今や、我々の生活に欠かすことのできない存在がインターネットです。必要な情報はいつでも簡単に検索できますし、ネット上でショッピングを楽しんだり、さまざまな取引を行ったりすることもできます。最近ではフリマアプリに代表されるCtoC(消費者対消費者)市場も拡大しており、消費者同士の直接的な商品売買も行われるようになっています。
そして多くのユーザーは、ネット上の至るところで商品の購入やサービスの支払いのために、クレジットカード情報を入力します。頻繁に利用するネットショッピングにはクレジットカード情報を登録しているという方も多いでしょう。
このように私たちは高い利便性を手に入れたと同時に、リスクを背負うことになりました。それが「フィッシング詐欺」によってクレジットカード情報を搾取され、悪用されてしまうというリスクです。
本稿では、依然として被害件数・被害金額が多いフィッシング詐欺について、その基礎と対策について解説していきます。
フィッシング詐欺ってなに?
コンピューターウイルスの感染を防ぐため、安全性の低いWebサイトにアクセスしなかったり、信用性の低いソフトウェアをダウンロードしなかったり、ウイルス対策ソフトを端末にインストールするといったセキュリティ対策を講じている方は多いでしょう。
昨今では様々なコンピューターウイルスが至るところで被害を発生させているため、ユーザーとしてこうした対策はもはや当たり前です。企業もこれらのウイルス対策などには非常に力を入れていますが、その一方で、フィッシング詐欺への対策を講じている方が少ないように感じます。
フィッシング詐欺は「詐欺」というのですから、コンピューターウイルスとはまた違った脅威を持っています。これはネット上で行われる詐欺の一種であり、正規のショッピングサイトやサービスサイトなどのふりをして、クレジットカード情報やログイン情報をユーザーに入力させることで情報を搾取します。
クレジットカード情報もサービスへのログイン情報も、一度他人の手に渡ればいくらでも悪用されてしまいます。本人になりすましてネットショッピングで買い物をしたり、あるいはネットバンキング情報を搾取して不正送金したりといった被害です。また、一度ログイン情報がわかってしまうと、企業が利用しているクラウドアプリケーションなどにも簡単にログインできてしまう可能性が高くなり、企業の機密情報も漏洩する危険が高まります。
フィッシング詐欺の手口
フィッシング詐欺が未だに無くならない理由の1つが、年々詐欺の手口が多様化・高度化・巧妙化していることにあります。では、フィッシング詐欺はどのような手口で実行されるものなのでしょうか?
- フィッシングメール
フィッシング詐欺の手口として最も多いのがメールを利用したものです。最近ではLINEなどのコミュニケーションツールや、SNSのメッセージ機能など単に電子メールを利用したものだけでなく、さまざまな機能やチャネルを活用して手口を繰り広げます。- (ア) 設定確認型
「近年、情報漏えい事件が多発していることを受け、新たなセキュリティ機能を導入しました。従いまして、下記のリンクから多要素認証の設定を願い致します」などの文言でメールを送信し、巧みにログイン情報などを搾取します。中には「設定したパスワードが簡単すぎます」などの文言でログイン情報を搾取しようとします。 - (イ) アカウントロック型
「当サービスにおいてお客様のアカウントに第三者からのアクセスを確認しました。暫定的にアカウント情報を変更し、対処しております。サービスの利用につきましては、下記リンクよりパスワードの再設定を行っていただきますようお願い致します」といった緊急的にアカウントをロックしたことを通知し、実はフィッシング詐欺だったというケースが多数あります。この他にも「アカウント情報に誤りがある」「プロダクトキーが不正利用されている」などの事例も存在します。 - (ウ) 購入確認型
ショッピングサイトで商品を購入すると「購入確認メール」が送信されますが、その中にフィッシング詐欺が紛れている可能性があります。「こんな商品購入した覚えはない」というものに関しては、絶対にリンクをクリックしないよう注意しましょう。また、「心当たりがない方はこちらからキャンセル願います」という文言にも騙されないようにします。
- (ア) 設定確認型
- 本物同様にサイトに誘導する
フィッシング詐欺の中には非常に高度なものが存在します。たとえばWebサイトのURLを限りなく本物サイトに近づけ、サイトの内容も本物とまったく同じように作ります。実は、Webページを丸ごとコピーして使用するということはさほど難しくないため、本物そっくりなサイトを作るのは簡単です。そして、偽サイト上で入力した情報はすべてサイバー犯罪者に取得されてしまいます。
こうした手口のフィッシング詐欺の場合、多くはメールを使用して偽サイトへアクセスさせようとします。普段利用しているショッピングサイトやサービスサイトへ、会員制メディアにメールからアクセスする際は、送信元や送信先URLの確認を十分に行い、安全性を確かめてからアクセスしましょう。 - セッションジャック
セッションジャックとはサイバー攻撃の一種であり、ショッピングサイトやサービスサイトのWebサーバーと端末が通信している際に、通信の合間に入り込んで「セッション」を乗っ取る(ジャックする)ものです。セッションジャックが起きると、非常に自然な状態で偽サイトに誘導されてしまい、入力したアカウント情報を搾取されてしまいます。
フィッシング詐欺に引っかからないためには?
フィッシング詐欺は詐欺の一種です。多くの場合はメールを介して実行されるため、必ずどこかに詐欺らしきポイントが隠れています。フィッシング詐欺にはそれらのポイントを見極め、詐欺に引っかからないことが大切です。
- メールの宛先、件名を確認する
- メールの送信元を確認する
- メール内の入力エリアは無視する
- 同様の情報があるかWebサイトで確認する
- リンクのURLを確認する
- おかしな日本語は使われていないか確認する
- 普段と違ったページにアクセスしていないか確認する
- URLにカーソルを合わせてURLが怪しくないか確認する
以上のポイントを踏まえて、受信したメールやアクセスしたページがフィッシング詐欺ではないかをどうかを見極めていきましょう。ちなみに、アクセスしたサイトのURL欄にカーソルを合わせる理由は、「URL欄に画像を貼り付けて本物同様にURLに偽装している可能性があるため」です。
[SMART_CONTENT]FortiGateで実現するフィッシング詐欺対策!
上記にてフィッシング詐欺対策として個人的に注意すべき点をご紹介しました。しかし、それだけでは万全ではなく、企業としてはそれらの詐欺行為から包括的に防御する技術が必要です。
FortinetのFortiGateは、UTM(統合脅威管理システム)として世界No.1シェアのセキュリティシステムであり、フィッシング詐欺を効果的に防ぐための機能が揃っています。メール経由での攻撃はもちろん、Webフィルタリングによってアクセスするサイトの安全性をFortiMailやFortiGateで防ぎます。フィッシング詐欺対策を強化する場合は、ぜひFortinet製品をご検討ください。
この記事に関するサービスのご紹介
