フィッシング対策協議会によると、年々フィッシング詐欺の被害が増加しています。2022年下半期には50万件以上の相談が寄せられており、約9割がなりすましメールによるものだと報告されています。
本記事では、フィッシング詐欺に遭わないのはもちろんのこと、間接的な加害側に回らないための対策を解説します。
現代のサイバー脅威:フィッシング詐欺の増加
以下はフィッシング対策協議会のフィッシングレポート 2023からの引用になります。
このグラフから見ても分かる通り、フィッシング情報の届け出は年々増加しており、2022年は特に増加しているとのことです。特にECサイト、クレジットカード大手会社などのなりすましメールが多いとのことで、これは直接的に金銭に関わるためだと思われます。
また、なりすましメールとして国内のブランド名を利用しているものも増えています。そうしたブランド名を語ることで、受信者が安易にメールを開いてしまう可能性が高まるでしょう。
日本国内でのフィッシング詐欺の増加傾向と政府からの対策強化の要請
そうした状況を受け、政府でもフィッシング詐欺に対する啓蒙をしています。
2023年2月には、クレジットカード会社に対するDMARC導入などのフィッシング対策強化を要請しています。
クレジットカード会社等に対するフィッシング対策の強化を要請しました (METI/経済産業省)
このフィッシング詐欺対策は、クレジットカード会社だけに留まらず、あらゆる事業体が行うべきものです。企業になりすましたメールによって企業ブランドを毀損したり、顧客情報を盗まれるリスクがあります。適切な対策を講じていなければ、間接的な加害者になる可能性があるのです。
フィッシング詐欺の手口解説
ここでは、良くあるフィッシング詐欺の手口を解説します。
類似ドメイン
かつてのインターネットでは、ドメイン名がアルファベットのみでした。そのため、類似ドメインとしては smtps.jp
に対する smtps.or.jp
や smtpss.jp
などの紛らわしいドメインが利用されていました。
最近では多言語ドメインが利用できるようになっており、 i(英語のアイ).com
と і(キリル文字のイー)」
、i(全角のアイ)
など、紛らわしいドメインが増えています。
ディスプレイネーム
ディスプレイネームとは、メールアドレスの表示名になります。たとえば "サポート" <support@example.com>
のように、メールアドレスの前に表示名を付けることができます。この表示名に対して企業名や有名人名を使うことで、受信者が安易にメールを開いてしまう可能性が高まります。
踏み台攻撃
踏み台攻撃は、セキュリティの甘いメールサーバーを経由して、本来の標的に対してフィッシングメールを送信する手法です。送信元を正しく検証していないメールサーバーを使うと、フィッシングメールの送信元を偽装できます。これは一見すると正しいメールサーバーから送信されたように見えてしまうため、より信頼性が高まってしまうでしょう。
フィッシングメールの実例
ここでは実際に起こったフィッシング詐欺の事例を幾つか紹介します。実際の事例はフィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 事例公開にて報告されているので、詳細はそちらをご覧ください。
メルカリを装ったフィッシング詐欺
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | メルカリをかたるフィッシング (2024/01/22)
この際に用いられている件名は 【重要】メルカリの本人確認通知
など運営事務局を装ったものになります。この後のリンク先で何らかの個人情報(IDやパスワードなど)を入力したとしても、違和感を感じないでしょう。
また、リンク先は https://mercari.●●●●.com/●●●
などとなっており、注意深く見ないと本物と見分けづらいものになっています。
ビックカメラを装ったフィッシング詐欺
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ビックカメラをかたるフィッシング (2024/02/14)
こちらも同様で、Eコマース系の企業を装ったフィッシング詐欺です。リンク先は https://account-verification.biccame●●●●.club/index.htm
となっていたようです。
ECサイトの場合、リンク先でクレジットカード情報を入力させたり、アカウント情報を入力させたりすることが多いため、特に注意が必要です。
政府・自治体を装ったフィッシング詐欺
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 厚生労働省をかたるフィッシング (2021/08/30)
政府や自治体を装う場合、個人情報の入手や金銭の要求などが目的となることが多いです。リンク先で個人情報を入力させたり、追加の支払いを迫るものもあります。決済に際してクレジットカード情報を入力した場合、それも悪用されるでしょう。
ビジネスメール詐欺(BEC)
フィッシングメールの多くは個人をターゲットとして送信されますが、企業やその従業員をターゲットとしたものもあります。こちらはビジネスメール詐欺(BEC)と呼ばれます
BECの例
以下はその一例です。
- 小学館の取締役、フィッシング詐欺に遭い個人情報を漏えい - ITmedia エンタープライズ
- 弊社アドレスからの不審メールに関するお詫びとお知らせお知らせ | ニュース・トピックス | 市場調査とマーケティングの矢野経済研究所
企業の場合は個人情報だけでなく、企業情報や取引先情報なども盗まれる可能性があります。また、振込先口座を変更したり、社長になりすまして振り込みを依頼する手口もあります。
被害に遭った際の影響
フィッシングメールが届いただけでは実害はありません。しかし、そこに記載されているリンクをクリックしてしまったり、さらに認証情報や決済情報を入力してしまった場合には、何らかの被害を受ける可能性があります。
個人情報の搾取
まず、攻撃者は認証情報を使って、あなたになりすますことが可能です。防ぐためには、多要素認証やセキュリティキーなどの対策が効果的です。決済情報を入力してしまった場合には、クレジットカードを利用停止するなどの対策が必要です。
クレジットカードが不正利用された場合には、クレジットカード会社各社の規約によって保証を受けられます。ただし、保証を受けるためには、不正利用が発覚した際に速やかに連絡を取る必要があります。
マルウェア感染の可能性
ブラウザのセキュリティは高まっていますが、それでもセキュリティホールを突いてマルウェア(スパイウェアやランサムウェア)を感染させる可能性があります。マルウェア感染によって、個人情報が盗まれたり、データが暗号化されたりする可能性があります。
- PDFを介した新たなマルウェア攻撃を発見 | 株式会社ノートンライフロック のプレスリリース
- 「Emotet」感染が急速に再拡大 「大幅に拡散した2020年に迫る勢い」 JPCERT/CCが注意喚起 - ITmedia NEWS
マルウェア感染の対策は、セキュリティソフトの導入やOSのアップデートなどが効果的です。また、定期的なバックアップを取っておくことも重要です。ランサムウェアによる暗号化被害は、金銭を要求されることはもとより、支払ったとしても復号化される保証はありません。
ランサムウェア、あなたの会社も標的に? 被害を防ぐためにやるべきこと | 政府広報オンライン
企業の場合
企業の場合には、個人情報漏洩をしてしまったり、振り込み詐欺にあっている可能性があります。その場合には関係省庁への報告義務がありますので、速やかな対応が求められます。
フィッシング詐欺から身を守る方法
フィッシング詐欺に遭わないために、まず以下を最低限として守る必要があります。
- 不審なメールは開かない
- メールの差出人を確認する
- リンク先のURLを確認する
- 安易に添付ファイルを開かない
- パスワードを再利用しない
- 多要素認証を利用する
- セキュリティソフトを導入する
- OSやアプリのアップデートを行う
- 定期的なバックアップを取る
その上で、技術的には以下の対策が効果的です。
技術的対策
SPF/DKIM/DMARCの導入
SPF/DKIM/DMARCはいずれもメールの認証技術になります。これらを導入することで、なりすましメールを防止できます。
- SPF
メールの送信元ドメインを認証します - DKIM
メールの内容を改ざんされていないことを認証します - DMARC
SPFとDKIMの結果を判断し、不正なメールの扱いを規定します
BIMIの導入
最近では、企業やサービスのブランドを保証するBIMI(Brand Indicators for Message Identification)の導入が進んでいます。これはSPF/DKIM/DMARCの導入を基本とし、さらに企業ブランドの国際的商標取得した上で、DNS上に設定を行います。
その結果、Gmailなどのメーラーでメールを表示した際に企業ブランドロゴを表示できるようになります。これもまた、メールのなりすましを防ぐ効果があります。
S/MIMEの導入
S/MIMEは秘密鍵・公開鍵を使ってメールの暗号化・復号化を行う技術です。S/MIMEを導入することで、お互い信頼した相手とのメール送受信が実現します。受け取り側には自分の公開鍵をインストールしてもらう必要がありますが、一旦環境が整えば安全なメールの送受信が可能になります。
ドメイン管理の重要性
メールのなりすましを防止するためには、ドメインの管理が重要です。ドメインに対する設定情報(DNS)を正しく設定していなければ、SPF/DKIM/DMARCの設定も効果がありません。また、最近ではドメインの有効期限が切れて他者に則られてしまうケースも増えています。
期限切れのGo To Eatキャンペーン関連JPドメイン名、オークションに続々登場中【やじうまWatch】 - INTERNET Watch
こうした期限切れドメインを取得し、フィッシング詐欺に悪用される可能性は十分あります。利用しているドメインはもちろん、有効期限の確認や管理者情報の確認を怠らないようにしましょう。
まとめ
個人や従業員としてフィッシング詐欺に引っかからないよう注意するのはもちろん、企業としてフィッシング詐欺の間接的加害者にならないように警戒しましょう。基本的なセキュリティ意識を持つのは当然として、技術的な対策は適切に実施しましょう。
技術的な対策としては、SPF/DKIM/DMARCの導入やBIMIの導入、S/MIMEの導入などが効果的です。また、ドメイン管理も忘れずに行いましょう。メールは個人、仕事を問わず日々多用されています。快適なメール送受信を行うためにも、セキュリティ対策は欠かせません。
Customers Mail CloudではCMC DMARC Monitorなど、セキュアなメール環境を実現するためのサービスを提供しています。
DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。