有名企業を名乗り、連絡事項を装ってWebサイトへ誘導しようとするメールやショートメッセージが問題になっています。こうしたメールを「フィッシングメール」、誘導先のWebサイトを「フィッシングサイト」といいます。
これらは古くからあるサイバー攻撃の1つですが、近年は手口も巧妙化していることもあり、被害に遭う人が後を絶ちません。また個人ばかりでなく企業宛のフィッシング詐欺で、顧客情報が流出してしまうケースも多く見られます。
本記事ではフィッシングサイトの手口や、フィッシングサイトによってもたらされる被害状況を明らかにし、企業が取るべき対策を説明します。
フィッシングサイトの「フィッシング」とは、「釣り」のfishingと「手の込んだ・洗練された」という意味のsophisticatedを合わせた「phishing」 という言葉が由来です。
最初にフィッシング詐欺の手法や、フィッシングサイトがどのように使われているかを整理しましょう。
フィッシング詐欺とは本来の送信者・発信者を偽り、メールやSMS(ショートメッセージサービス)、またSNSなどのコミュニケーションツールを利用して、不正に個人情報を搾取する詐欺の総称です。
近年の標的型攻撃やAPT攻撃(高度標的型攻撃)が、高度な手口を用いて特定の組織や企業を狙うのに対し、フィッシング詐欺は広範囲に、相手を定めず仕掛けるという違いがあります。
古くからある手法ですが、2020年下半期以降、金融機関や Amazon、楽天のなりすまし送信が急増しています。それに伴い、フィッシングサイトも以下のグラフのように増加の一途をたどっています。
【報告された国内のフィッシングサイトの件数】
フィッシングレポート2021 |フィッシング対策協議会
フィッシングサイトを使った詐欺にも、いくつかの種類があります。こちらでは主要な5つのフィッシング詐欺の手口をお伝えします。
公的機関や有名企業の名前でメールを送信し、正規のウェブサイトを装ったフィッシングサイトへ誘導する手口です。
【メールボックスに届いたフィッシングメールの例】
なりすましメールの内容は以下の2種類に大別されます。
「緊急のご連絡」などの件名で届き、「第三者による不正アクセスが確認されました」など不安を煽ってIDやパスワードを至急変更する必要があると伝えます。ユーザーがURLをクリックすると、フィッシングサイトに誘導され、そこで現在使用しているIDやパスワードを入力するよう指示されます。
ECサイトやサブスクリプションサービスを偽装して、「お支払い方法に問題があります」などの件名で届きます。そのメールをユーザーが開封すると、フィッシングサイトのURLが記載されています。そして、誘導先のフィッシングサイトにはフォームがあり、IDやパスワードなどの個人情報を入力させるのです。
宅配便の不在通知や公的機関・有名企業に偽装したフィッシングメールを、スマホのSMS(ショートメッセージサービス)を通じて送信するものです。SMSとフィッシングを組み合わせて「スミッシング」と呼ばれます。
【実際に送付されたスミッシングの例】
このショートメッセージに記されているURLはAmazonを偽装するフィッシングサイトです。正規のWebサイトであればURLは「amazon.co.jp/」または「https://××.amazon.co.jp/」で始まります。
SNSを利用し、フィッシングサイトに誘導する手口です。SNSによってさまざまな手口を取るため、代表的な経路を3つ紹介します。
偽のアンケートサイト(フィッシングサイト)へ誘導します。謝礼品を受け取るためにLINEでの友達やグループへの拡散を促したり、電話番号の入力や海外へ電話を求めたりする場合もあります。
「プロフィールの訪問履歴確認」という投稿からフィッシングサイトへ誘導します。IDとパスワードの入力を求められユーザーが応じると、アカウントが乗っ取られます。
企業を装った偽アカウントをフォローし、プロフィール上のURLをクリックすると、フィッシングサイトに誘導されます。また、ダイレクトメッセージが届き、そこからフィッシングサイトに誘導され、個人情報が窃取されます。
検索画面に表示される検索連動広告に、極端に高い割引率をうたう偽のセール情報が表示される場合があります。その広告をクリックするとフィッシングサイトに遷移して、そこで個人情報を記入するよう促されます。
近年、フィッシングサイトだけでなく、ドメインまで偽造するファーミングサイトが登場しています。
フィッシング詐欺は、実際の企業ドメインに似せた偽ドメインを用いてメールを送りつけ、フィッシングサイトにユーザーを誘導し、個人情報などを窃取を狙います。
一方、ファーミング詐欺は、ターゲットのPCやDNSサーバーに、「詐欺の種」をまき、ユーザーの個人情報を収穫するというところから、農業(ファーミング)になぞらえられています。
ファーミング詐欺は、フィッシング詐欺とは異なり、ユーザーにメールなどで接触しません。
ユーザーが通常通りの手順でアクセスしたにもかかわらず、ファーミングサイトに誘導されるのが、ファーミング詐欺の特徴です。ユーザーは正規の手続きを経てアクセスしているため、ファーミングサイトだと気づきません。
攻撃者はあらかじめトロイの木馬などのマルウェアを使って、ユーザーのパソコンの設定ファイルを書き換えます。そしてユーザーが正規のWebサイトにアクセスしようとすると、ファーミングサイトの方に誘導されてしまうのです。
また、DNSサーバーに一時的に保存されているキャッシュを改ざんする手口もあります。いずれにしても、ユーザーが気づかないままファーミングサイトに誘導され、個人情報を抜き取られてしまいます。
フィッシングサイトで誤って個人情報を入力してしまうと、どのような事態になるのでしょうか。ここでは、主に3つの被害例をご紹介します。
SNSでID・パスワードなどのログイン情報をユーザーが入力すると、ユーザーのアカウントが乗っ取られます。そこから偽ECサイトへ誘導する投稿や、ユーザーのフォロワーに対して偽ECサイトを紹介するDMが送付される場合もあります。
またGoogleアカウントやAppleアカウントが窃取されると、アプリストアで高額な買い物をされるかもしれません。
共通のID・パスワードでSNSを運用している場合は、1つのアカウントで多くのアカウントが乗っ取られる恐れがあります。
金融機関のID・パスワードが窃取された場合は、金銭が盗まれます。クレジットカード情報の場合は、勝手に使用される恐れがあります。
窃取した個人情報は、違法サイトで売買されます。 また他のECサイトなどでの不正ログインに利用されます。
企業の従業員がフィッシングサイトで自社のアドレスとパスワードを入力した場合は、企業のメールサーバーへの不正アクセスに直結します。その結果、顧客情報が流出した事例もあります。
企業は顧客に安全・安心という価値を提供するためにも、セキュリティ対策を万全にする必要があります。ここでは企業が取るべきセキュリティ対策を紹介します。
顧客を守るために、「偽装サイト対策」と「なりすましメール対策」の両面を行います。
自社のWebサイトがフィッシングサイトに利用されると、顧客に被害が及ぶとともに、企業としての信頼感やブランドイメージを毀損します。そのため自社のWebサイトがフィッシングサイトに偽装されないように、自社サイトへ「SSLサーバー証明書」を導入します。
「SSLサーバー証明書」は、サーバーに組み込んで利用する電子証明書です。
SSLサーバー証明書を取得すると、上記のようにアドレスバーに鍵マークが表示されます。ユーザーは本物のサイトかどうか、簡単に確認できます。
ユーザーにメールを送信する場合には、送信ドメイン認証技術を使用し、なりすましメール対策を行いましょう。
フィッシング対策協議会が出している「 フィッシング対策ガイドライン 2020年度版 」には、企業の送信用のメールサーバーには以下に紹介するSPF、DKIMの送信ドメイン認証に加え、DMARCの活用が望ましいと書かれています。
SPF(Sender Policy Framework)
正規のメールサーバーから送信されたと受信側のサーバーが確認できる仕組みです。最初にメール送信者がメールを送るサーバーを宣言します。その宣言を受け取った受信サーバーが、そのサーバーから送られたものかどうかを確認します。
DKIM(Domain Keys Identified Mail)
メールの電子署名で正規メールか否かを見分ける仕組みです。送信者はメールに電子署名を付与し、カギを宣言します。受信サーバーはそのカギで送り主の電子署名を読み解きます。
DMARC( Domain-based Message Authentication, Reporting & Conformance)
送信者は最初に「自社のなりすましメールはブロックするように」と宣言します。その宣言を受けSPFとDKIMで「なりすまし」と認証されたメールを、受信者側は確実にブロックします。
上記の安全対策を行った上で自社のセキュリティポリシーを明確にすれば、ユーザーは安心してWebサイトを閲覧したり、企業からのメールなどを受け取れます。
業務用端末にはセキュリティソフトを導入し、従業員がフィッシングメールを感知できるようにします。セキュリティソフトは、ユーザーがフィッシングサイトのURLをクリックすると警告されるため、従業員がアクセスするリスクが低減されます。
セキュリティソフトは既知の攻撃には対処できますが、未知の攻撃には対処できません。新たなサイバー攻撃が次々と生まれている中で未知の攻撃に相対するためには、従業員の情報リテラシーの向上が何よりも重要です。
そのために企業にはセキュリティ担当部署を設置し、担当者はサイバー攻撃に関する継続的な情報収集を行いつつ、全従業員に向けてセキュリティ教育を提供しましょう。
社内でセキュリティ対策を行う際に、従業員向けにかならず伝えたいのは以下の3点です。
不安をあおるような文面は、フィッシングメールの特徴の1つです。また表現に不自然なところがないかも注意しましょう。
特に重要な内容に触れられている場合は、メールアドレスやメール本文のURLを見て、ドメインを確認しましょう。
フィッシングメールは上記のようにドメインが偽装されているものが多いです。フィッシングメールの中にはドメインまで正規と同じ場合もあるため完全ではありませんが、フィッシング対策の基本として押さえておきましょう。
個人情報を入力する際には、メール経由ではなく公式サイトからアクセスしましょう。また普段から利用しているサービスは、ブックマークに登録したり、公式アプリを利用するのがおすすめです。
デバイスの状態が最新であれば、脆弱性をついた侵入に対処しやすいです。被害に遭った企業は、OSなどのバージョンが古いまま使用しているケースが多いです。基本的な対策ではありますが、端末のセキュリティホールをふさぐために、OSのアップデートなどは必ず行いましょう。
もし 自社のフィッシングサイトが設置されたら、企業は迅速に対応しなければなりません。早急にとるべき対応策を3点にまとめてご紹介します。
フィッシングサイトはユーザーからのフィッシングメールの報告から発見されるケースが一般的です。直ちに発信元になっているフィッシングサイトを確認しましょう。フィッシングサイトを精査し、自社サイトとの類似性を元に、危険性の度合を判断します。
それと共にフィッシングサイトの存在を警察やフィッシング対策協議会に連絡します。Googleでもフィッシングサイトの情報提供を求めているため、報告フォームから情報を提供しましょう。
警察庁: フィッシング110番
フィッシング対策協議会:報告
Google: フィッシング詐欺の報告フォーム
ユーザーからのフィッシングメール報告や被害報告を元に、被害内容を把握します。特に金銭的被害が発生する可能性がある場合、メールやWebサイトを通じてユーザーへ迅速な注意喚起を行います。
フィッシングサイトの閉鎖依頼(テイクダウン)は、以下の3つの方法があります。
フィッシングサイトのISP(インターネットサービスプロバイダー)に連絡を取り、閉鎖依頼を行います。ただしIPSが海外の場合、閉鎖までに時間がかかります。
フィッシング対策協議会の事務局JPCERT コーディネーションセンター(JPCERT/CC)では、以下にリンクされている届け出フォームから依頼をできます。
またフィッシング対策協議会では、以下のような被害対応フローを提供しています。セキュリティ対策の一環として、予め確認しておきましょう。
フィッシング詐欺対応フロー| フィッシング対策ガイドライン より
民間の事業者の中には「フィッシング詐欺被害対応サービス」を提供しているところがあります。万一の備えとして事前に契約していると、テイクダウンの依頼が可能です。また事業者によってはフィッシングサイト監視サービスを行っているところもあります。
フィッシングサイトの具体的な事例と企業の行った対策を紹介します。
「重要なお知らせ」や「会員登録情報の確認と更新のお願い」という件名で、ソフトバンクになりすましたメールやSMSが送付されました。いずれもIDやパスワードを窃取するフィッシングサイトに誘導を狙ったものです。
ソフトバンクではすぐに自社サイトで「 ソフトバンクをかたる不審なメールやサイトに関するご注意 」を発表し、ユーザーに注意と対応策を通知しました。
Amazonを偽装するフィッシングサイトは、世界中でさまざまな被害をもたらしました。以下の2つが代表的な手口です。
Amazonでは「 AmazonからのEメール、電話、テキストメッセージ、またはウェブページかどうかを見分ける 」ページでなりすましメールの手口やAmazonの正規メールが使用するアドレスを公開し、ユーザーに注意を喚起しました。
さくらインターネットを偽装したフィッシングサイトに誘導しようと、さくらインターネットをかたるフィッシングメールが急増しています。
フィッシングメールから誘導されたフィッシングサイトでIDやパスワードが窃取されると、不正ログインによってWebサイトが乗っ取られます。その結果、Webサイトが改ざんされたり、自社サイトにフィッシングのページが追加されたり、マルウェアのダウンロードに使われる場合もあります。
さくらインターネットでは「 さくらインターネットを騙る「なりすまし・フィッシングメール」にご注意ください 」で注意を喚起しています。
ホスティングプロバイダーを偽装するフィッシングメールは今後、増える可能性があります。Webサイトを運用する企業は、十分な注意が必要です。
フィッシングサイトを通じたID・パスワードの窃取の被害は、2019年の下半期から年々急増しています。
フィッシング詐欺はメールやSMSを通じてフィッシングメールをばらまき、そこからフィッシングサイトへ誘導するというシンプルな手口です。しかし不安につけこまれ、個人情報を入力するユーザーは後を絶ちません。
今後も増加するであろうフィッシングサイトに対して、企業は「クライアント向け」と「社内向け」の2本立てで対策を講じましょう。
クライアントに向けては「SSLサーバー証明書」の導入、社内に向けてはセキュリティ対策の徹底が基本です。
ただしセキュリティ対策はフィッシングサイト対策ばかりではありません。マルウェアを始めとしたさまざまなサイバー攻撃に対処するためには、従業員のITリテラシーを高めて、セキュリティ対策のガイドラインを作成しましょう。
サイバーセキュリティ対策の徹底を通じて、顧客は安全に購買やWebサイトの閲覧ができます。フィッシング詐欺を始めとしたさまざまなサイバー攻撃に備えて、自社のセキュリティ対策を行いましょう。