メインコンテンツにスキップする

フィッシングの被害者になってしまいました。どうすればよいですか?

フィッシングの被害者から盗まれたパスワードが表示されている画面。

技術の発展とインターネットの広い普及は、情報へのアクセスの増加や相互のつながりの緊密化といった多くの好影響をもたらしました。しかし、このことによってユーザーがさまざまなサイバーセキュリティリスクにさらされることにもなりました。このようなリスクの1つとして、個人情報や金銭を盗んだり他人のアカウントやプロフィールを不正に乗っ取ることを最終目的としたサイバー攻撃が挙げられます。こうしたフィッシングと呼ばれるサイバー犯罪は現在広く蔓延しており、2022年1月から10月までに2億5500万件以上の攻撃(前年比61%増)が行われました。

このような攻撃は発生頻度がますます高まっており、個人および企業に大きな損害を与えるため、こうした攻撃がどのようなものなのか、どのように行われるのか、フィッシング攻撃を受けた後に何をすべきなのか、フィッシング攻撃を防ぐにはどうすればよいのかを一人ひとりがよく知っておくことが極めて重要です。

フィッシングとは

フィッシングの被害を避けるために、まず、こうした攻撃がどのようなものなのかを把握しておくことが重要です。簡潔に言えば、詐欺の一種です。メール、テキストメッセージ、または電話によって行われることが多く、悪意のある攻撃者が標的に対してログイン情報、認証情報、またはその他の個人データを開示するよう仕向けて、その開示されたデータを悪用する行為です。

米国国立標準技術研究所は、フィッシングを「ユーザーを騙して、情報を開示させたり、ユーザーのアカウント、コンピューター、あるいはネットワークに犯罪者をアクセス可能にする行為を促したりする、犯罪者による試み」と定義しています。

詐欺で情報が漏えいすると、サイバー犯罪者は通常、そのフィッシングの被害者の詳細情報を使用して、金品を奪い取ったり、引き続き他の犯罪を行ったりします。こうした行為は、一般的に、盗まれたログイン情報を使用して、銀行口座、クレジットカード、メールの受信トレイ、ホームネットワーク、ソーシャルメディアのプロファイル、さらには国税庁やマイナンバーのアカウントにアクセスすることで行われます。盗まれた認証情報に、複数のアカウントで使用しているパスワードが含まれている場合、フィッシング詐欺師が広範囲にわたって被害者のアカウントにアクセスできるため、より大きい損害が発生する可能性があります。

多くのフィッシング詐欺師は、信頼できる企業や人物になりすますことで、その詐欺が正当なものであるかのように装います。たとえば、多くの人がアカウントを持つであろう大企業を装って、フィッシングの標的にメールを送信します。実際に、Yahoo、DHL、Microsoft、Google、Facebook、Adobe、Netflixは、なりすましに利用されることが特に多い企業です。フィッシングメッセージで友人や知人になりすますこともあります。多くの場合、メッセージには、受信者を偽のWebサイトに誘導するリンクが含まれています。そこで標的に対して、ログイン情報やクレジットカード情報などの機密情報、または生年月日やマイナンバーなどの個人データを入力するよう促します。

フィッシング攻撃の種類

サイバー犯罪者が個人情報を盗んで、金銭を奪い取ったり、被害者になりすましたりする方法は、多岐にわたります。そのような方法の多くで、実在する企業の正式な代表者にハッカーがなりすまして、フィッシングの標的に個人情報を開示するよう仕向けて、その情報を使用して金品を奪い取ったり身分を詐称したりするという行為が行われます。このようなサイバー攻撃がどのようなものであるかを理解しておくと、フィッシング攻撃を防ぐ上で役立ちます。ハッカーがフィッシング攻撃を行う際に使用する、特に一般的な方法をいくつか紹介します。

  • メール:多くの人が悪意のあるメールを介してフィッシングの被害に遭っています。これらは通常、ユーザーがアカウントを持つWebサイトから正しく送信されたように見えますが、実際は個人データを盗み出すためにハッカーが送信したものです。多くの場合、これらのメールには、ユーザーにログイン情報などの機密データの入力を促すリンクが含まれています。このようにして、ハッカーは、パスワードやクレジットカード情報といった情報を盗むことができます。そしてその情報は、ハッカーの犯罪行為に使用されます。
  • テキスト:メールフィッシングと同様に、テキストフィッシング(スミッシング)でも、正当な送信元であるかのように見えるリンクを使用します。ユーザーに対してアカウントへのログインや個人情報の入力を促します。ただしこの場合は、メールではなく、SMSなどのテキストメッセージを介してリンクが送信されます。
  • 電話:このシナリオでは、詐欺師が電話所有者をフィッシング詐欺の標的として電話をかけます。その際に、その電話所有者がアカウントを持つ可能性がある実在する企業の代表者を装います。これは「ビッシング」と呼ばれることもあります。ハッカーは電話中に、アカウントの詳細情報の確認や特定の問題の解決のためであると言って、個人情報を聞き出します。情報を聞き出したら、詐欺師は目的に応じてその情報を悪用します。
  • ソーシャルメディア:偽のソーシャルメディアのプロファイルを設定して、他のユーザーを騙して個人情報を収集しようとするハッカーも存在します。そのようなハッカーは、フィッシングの標的に、懸賞に当選したので電話番号、メールアドレス、マイナンバーを教えてほしいなどと持ちかけることがあります。アカウントにセキュリティ上の問題があると説明し、ユーザーがログイン情報の確認に協力しない場合はアカウントがブロックされると述べる場合もあります。

銀行、電子商取引サイト、ソーシャルメディアのプラットフォームなどの正規の企業が、このような方法でアカウント所有者から機密情報を要求することはありません。このことを一人ひとりが覚えておくことが重要です。疑わしい場合は、どのような状況でも、詐欺の可能性のあるものは無視して正式なルートを通じて正規の企業に問い合わせることが最良の方法です。

フィッシング攻撃を認識する方法

メール、テキストメッセージ、電話など、詐欺師が個人の機密情報を盗む方法は無数に存在します。機密情報が盗まれたら、詐欺師がその情報を使用することで、フィッシングの被害者に深刻な損害が生じる可能性があります。そのため、フィッシング詐欺師が攻撃を実行するために用いる一般的な戦術を把握しておくことが、フィッシング攻撃を防ぐ第一歩となります。たとえば、次のことを通知するメール、テキスト、または電話は、詐欺である可能性があります。

  • アカウントで疑わしいログイン試行があったこと
  • アカウントの請求情報または支払い情報に問題があること
  • アカウントの個人情報や、口座情報、クレジットカード情報などを確認する必要があること
  • リンクをクリックして支払いを行う必要があること
  • アカウント所有者がリンクから情報を入力すると、返金または支払いを受けられること

また、詐欺のメッセージや電話には、次のようなフィッシングの兆候が見られることがあります。

  • AmazonやAppleなど、多くの人がアカウントを持つであろう正規の企業を装っている
  • メールに企業のロゴを使用している
  • メールアドレスに企業名が入っているが、正式な形式ではない
  • 自らの正当性を証明できない、または証明する意思がない

フィッシング攻撃を受けた後に何をするべきか

フィッシングの被害者は、自分の詳細情報が流出してしまったら、どうすればいいのかと不安に思うでしょう。講じることができる措置は数多くあります。攻撃による損害を抑えたり、他の人が同じ詐欺のフィッシングの被害に遭わないようにしたり、今後の攻撃の対策をしたりすることができます。ここからは、いくつかのことについて考えてみましょう。

何が起こったかを把握する

フィッシング攻撃を受けたら、被害者は攻撃がどのように行われたかを理解する必要があります。そのために、少々調査を行う必要があるかもしれません。たとえば、フィッシングのメールやテキストをよく調べて攻撃の目的を探ったり、ファイアウォールのログを調べて不審なURLやIPアドレスがないか確認したり、流出した可能性がある情報を正確に特定したりする必要があります。盗まれた情報に関連付けられている可能性があるアカウントをチェックし、不審なアクティビティがないかを確認するのもよいでしょう。

攻撃を報告する

フィッシングの被害者が、攻撃を受けた直後に何をするべきか悩んでいる場合は、公的機関に報告することも有効な選択肢の1つです。これは、単純なことでも簡単なことでもないかもしれません。しかし、さまざまな理由から、攻撃を報告することはとても重要です。たとえば、攻撃に利用された正規の組織に、詐欺師が実際の代表者を装っていると周知することができます。さらに重要なこととして、報告すると、詐欺師がなりすまし犯罪を試みたときに被害者を保護でき、攻撃によって情報が流出したアカウントを取り戻すことにつながります。また、報告によって不審な金銭の取引をブロックすることもできます。米国では、フィッシングはAPWG(Anti-Phishing Working Group)連邦取引委員会に報告することができます。ヨーロッパでは、これを担当する組織は欧州不正対策局です。こうした報告はすべて、フィッシング攻撃を防止するための今後の取り組みに役立ちます。

当該企業に連絡する

フィッシング詐欺師は、企業の代表者を装ったり、企業を装ってメッセージを送信したりするので、知らないうちに正規の企業がフィッシング攻撃に巻き込まれていることがよくあります。このような場合は、フィッシング攻撃を受けた後に当該企業に連絡して、この出来事について知らせることをおすすめします。こうすることで、今後のフィッシング攻撃を防止するための措置として、詐欺師がその企業の名前を名乗って企業の顧客に接触しようとしていることを、その顧客に注意喚起することができます。

デバイスの接続を切断する

マルウェアを利用してフィッシング攻撃が実行される場合もあります。この理由により、フィッシングの被害者は、被害を受けたデバイスをインターネットから切断する必要があります。そのために、デバイスのWi-Fi接続を無効にするか、Wi-Fiネットワークを完全に切断してリセットする必要があります。ネットワークを介してマルウェアがそれ以上送信されないようにする必要があるため、この措置を行うことが重要です。

流出した可能性があるパスワードを更新する

フィッシング詐欺では、被害者に対して機密情報を開示するよう仕向けることが多くあります。ユーザーを偽装Webサイトに誘導するリンクを使用して、パスワードなどのログイン情報を入力させようとする手法が一般的です。このようなフィッシングリンクをクリックしてしまったら、攻撃で流出した可能性があるすべてのパスワードを変更することをおすすめします。パスワードの変更は、フィッシングリンクからではなく、実際のWebサイトから行うようにしてください。流出した可能性があるパスワードが他のアカウントでも使用されている場合は、それらも忘れずに変更してください。

マルウェアスキャンを実行する

アンチウイルス製品は、デバイスのセキュリティとプライバシーを確保する上で極めて重要ですが、フィッシング攻撃の防止に関しても重要です。アンチウイルス製品がインストールされると、デバイスが自動的にスキャンされて、潜在的なマルウェアがすべて検出されます。ただし、ユーザー自身で、アンチウイルス製品が常に最新の状態になるようにして(単純に自動アップデートを設定します)、定期的に手動スキャンを実行して、ネットワーク上のすべてのデバイス、ファイル、アプリケーション、サーバーにマルウェアがないかをチェックする必要があります。

なりすまし犯罪に注意する

一部のフィッシング攻撃は、フィッシング詐欺師が不適切な目的で被害者になりすますために、標的に関する十分な個人情報を盗み出すことを目的としています。たとえば、標的からマイナンバー、電話番号、生年月日を盗み出すことで、攻撃者はSIMスワップ攻撃を実行したり、新しいクレジットカードを発行したり、引き続き他の種類の詐欺を行ったりすることができます。そのため、フィッシングの被害者は、予期しない金銭の取引や医療費の請求、申請していない新しいクレジットカード、オンラインアカウントへの不審なログイン試行など、なりすまし犯罪の兆候に注意する必要があります。金銭的な被害が発生した場合は、なりすまし犯罪が被害者の信用度スコアに影響しないように、米国の主要な信用調査機関であるTransUnion、Equifax、Experianに攻撃を報告する必要があります。

フィッシング攻撃を防ぐための8つのヒント

このような攻撃の蔓延の度合いに関係なく、フィッシングの被害を避けるために講じることができる対策は数多くあります。以下の8つのヒントを電子機器の一般的なセキュリティ対策に組み込むことで、フィッシング詐欺を回避することができます。

  1. フィッシング攻撃の兆候について学ぶ:フィッシング詐欺の仕組みをよく知っておくと、常に警戒して、フィッシングの被害を避けることができます。
  2. 不審なメールやテキストを削除または無視する:フィッシングの兆候を把握しておけば、潜在的に敵意のあるメッセージを特定し、積極的に削除することで、詐欺の被害に遭わないようにすることができます。
  3. 送信者を確認する:不審なメッセージの送信者を確認するというデューデリジェンス(しかるべき注意義務)を実行します。つまり、メールの送信元ドメインが、本来のメールの送信元として想定される会社のドメインと合致するかどうかを確認したり、メッセージを送信した電話番号が会社の正式な電話番号であるかどうかを確認したりします。
  4. 不審なメールのリンクをクリックしたり、そのメールからファイルをダウンロードしたりしない:これを徹底すれば、メールの受信者が偽のWebサイトで機密情報を漏えいしたり、知らないうちにマルウェアをインストールしたりしなくなるため、これは重要なフィッシング攻撃の予防策となります。
  5. フィッシング攻撃を報告する:これにより、他の人がフィッシングの被害に遭わないようにすることができます。また、詐欺に利用された可能性がある企業が、セキュリティ対策を強化して、その企業の顧客に注意喚起できるようになります。
  6. アンチウイルス製品およびアンチフィッシング製品をインストールして使用する:これらの製品は、不審なメッセージの除外、悪意のある可能性があるソフトウェアの削除やユーザーへの警告によって、ユーザーのセキュリティとプライバシーを保護するのに役立ちます。これらの製品を定期的にアップデートして、定期的に手動スキャンを実行する必要があります。
  7. 多要素認証を使用する:こうすることで、アカウントのセキュリティ層が追加されるため、フィッシング攻撃が成功した場合でも、フィッシング詐欺師が盗んだ情報を使用して、銀行口座、ソーシャルメディアのプロファイル、メールアカウントなどを乗っ取る機会が少なくなります。
  8. すべてのデータを定期的にバックアップする:使用しているデバイスがスマートフォンであるかノートPCであるかに関係なく、定期的にデバイスのすべてのデータを外付けハードドライブやクラウドなどにバックアップしてください。その際に、常時保護状態でいつでも利用可能になるようにするとよいでしょう。

結論

サイバー犯罪者がますます巧妙になっている現状では、残念ながら、フィッシングの被害は日常的に発生しています。このようなサイバー犯罪がどのようなものであるかを把握し、フィッシング攻撃を防ぐために講じるべき対策を理解することが重要です。ただし、フィッシング攻撃を受けた後に何をするべきかを、一人ひとりが知っておくことも同様に重要です。デバイスとアカウントを保護すること、フィッシング攻撃を報告すること、最初に攻撃がどのように行われたかを把握すること。これらの重要な措置を講じることで、その後の損害を抑えることができます。

Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つのAV-TEST賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。

関連記事やリンク:

ハッキングの概要と阻止する方法

関連製品とサービス:

カスペルスキー スモール オフィス セキュリティ

Kaspersky Endpoint Security Cloud

カスペルスキー プレミアム

フィッシングの被害者になってしまいました。どうすればよいですか?

ここ数年で、フィッシングがますます蔓延してきました。フィッシングとその予防策、およびフィッシング攻撃を受けた後に何をするべきかについて学びましょう。
Kaspersky logo