フィッシング詐欺とは?その対策や見分け方について

IT

みなさんこんにちは!マティアです!
前回に引き続きセキュリティについて一緒に学んでいきたいと思います。
今回は個人に対する情報セキュリティ10大脅威です。

情報セキュリティ10大脅威 – 個人

IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」によると、個人に対する情報セキュリティ10大脅威は以下の通りです。

  1. フィッシングによる個人情報等の詐取
  2. ネット上の誹謗・中傷・デマ
  3. メールやSMS等を使った脅迫・詐欺の手口による金銭要求
  4. クレジットカード情報の不正利用
  5. スマホ決済の不正利用
  6. 不正アプリによるスマートフォン利用者への被害
  7. 偽警告によるインターネット詐欺
  8. インターネット上のサービスからの個人情報の窃取

これらは、IPAが選出した脅威候補に対して、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が審議・投票を行い、決定したものです。

セキュリティの用語について整理し、1位のフィッシング詐欺について焦点を当てて今回はお話しさせていただきます。

フィッシング詐欺とは?

フィッシング詐欺とは、偽サイトへ誘導し、インターネットバンキングのIDやパスワード、口座番号やキャッシュカードの暗証番号、電話番号や生年月日などの情報を盗取することでインターネットバンキングを不正に操作して現金をだまし取る手口のことです

フィッシング詐欺に対する基本的な対策としては、送られてきたメールやメッセージが本物かどうかを確認すること、リンクを不用意にクリックしないこと、IDやパスワードを入力するサイトのURLを確認すること、SSLサーバー証明書の導入を確認すること、セキュリティソフトを導入することなどが挙げられます

SIMスワップ詐欺

SIMスワップ詐欺とは、詐欺師が電話番号を詐取する手法で、攻撃者は標的についてあらゆる方法で情報収集をします。インターネットを検索したり、その中でもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集めます。また、被害者の個人情報はすでに漏えいした情報からも収集されます。あるいは、詐欺師が標的から直接個人情報を盗むフィッシング詐欺や電話を介して誘導するビッシング詐欺といった、ソーシャルエンジニアリングの手法を通じて個人情報が詐取されるケースもあります

ビッシング詐欺

ビッシング詐欺とは、電話を利用したフィッシング詐欺の手法です。 「ボイス(Voice)+フィッシング(Phishing)」の2語を合わせてボイスフィッシングと呼ばれることもあります。不正な電話番号やソーシャルエンジニアリングを使って、ユーザーを巧みにだまし機密情報を奪い取る手口です参考

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人の心理を巧みに操作したり、人が油断した瞬間を見つけたりすることで、行動の隙に付け込み重要な情報を搾取する手法のことです。インターネットなどの情報通信技術を使わずに、ネットワークに侵入するために必要となるパスワードなどの重要な情報を盗み出す手法です参考。人間の心理的な隙や行動のミスにつけ込むものが多くあります参考

フィッシング詐欺に遭った場合

フィッシング詐欺に遭った場合、まずは冷静になることが大切です。警察はフィッシング詐欺によって金銭的被害が発生しない限りは事件として取り扱ってくれませんが、口座残高を抜かれた、クレジットカードを不正使用された方は、警察に被害届を提出してください

また、フィッシング詐欺に引っかかってしまったと思ったときに正しく行動することで被害を免れたり、被害を最小限にすることができます。こちらの記事ではケース別に対処法を紹介してくださっています。

フィッシング詐欺は、信頼できるサイトに見せかけた偽サイトに誘導し、IDやパスワード、カード番号などを入力させることで個人情報を盗む手口です。誘導手口としては、メールやWebサイトに貼られたURLが利用されることが一般的です参考

近年ではSMS経由で偽サイトに誘導する「スミッシング(Smishing)」といわれる手口も増えています。SMSは緊急性が高い印象があるため誘導されがちで、迷惑メールを除外するフィルターのような対策もないため、さらなる注意を要します

フィッシング詐欺の実例として、2020年11月から12月にかけて、大手カードローン会社でSMSやメールによるフィッシング詐欺が発生しました。また、新型コロナウイルスのパンデミックに便乗したフィッシングメールも横行しています

また、2022年5月には、大手ネット銀行を装った大規模なフィッシング詐欺が報告されています。メール件名は「お客様の口座は悪用された可能性があります」とされ、メール本文も本物の銀行からのメッセージのように自然な内容で、署名欄の銀行住所も正しく記載されていました

フィッシング詐欺の対策

フィッシング詐欺に対する対策として、以下のようなことが挙げられます。

  1. リンク先で安易にパスワード等を入力しない。
  2. メール・SMSの送信元で判断しない。
  3. メール・SMSにかかれているURLだけを確認しても騙される可能性がありますので、パスワード等を安易に入力せず、ブックマーク等に保存した正規のサイトへアクセスし直すことを推奨します

また、フィッシング詐欺から身を守るために、よく使うサイトやアプリをブックマークやインストールしておくことも有効です

フィッシング詐欺によって個人情報が盗まれることで、SIMスワップ詐欺の被害に繋がる可能性があります。

ソーシャルエンジニアリングから身を守る

ソーシャルエンジニアリングから身を守る方法がいくつかあります。 例えば、メディアリテラシーを高めておくこと、個人情報などはむやみに口にしないこと、シュレッダーを活用すること、URLを調べてからクリックすること、SNSに特定できるものを書かないこと、ソフトウェアなどを新しい状態にすること、ログイン情報やパスワードなどの取り扱いをルール化すること、送信者やドメインを確認することなどが挙げられます

フィッシング対策協議会内閣サイバーから情報を得ることは対策になります。フィッシング対策協議会は、緊急情報やニュース記事集、ガイドラインなどを提供しています。また、内閣サイバーも注意喚起情報を提供しています。

内閣サイバーの注意喚起情報は、内閣サイバーセキュリティセンター(NISC)のウェブサイトや、内閣サイバーのTwitterアカウントで確認することができます。

セキュリティは注意深く行っていても何も損はないと思います。
これからも一緒に学んで、被害に遭わないように、被害に遭う人を助けられるようになりましょう。
ありがとうございました。



コメント

タイトルとURLをコピーしました