る(国民生活センター調べ)
巧妙化するフィッシング詐欺に対抗するには、その手口を知り、適切な対策を取ることが不可欠です。
■フィッシング詐欺の代表的な手口
フィッシング詐欺には、以下のような代表的な手口があります。
なりすましメール
金融機関やショッピングサイト、SNSなどの有名サービスを装ったメールを送りつけ、偽のログインページに誘導します。メールには「アカウントが停止されました」「セキュリティ上の問題が発生しました」などの脅迫的な文言が使われることが多いです。
偽セキュリティ警告
「ウイルスに感染しました」「セキュリティが脆弱です」などの偽の警告メッセージを表示し、偽のセキュリティソフトのインストールや、個人情報の入力を促します。実在のセキュリティソフトになりすましたものもあります。
偽の懸賞やプレゼント
「当選しました!」「無料でプレゼント!」など、魅力的な懸賞やプレゼントを装い、個人情報の入力を求めます。SNSのダイレクトメッセージを使った手口も増えています。
実在する企業や組織からの請求
実在する企業や公的機関を装い、「未払いの請求があります」「税金の還付金があります」などのメールを送りつけ、偽の請求書や還付金手続きのページに誘導します。
これらの手口に共通しているのは、受信者を心理的に動揺させ、冷静な判断力を失わせようとする点です。「緊急事態だ」「お得な話だ」と思わせることで、個人情報を入力させるのです。
■フィッシング詐欺の見分け方
フィッシング詐欺を見分けるためには、以下のようなポイントに注目しましょう。
送信元のメールアドレスやURLに注目
送信元のメールアドレスやリンク先のURLが、本物のサービスのものと異なっていないか確認します。よく似ているように見えても、一部が異なっていることがあります。アドレスやURLにカーソルを合わせると、正体が表示されます。
不自然な日本語や文法的な誤り
フィッシングメールには、不自然な日本語や文法的な誤りが含まれていることがあります。メールの文面をよく読み、違和感がないか確認しましょう。本物のサービスであれば、そのようなミスは少ないはずです。
個人情報の入力を求める
本物のサービスが、メールで直接個人情報の入力を求めることは稀です。「ログイン情報を確認するため、こちらのURLに登録情報を入力してください」などの文言があれば、フィッシング詐欺の可能性が高いです。
脅迫的な内容や、過剰に急かす
「至急」「緊急」などの言葉を使い、過剰に急かすようなメールは要注意です。また、「アカウントが停止されます」「法的措置を取ります」など、脅迫的な内容もフィッシング詐欺の特徴です。
添付ファイルの拡張子に注意
「.exe」「.scr」「.zip」など、実行ファイルの拡張子が付いた添付ファイルは、マルウェアの可能性があります。メールの添付ファイルは、安易に開かないようにしましょう。
これらのポイントを押さえることで、フィッシング詐欺を見分けられる確率が高まります。ただし、巧妙な手口も増えているため、完全に見抜くことは難しいのが現状です。
■フィッシング詐欺への対策
フィッシング詐欺への対策には、以下のようなものがあります。
メールの内容を鵜呑みにしない
メールの内容を鵜呑みにせず、冷静に判断することが大切です。懸賞に当選した、セキュリティ上の問題が発生した、と言われても、すぐに行動を起こさないようにしましょう。
公式サイトで情報を確認する
メールに記載されたURLから直接アクセスするのではなく、ブラウザに直接URLを入力するか、検索エンジンで公式サイトを探しましょう。また、企業や組織からの連絡があった場合は、公式サイトに記載された連絡先に直接問い合わせるのが安全です。
セキュリティソフトを導入する
セキュリティソフトやウイルス対策ソフトを導入し、最新の状態に保ちましょう。フィッシングサイトへのアクセスをブロックしてくれる機能も備えています。
二要素認証を設定する
グーグルやマイクロソフト、LINEなど、主要なサービスでは二要素認証の設定ができます。ログイン時にパスワードに加えて、もう一段階の認証を求めることで、不正アクセスを防げます。
被害にあったら迅速に対応する
万が一フィッシング詐欺の被害にあってしまった場合は、速やかに関係各所に連絡を取りましょう。クレジットカードの不正利用であれば、カード会社に連絡を取り、カードを停止します。また、警察にも被害届を提出します。
■企業や組織の対策
フィッシング詐欺への対策は、個人だけでなく企業や組織にも求められます。
従業員教育の徹底
従業員に対して、フィッシング詐欺の手口や見分け方、対処法などを定期的に教育することが重要です。教育には、実際のフィッシングメールを使った模擬訓練なども効果的です。
SPFレコードの設定
SPF(Sender Policy Framework)は、なりすましメールを防ぐための技術です。自社ドメインのSPFレコードを設定することで、第三者が自社を装ったメールを送信しづらくなります。
DMARC/DKIMの導入
DMARC(Domain-based Message Authentication, Reporting & Conformance)とDKIM(DomainKeys Identified Mail)は、なりすましメールを防ぐための認証技術です。これらを導入することで、メールの送信元の正当性を確認できます。
フィッシングサイトの監視と通報
自社を装ったフィッシングサイトを定期的に監視し、発見したら速やかに通報することが大切です。フィッシングサイトの停止を要請し、顧客に注意喚起を行います。
フィッシング詐欺は、個人だけでなく企業や社会全体で対策していくべき課題です。一人ひとりがその手口を知り、適切な対策を取ることが求められています。
次回は、「SNSやブログでの情報発信における注意点:プライバシー設定と適切な情報共有」を取り上げます。お楽しみに!