個人情報を盗むためにオンライン詐欺に手を染める犯罪者は増え続けています。このような状況で、フィッシング対策は不可欠となっています。迷惑メール(スパム)を無視することは簡単にできるようになった現在でも、フィッシングメールはあの手この手でユーザーを信用させて騙せるように手を尽くしています。一部のフィッシングメールは、ユーザーに合わせてカスタマイズされている場合もあります。いずれはフィッシング攻撃の標的となる可能性は高いと考えて、危険信号を見抜けるようにしておきましょう。Web上の詐欺には目新しいものはありませんが、フィッシングの看破は想像するより難しいものです。
Web上の至る所でフィッシング攻撃が行われており、無防備な被害者をおびき寄せて、銀行情報、社会保障番号などの情報を詐取し続けています。その上、サイバー犯罪者の偽装テクニックは巧妙になっています。ユーザーが知っていて信頼している人物や組織(同僚、銀行、はては政府など)になりすまし、こうした詐欺行為が行われる場合もあります。このような状況では、リンクをクリックしただけで次の犠牲者になってしまいかねません。
フィッシングからの自衛手段について、いくつかの重要な質問にお答えします:
フィッシングは、詐欺師が標的のデバイス、アカウント、または個人情報にアクセスできるようにする行動を取るように誘導する行為です。信頼できる人物や組織のふりをすることで、詐欺師はより簡単にマルウェアに感染させたり、クレジットカード情報を盗んだりすることができます。
言い換えれば、このようなソーシャルエンジニアリングの手口は、あなたの貴重な情報を得るために、信頼を「餌」にしています。ソーシャルメディアへのログインから、社会保障番号からわかる身元情報まで、この手口はあらゆる対象に有効です。
具体的な手段としては、添付ファイルを開かせようとしたり、リンクをクリックさせようとしたり、フォームへの入力や個人情報つきの返信を催促したりします。この理屈に従うと、あらゆる働きかけが警戒の対象となり、心身が疲弊するかもしれません。
最もよくあるシナリオの1つは、次のようなものです:
こうした脅威はかなり手が込んだものであり、あらゆる通信手段がその手口となり得ます。時には電話をかけて詐欺行為を働くことさえあります。フィッシングの危険性は、細かいことに疑いを持たない人を欺くことができることです。
被害妄想に陥ることなく自衛するために、フィッシング攻撃がどのように行われるのかを詳しく見ていきましょう。
メールを使う人なら誰でも、フィッシング詐欺の標的になる可能性があります。
フィッシング詐欺が通常試行することは次の通りです:
脅威の被害が、直接の標的にとどまらないこともあります。ハッカーがメールアカウントや連絡先リスト、ソーシャルメディアのアカウントを入手した場合、知り合いへのフィッシングメッセージの送付が可能になります。
信頼できる相手の存在や要求の緊急性が、フィッシングによる詐欺行為の成功率と危険性を高めています。信頼性を構築し、考える前に行動するように仕向けることができれば、標的を騙すことは簡単です。
フィッシングは、私生活でも職場でも、年齢を問わず誰にでも影響を与える可能性があります。
お年寄りから小さな子供まで、誰もがインターネット機器を使用する時代です。誰かの連絡先に関する情報が公開されているのを発見すれば、詐欺師はそれをフィッシングの標的としてリストアップします。
電話番号、メールアドレス、オンラインメッセージのID、ソーシャルメディアのアカウントは、現在では隠すことが難しくなっています。そのため、これらのいずれかを持っているだけで、標的にされる可能性は十分にあります。付け加えると、フィッシング攻撃の標的は広範囲に及ぶこともあれば、社会的立場や影響力が高い人物に絞られることもあります。
スパムフィッシングは、無防備なユーザーを引っかけるために広範囲にしかけられた網のようなものです。ほとんどのフィッシング攻撃はこのカテゴリに入ります。
言ってみれば、スパムとは自宅の玄関先や郵便受けに投函される「広告チラシ」のデジタル版のようなものです。チラシは迷惑なだけですが、スパムは実害を伴います。特に、フィッシング詐欺に使用されるスパムは危険です。
スパムメール送信者やサイバー犯罪者によって大量に送信されるスパムメールには、次の目的があります:
スパムフィッシングは、詐欺師が標的の情報を入手するのによく使用される手口の1つです。不特定多数ではなく、標的を絞って攻撃することもあります。
標的型フィッシング攻撃は通常、スピアフィッシングやその最も一般的な亜種であるホエーリングを指します。
スピアフィッシングが不特定多数を標的とするのに対して、ホエーリングは社会的立場が高い人物や著名人などを標的とします。フィッシングの標的は通常、特定の企業や政府組織の従業員です。このような詐欺は、特に社会的価値が高いか、脆弱であると判断される人物を簡単に標的にすることもできます。
標的になっている銀行の顧客や、医療施設の従業員も標的とされる可能性があります。ソーシャルメディアの不自然な友達リクエストに反応しただけでも、フィッシングの被害に遭うかもしれません。
フィッシング詐欺師は、このような手口の場合はより忍耐強くなります。個人に特化した詐欺は、報酬を得るため、または成功の可能性を高めるために、時間をかけて仕掛けられます。
このような攻撃を仕掛けるには、標的や標的が関与する組織の詳細を収集する必要があります。
フィッシング詐欺師が情報を入手する手段は次の通りです:
実際の攻撃に移る前に、標的にすぐに行動を起こすよう促すような働きかけが短期間で行われることがあります。また、大きな「お願い」をする前に信頼を得るため、数か月にわたって関係構築に努める場合もあります。
攻撃の手段は、ダイレクトメッセージや電話だけではありません。正規のWebサイトを直接ハッキングし、利益を詐取しようとすることもあります。油断していると、普段はまったく安全なサイトにログインしただけでフィッシングに遭ってしまうかもしれません。
残念なことに、多くの人がこうした犯罪者にとって都合の良い標的になっているようです。フィッシングは、こうした攻撃の頻度が高まるにつれ、新たな「定番」となっています。
最初のハードルは、フィッシングから期待されるものを理解することです。フィッシング詐欺は、電話やメール、さらには正規のWebサイトを乗っ取ったURLなど、あらゆる手段で行われます。
フィッシングの手口は、実際に目にすることで理解しやすくなります。多くの人は、このような詐欺を何度か実際に見かけて、スパムとして一蹴した経験があると思います。
標的を選んだ方法を問わず、フィッシング攻撃は多くの経路をたどって標的にたどり着きます。そして、ほとんどの人がこれらのフィッシングの少なくとも1つを経験する可能性があります。
また、正規のWebサイトが操作されたり、模倣されたりするケースもあります。
Webサイトに接続する前のインターネット接続でさえも、次のような攻撃で侵害される可能性があります:
最後に、注意すべきフィッシングの種類をいくつか紹介します:
実際のところ、フィッシング攻撃には数多くの種類があり、その数は増加の一途をたどっています。ここで述べた攻撃は現在最もよく見られるものですが、数か月後にはまた新しい攻撃が増えているかもしれません。
このような詐欺は時勢に適応して急速に変化するため、見破るのは困難です。しかし、自分の安全性を高める方法はあります。また、最近の詐欺を知り注意しておくことが、安全性を高めるために簡単に始められる第一歩です。
すべてのフィッシング詐欺をここでリストアップすることは現実的ではありませんし、不可能ですが、よくある事例の中で特に注意しておくべきものをいくつか紹介します:
イランのサイバー攻撃によるフィッシング詐欺は、Microsoftになりすました不正なメールを使用し、データを復元するためのログインを促して標的のMicrosoftの資格情報を盗もうとします。この詐欺は、Windowsが利用できなくなることへの恐怖や、時事ニュースとの関連性を使用して、信憑性を高めます。
Office 365の削除アラートも、標的の認証情報の詐取に使用されるMicrosoft関連の詐欺の1つです。このメール詐欺は、アカウントから大量のファイルを削除したことを通知し、ログインして確認することを要求します。メールにはログイン用のリンクが記載されていますが、ログインすればアカウント情報が流出することは言うまでもありません。
銀行からの通知。口座に関する通知を偽装したメールで標的を騙します。このようなメールには通常、Webフォームへすぐにアクセス可能なリンクが記載されています。リンク先のWebフォームは、「確認のため」銀行の詳細情報の記入を要求します。詳細情報を記入してはいけません。銀行に連絡し、受け取ったメールの詳細を伝えましょう。なりすましを使用した悪意のあるメールに対処してくれる場合があります。
「友人」からのメール。外国にいる既知の友人になりすまして、助けを求める文面をメールで送信します。この「助け」には通常、送金も含まれます。したがって、「友人」に送金する前にまず電話して、真偽を確かめるようにしてください。
懸賞の当選や相続に関するメール。思いがけず何かに当選したことを通知するメールや、一度も聞いたことがない親戚から遺産を相続できるなどと書かれたメールを受け取っても、真に受けて興奮しないようにしましょう。なぜなら、このようなメールのほとんどは、賞品の発送や相続の「確認」のために、リンクをクリックさせて情報を入力させる手口の詐欺だからです。
税金の還付と割り戻し。多くの人々は、毎年税金を納めたり、納税証明書を提出したりしています。そのため、この種類のフィッシング詐欺はよく発生します。使用されるフィッシングメッセージには通常、税金の還付を受けられるという通知か、監査対象に選ばれたという通知が記載されています。そして、(標的の詳細情報を入手する手段として)税金の還付請求書や申告書の提出を要求し、入手した後はそれを利用してお金を盗んだり、個人データを売却したりします。
コロナウイルス(COVID-19)フィッシング詐欺は、恐怖を武器にしてサイバー犯罪を行う最新の手口です。最も注目すべきものの1つとしてバンキング型トロイの木馬のGinpが挙げられます。デバイスに感染し、「Coronavirus Finder」というアプリを提供するWebページを開きます。このページは撒き餌として使用され、近隣で発生した感染例を知るために標的がお金を払うという仕組みです。その結果、クレジットカードの情報が犯罪者の手に渡ります。
また、重要な政府機関や、世界保健機関(WHO)になりすました詐欺も発生しています。この詐欺では通常、詐欺師が直接ユーザーにメールで連絡します。銀行口座の詳細やリンクのクリックを要求し、コンピューターをマルウェアに感染させて個人データを盗もうとします。
このようなメールやメッセージは、一見正式なもののように見えます。しかし、リンクのURL(リンクの上にカーソルを合わせ、クリックしないでください)やメールアドレスを注意深く調べると、本物ではなく、信用すべきではないとわかる特徴が往々にして見つかります(WHOや政府からのメールであるのにもかかわらず、Gmailアカウントから送信されているなど)。
このような詐欺に引っかからないようにしてください。上述したような組織がメールで個人情報や銀行口座の詳細を尋ねることはありません。また、デバイスにアプリやソフトウェアをダウンロードするように要求することも、ほぼあり得ないでしょう。ですから、このようなメールやメッセージを受け取った場合、特に突然受け取った場合は、リンクをクリックしたり、個人情報や銀行の情報を教えないようにしてください。不安な場合は、該当する当局や銀行に確認し、信頼できるWebサイトや情報源のみを参照するようにしてください。
このようなメールを受け取ったら、次の手順を実行してください:
本来、フィッシングメールには似たような特徴があります。最近のサイバー犯罪の傾向をよく知ることで、そのような特徴を見抜くことができるでしょう。しかし、一見しただけでこうした特徴を見抜くことが難しい場合もあります。そこで、危険性を見抜く方法について詳しく説明しましょう。
フィッシングメールは、一貫性のないものや不自然なものを特定することで見分けることができます。
一部のフィッシングメールは、実在する団体からの正規のメールとすぐには見分けがつかないほどに巧妙です。まず、リンクや添付ファイルを開いたり、返信を送信したりする前に、落ち着いて時間をかけてメールを確認しましょう。
ここでは、不審なメールを受信した場合の対応例を紹介します:
あなたが、最近上陸したハリケーンの被災者のために寄付をお願いするメールを受け取ったとしましょう。送信者のドメインは 「help@ushurricanesurvivors.net」と表示されています。聞き覚えがないものの、いかにも実在する合法的な組織であるかのように見えます。
通常、こうした不審なメールは迷惑メールとしてフィルタリングされ、受信メールボックスに届くことはありません。
セキュリティ対策に関する知識が身についているユーザーであれば、個人情報、銀行やクレジットカードの詳細情報を要求する組織からのメールに、あえて返信してみるなどというリスクは冒さないでしょう。特に、自分から送信を要求していないメールや、実在する合法的な組織が送信元であることが確認できないメールには、決して返信しないでください。
すぐに行動を起こすのではなく、一度立ち止まってみましょう。これにより、自分を守るための重要な一歩を踏み出したことになります。とはいえ時には、合法的なのか詐欺なのか判断を下す必要があるメールもあるかと思います。
そこで、フィッシングメールのどこを見ればいいのか、正確に知っておく必要があります。
フィッシングメールが悪質であり、残念ながら多くの犠牲者がたびたび発生する理由の1つとして、真正のメールであるかのように見せかける技術が高いことが挙げられます。フィッシングメールには次のような特徴がよく見られます。これらのいずれかに該当する場合はフィッシングと断定してもよいでしょう:
サイバー犯罪者はフィッシングサイトを短期間で作成することが多いため、本物のサイトとは似ても似つかぬほど違った見た目になることがあります。これらの特徴で判断すれば、悪意のあるメールを見分けることができます。
それでも、迷惑メールフォルダーをすり抜けるようなフィッシングメールがある場合、どのように対処すればよいかをこれから説明します。
まず、フィッシングメールに対して日頃から警戒を怠らないようにしましょう。その上で、受信トレイで(迷惑メールに自動フィルタリングされていない)フィッシングメールに遭遇した場合は、次の手順を実行して被害を防ぎましょう。
フィッシングメールに対処する最善の方法は、すぐにブロックするか削除することです。送信元のブロック対象への追加やセキュリティ対策製品の購入は次善策ですが、フィッシング攻撃による被害を受ける確率がさらに下がるでしょう。
フィッシングメールを見つけて削除する以外に、自分を守るためのちょっとしたヒントを紹介します。
好むと好まざるとにかかわらず、フィッシングメールの標的になることは日常茶飯事です。
フィッシングメールの大半は、メールクライアントにより自動的にフィルタリングされます。ほとんどの場合、ユーザーはこの種のメールを識別し、常識的な判断で要求に従わないようにすることは、比較的得意になってきたと言えるでしょう。
しかし、前述した通り、フィッシングの手口はどんどん巧妙になり、悪質性を増しています。また、フィッシング攻撃はメールだけでなく、その他のコミュニケーションツールやオンライン活動でも仕掛けられるということも、前述した通りです。
いくつかの簡単なフィッシング防止のヒントに従うことで、被害に遭う確率を大幅に下げることができます。
インターネットの保護は、サイバー脅威の可能性があるものに対する考え方と行動から始まります。
フィッシングは、標的を騙してメールや企業のイントラネットなど機密性の高いアカウントの認証情報を奪い取る手口です。
用心深いユーザーであっても、フィッシング攻撃を検知するのは難しい場合があります。フィッシングの手口は日に日に巧妙になってきています。サイバー犯罪者は詐欺の手口をカスタマイズする方法を探し出し、標的が簡単に騙されるような説得力があるメッセージを作成します。
ここでは、メールやその他のコミュニケーションで常に取るべき基本的な対策をいくつか紹介します:
Kasperskyのインターネットセキュリティエキスパートが提案する、スパムの受信機会を減らすのに役立つヒントをいくつか紹介します:
プライベートなメールアドレスを設定しましょう。このアドレスは、個人的なやりとりのみに使用します。スパムメール送信者は、よくある名前や単語、数字を組み合わせて実在しそうなメールアドレスのリストを作成し、スパムの宛先とします。そのため、彼らが推測できないようなアドレスを作成する必要があります。プライベートなアドレスには、単純な姓名の組み合わせを使用しないでください。また、アドレスを次の方法で保護しましょう:
公開用メールアドレスを設定しましょう。公開フォーラムやチャットルームの登録にメールアドレスが必要な場合や、メーリングリストやその他のインターネットサービスに申し込む場合、公開用メールアドレスを使用します。次のヒントは、公開用メールアドレス経由で受け取るスパムの量を減らすのにも役立ちます:
スパムには絶対に返信しないでください。多くのスパムメール送信者は、受信の有無を確認し、返信をログに記録しています。返信の回数が多いほど、スパムの受信機会も増えます。
「配信停止」をクリックする前に一度立ち止まって考えましょう。スパムメール送信者は、偽の配信停止用のメールを送信して有効なメールアドレスを収集しようとします。このようなメールにある「配信停止」をクリックしてしまうと、それ以降、受信するスパムの量が増加する場合があります。不明な送信元から送られて来るメールの「配信停止」のリンクはクリックしないように気をつけてください。
ブラウザーを常に最新の状態にしましょう。最新バージョンのブラウザーを使用し、最新のセキュリティ修正プログラムがすべて適用されていることを確認してください。
スパム対策フィルタリングを使用しましょう。スパムフィルタリング機能を実装したプロバイダーのメールアカウントのみを使用するようにしてください。また、高性能なスパム対策機能を実装しており、ウイルス対策とインターネットセキュリティの確保が可能な製品を利用してください。
フィッシング被害から身を守るための最も簡単な方法の1つは、適切なインターネットセキュリティ製品をコンピューターにインストールすることです。インターネットセキュリティソフトウェアは、管理しやすい統合されたスイート製品で、多層保護を実現するため、すべてのユーザーに欠かせないものです。
信頼性が高い保護を実現するには、セキュリティ製品には次が実装されている必要があります:
スパム対策:フィッシングメールや迷惑メールからメールアカウントを保護し、被害を防ぐように設計されています。セキュリティリサーチャーが作成した事前定義された拒否リストと連携の連携が可能なだけではなく、スパム対策製品には、迷惑メールとそうでないメールの識別を時間をかけて学習するインテリジェンス機能があります。自分でも警戒を怠らないことも重要ですが、問題が発生する可能性をソフトウェアが排除してくれているのであれば、より安心してデジタル生活を送ることができます。フィッシング対策やスパム対策ソ製品を使用し、悪意のあるメッセージがコンピューターに侵入してくるのを防ぎましょう。
マルウェア対策は、その他の脅威の防止を目的としています。スパム対策と同様に、マルウェア対策製品もセキュリティリサーチャーによってプログラムされており、最も巧妙なマルウェアも発見することができます。セキュリティベンダーによる継続的なアップデートにより、製品はよりインテリジェントになり、最新の脅威にも対処できるようになっています。マルウェア対策パッケージを使用すれば、ウイルス、トロイの木馬、ワームなどから身を守ることができます。
ファイアウォール、スパム対策、マルウェア対策を1つのパッケージに統合することで、多層的な保護を実現することができます。そのため、危険なリンクを誤ってクリックしてしまった場合も、別の保護機能によってシステムへのセキュリティ侵害を防止することができます。これらは、常識では考えつかないような悪意のある攻撃にも対応できるように設計されているため、使用しているデバイスのすべてへのインストールが不可欠なツールです。
技術は急速に進歩しており、サイバー攻撃の技術も例外ではありません。信頼できるセキュリティベンダーの製品を使用して、フィッシングやその他のマルウェアの脅威からデバイスを保護しましょう。
ウイルス対策製品をデバイスにインストールするだけでなく、パスワードマネージャーを使用して、オンラインの資格情報を管理することも重要です。
今日は、すべてのWebサイトで独自のパスワードを使用することが不可欠です。データ流出が発生した場合、サイバー犯罪者は発見した資格情報をWeb上で使用しようとします。
パスワードマネージャーの最も優れた機能の1つは、クリック操作を最小限に抑えるために、ログインフォームに必要事項を自動入力する機能です。さらに、多くのパスワードマネージャーにはUSBドライブに保存可能なポータブル版があり、どこにでもパスワードを携帯できます。
フィッシング対策は時に難しい分野ですが、この記事で紹介した簡単なヒントやアドバイスに従い、適切なフィッシング対策ツールを使用することで、オンライン上で詐欺の被害に遭うリスクを大幅に緩和できます。
インターネットセキュリティに不可欠な保護機能をすべて実装したパッケージが必要な場合は、カスペルスキー プレミアムをお試しください。