【コラム】情報セキュリティトピックス 2018年7月号/フィッシング詐欺の脅威と対策

1.フィッシング詐欺の脅威と対策

 2018年6月27日、文部科学省は弘前大学など6つの国公私立大学がフィッシングメールの被害に遭い合計約1万2000人分の個人情報が流出したことを受けて、「先端技術情報を狙った標的型攻撃など、重大な情報漏えいにつながる可能性がある」と全国の大学に対策を強化するよう注意喚起しました。
 被害が判明しているのは弘前大学と島根大学、富山県立大学、沖縄県立看護大学、立命館大学の6大学で、実際フィッシングメールの被害に遭ったとされるのは2018年4月から6月の期間とされています。
 文科省によると、6大学はいずれも電子メールサービスにマイクロソフトの「Office 365」を利用していました。フィッシングメールは、「メールを送れなかった」といった内容が英文で書かれており、本文中のURLをクリックするとOffice 365のログイン画面と同じ見た目の偽サイトに誘導されるようになっていたとのことです。そこで入力したIDやパスワードの情報が攻撃者に届く仕組みとなっており、攻撃者は入手したそのIDとパスワードで不正ログインを実行し、利用者のメールを外部に転送するよう設定を変更していました。
 このようなフィッシングメールによる攻撃の対象は大学だけではありません。企業や一般消費者を対象に、スポーツくじの当選や仮想通貨交換業者、アプリ購入の請求書を装うフィッシングメールの被害が多く確認されています。昨今のフィッシングメールは受信者に不信感を抱かせずに不正な添付ファイルやメール内のURLリンクを開かせるための手口が巧妙です。たとえば、著名な企業や団体になりすまし、もっともらしい内容のメッセージを送りつけてくるため、一目で不正なメールを判別することは困難です。
 ただ、私たちは業務やプライベートで毎日電子メールを利用せざるを得ない以上、無防備な利用は攻撃者側の思うつぼです。メールに紛れ込むリスクや脅威をしっかり認識し、添付ファイルや本文内のURLを不用意に開けることへの注意と確認を怠らないようにする必要があります。
 フィッシング詐欺の見分け方は、とにかく用心することが第一です。メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならWebアドレスが正規のものであるかどうかなどを確認するのが基本です。不自然な文章ではないか、身に覚えのある内容なのかもチェックしたいところです。
たとえば相手が金融機関を名乗っているのなら、本当にメールで個人に連絡する取り組みをしているのか、連絡先を調べて問い合わせてみるのも有効といえます。もちろん、セキュリティソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのも大事です。
 それでも、フィッシング詐欺の被害に遭うことがあります。友人や職場の人間、もしくは家族などがフィッシング詐欺の被害に遭うことがあるかもしれません。また、そのことによって自らにも悪影響が及ぶ可能性も否定できません。
被害に遭わないことが一番のぞましいのは当然ですが、被害に遭ったときに何をするべきかを知っていれば、いざというときに対応や助言ができるだけでなく、新しいパターンの攻撃が流行した際の備えになるはずです。
 今回の「情報セキュリティトピックス」では、フィッシング詐欺の脅威を認識するとともに偽物を見抜くコツと対策について解説します。

1. フィッシング詐欺とは
 「フィッシングに注意」とよく言われますが、フィッシングとは詐欺の手口のひとつです。現実の生活でも詐欺の手口は多数ありますが、インターネット上でも利用者を巧妙に誘導する詐欺が非常に多くあります。
 フィッシング詐欺は、最初アメリカで被害が拡大し、2004年頃から日本でも被害が報告されるようになりました。フィッシング(Phishing)とは、銀行やクレジットカード会社といった金融機関をはじめ、信用ある会社等を装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことです。
 「Phishing」は、そもそもの「釣り」(Fishing)の意に加え、「利用者を釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」に由来しています。
 最近では、オンラインバンキングの暗証番号が盗まれ、第三者(犯罪者)の口座に不正送金される被害が多発しています。また、様々なインターネットサービスのアカウント情報が盗まれ、「なりすまし」によりインターネットへの不正な投稿やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。

2. フィッシング詐欺の手口
 フィッシングの目的は、クレジットカード情報やログイン情報といった、利用者が持つ重要な情報の搾取です。こうした情報は販売・転売、他社サイトへの不正ログインなどに二次利用できるので、より多くの情報を盗むために不特定多数を標的とします。メールを使ったフィッシング詐欺が多いのは、一度で大量にばらまけるからことです。各社サービスが実際に利用者宛に送るメールの内容に似せるなど工夫を凝らすことで、さらに被害を拡大させています。
 利用者へ注意喚起を促すメールそのものが偽物の場合もあります。フィッシングでは、何とかして利用者をフィッシングサイトに誘導しようとします。誘導するフィッシングサイトは、銀行やクレジットカード会社、オンラインサービス(Amazon、楽天、Apple等)がその多くを占めます。
具体的なフィッシング詐欺の例を見ていきましょう。


 

続きはこちらから

ニュース

公式ツイッター

SPクラブメンバーズサイト