bank0famerica@acc0unt.comというメールアドレスから、クレジットカードの請求書に不審なアクティビティが確認されたことを報告するメールが届き、財務情報の確認を求められたとします。あなたならどのように対応しますか?メールに記載されているリンクをクリックしてすぐに問題を解決したくなりますよね。これはサイバー犯罪者による詐欺である可能性があります。フィッシング詐欺とは、メールの受信者自身に重要な個人情報を入力させるように誘導する手口の詐欺です。フィッシング詐欺メールの事例を確認し、よく耳にするこのオンライン詐欺について詳しく理解することで、フィッシング詐欺から自らを安全に守りましょう。
フィッシング詐欺とは?
フィッシング詐欺とは、重要な情報を盗み出すことを目的としたサイバー犯罪です。フィッシング詐欺は、大手企業など信用できる事業体を装って、Webサイトのログイン認証情報やクレジットカード番号などの情報が開示されるよう誘導します。
フィッシングメール/テキストメッセージとは?
フィッシング メールやテキスト メッセージ (SMiShing (スミッシング) とも呼ばれます) は、本物そっくりに見える偽のメッセージです。通常、さまざまな手口で重要な個人情報を提供することを求めます。メールやテキストを注意深く確認しないと、通常のメッセージとフィッシング詐欺メッセージとの見分けがつかない場合があります。詐欺師は、信用できる企業が送信するメールやテキストに非常によく似たフィッシング詐欺メッセージを作成することに心血を注いでいます。そのため、これらのメッセージを開封したり、メッセージに記載されているリンクをクリックしたりする際には、慎重になる必要があります。
フィッシング詐欺メッセージを見分ける方法
フィッシング詐欺犯は単純なミスを犯すことがよくあります。これらの単純なミスを認識する方法がわかれば、簡単にフィッシング詐欺メッセージを見分けることができるようになり、計画実行を防ぐことができます。メールやテキストメッセージを開封する際には、以下に示すフィッシング詐欺の兆候について確認するようにしてください。
不自然な文章
大手企業であっても、メッセージを送る上で些細な間違いをすることはあります。フィッシング詐欺メッセージには、文法上の誤り、スペルミスなど、大手企業が起こしそうもないあからさまな間違いが含まれていることがよくあります。個人情報を求めるメールやテキストメッセージに複数の文法上の誤りが顕著に見られる場合は、フィッシング詐欺の標的になっている可能性があります。
ロゴが正しく表示されない
巧妙に罠を仕掛けるために、フィッシング詐欺師がなりすまし相手のロゴを盗むことがよくあります。しかし多くの場合は、正しい形で企業ロゴを盗み出すことができていません。フィッシングメールやテキストメッセージに表示されているロゴの縦横比が間違っているか、低解像度のロゴである可能性があります。目を細めてメッセージ内のロゴを確認しなければならない場合は、フィッシング詐欺である可能性が高くなります。
URLが一致しない
フィッシング詐欺では主に、リンクをクリックさせることを軸に手口が展開されています。ここでは、送信されたリンクが正規のものかどうかを確認する方法をいくつかご紹介します。
- メールに記載されたリンクの上にカーソルを置くと、そのURLが表示されます。多くの場合、フィッシング詐欺のURLには、フィッシング詐欺の一般的な兆候とされるスペルミスが含まれています。リンクの上にカーソルを置くと、リンクのプレビューを表示することができます。不審なURLと考えられる場合は、URLにアクセスしないでください。
- リンクを右クリックしてコピーし、URLをワードやテキストエディタ―に貼り付けます。これにより、悪意のある可能性のあるWebページに誘導されることなく、リンクの文法上の誤りやスペルミスなどを徹底的に調べることができます。
- モバイル デバイスでは、URLのリンクを指で長押しした状態で確認します。
検出したURLがメッセージの送信元と思われる企業と一致しない場合は、フィッシング詐欺メールを受信した可能性があります。
フィッシング詐欺メールとテキストメッセージの種類
フィッシング詐欺メッセージは形もサイズもさまざまです。その中でも、他のメッセージよりも多く見られるフィッシング詐欺メールやテキストメッセージはほんの数種類です。最もよく送信されているフィッシング詐欺の事例をいくつかご紹介します。
アカウントロック詐欺
フィッシング詐欺メールの中には、異常なアクティビティにより銀行が口座を一時停止したとの通知を送信するものがあるようです。口座を開設していない銀行からの口座一時停止の電子メールを受信した場合はすぐに削除して、リンク先を確認することのないようにしてください。一方で、取引のある銀行を装った口座一時停止のフィッシング詐欺メールを見分けるのは簡単なことではありません。先に述べた方法で電子メールの整合性を確認してください。それでも確認できない場合は、受信した電子メール内に記載されているリンクを開くのではなく、銀行に直接問い合わせてください。
二要素認証詐欺
二要素認証 (2FA) が一般的になり、電子メールで6桁の数値コードのログイン情報の確認を求められることにも慣れているかと思います。フィッシング詐欺においても、標準2FAが一般的になっていることが把握されており、個人情報の保護に役立つはずのこのサービスが悪用される可能性があります。アカウントにログインして本人確認を求める電子メールを受信した場合は、先に述べた条件を使用してメッセージの信ぴょう性を確認してください。一定期間利用していなかったアカウントに対して2FAの提供を求められた場合は、特に注意してください。
税金還付詐欺
私たちの誰もが、納税申告時期の重要性を知っていますね。フィッシング詐欺師は、まさにこの時期を当てにして、IRS (米国歳入庁) になりすました偽の還付メールを送信するのです。IRSによる納税者への連絡は郵送で行なわれます。電子メールでの予期せぬ現金の受領通知には注意するようにしてください。特に、IRSを装った送信元の電子メールには注意してください。税金還付フィッシング詐欺では通常、銀行の口座情報のみでなく、社会保障番号も要求されるため、深刻な被害をもたらす可能性があります。
注文確認詐欺
サイバー犯罪者は、偽の注文確認情報が記載された電子メールを送信して受信者を騙そうとする場合があります。多くの場合、これらのメッセージには、電子メールに「領収書」が添付されていたり、注文に関する詳細情報が掲載されているとされるリンクが記載されていたりします。実際には、犯罪者がこれらの添付ファイルやリンクを使用して、マルウェアを被害者のデバイスに拡散させることがよくあります。
職場でのフィッシング詐欺
勤務先のメールアドレスを使用している場合でも、フィッシング詐欺に注意する必要があります。よく使われるフィッシング詐欺として、会社の経営幹部を装って電子メールを送信するという手口があります。経営幹部を装って従業員にメールを送信し、顧客とされている相手に電信送金をするよう依頼します。実際には、これは詐欺実行犯のもとへ送金されます。先に述べたヒントを使用して、これらの偽の電子メールを見分けるようにしてください。
巧妙なフィッシング詐欺の場合
ハッカーは頻繁に古いスキーマを更新する方法を模索することで、特定のサイバー脅威をすでに認識しているユーザーに検出されないようにしています。これは、最新のフィッシング回避テクニックにも当てはまります。仮想マシンを検出して、人に気付かれないように巧妙にフィッシング詐欺を行うのです。サイバーセキュリティ企業は、ヘッドレスデバイスまたは仮想マシン (実際のコンピューターのように動作するコンピューターファイル) を使用して、Webサイトが実際にフィッシング詐欺ページであるかどうかを判断することがよくあります。しかし現在では、一部のフィッシングキットにはJavaScript (Webページに複雑な機能を実装できるプログラミング言語) が含まれています。そのため、仮想マシンがページを分析しているかどうかを確認することができるのです。フィッシングキットは、分析が試行されたことを検出すると、フィッシング詐欺ページではなく空白のページを表示し、詐欺が巧妙に検出を回避できるようにします。最新のフィッシング詐欺に騙されないように、最新のフィッシングテクニックに関する情報を常に把握するようにしましょう。そうすることで、サイバー犯罪者の一歩先を行くことができます。
フィッシング詐欺メールのリンクをクリックしてしまった場合
不審な電子メールに記載されているリンクは絶対にクリックしないでください。フィッシング詐欺犯により送信された電子メールのリンクをクリックすると、重要なデータ (社会保障番号、クレジットカード情報、ログイン認証情報など) を入力できるフォームが掲載されたWebページに誘導されます。このページにはいかなるデータも入力しないでください。
フィッシング詐欺に遭ってしまった疑いがある場合の対処法
不審な電子メールにリンクされているWebページに誤ってデータを入力してしまった場合、お使いのデバイスでフルマルウェアスキャンを実行してください。スキャンが完了したら、すべてのファイルをバックアップしてパスワードを変更します。フィッシング詐欺に提供したデータが1つのアカウントのみだったとしても、それ以外の個人情報へのアクセスの機会を与えてしまう可能性があります。そのため、フィッシング攻撃の疑いがある場合は、オンラインで使用するすべてのパスワードを変更する必要があります。
フィッシング詐欺メールを見分ける方法: 簡単な方法
フィッシング詐欺メールを回避する方法について、簡単にヒントをまとめておきます。
- 判別がつかない場合は、不審な電子メールに記載されているリンクを開かずに、電子メールの送信元と思われる組織に直接問い合わせてください。
- 不審な電子メールを慎重に調べて、粗悪な文法、画質の粗いロゴ、偽のリンクなど、フィッシング詐欺を示す明らかな兆候がないかどうかを確認してください。
- 誤ってフィッシングリンクをクリックしてしまった場合は、データを入力しないでページを閉じてください。
- 自分がフィッシング詐欺の標的になっていると考えられる場合は、ウイルススキャンを実行してファイルをバックアップし、すべてのパスワードを変更してください。
保護状態を維持する
フィッシング詐欺メールは気付かないうちに動作しています。フィッシング詐欺メールを見分ける方法、自分が標的にされている疑いがある場合の対処法についてご理解いただけたれば、このようなスキーマに陥る可能性は非常に低くなるでしょう。インターネットを使用するときは、慎重に個人情報を取り扱うようにしてください。個人情報、財務情報、またはログイン情報に関する重要な情報の開示を求められた場合は、注意してください。注意しすぎてもしすぎることはありません。
マカフィーに関する最新情報や、モバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_JPをフォローするか、電子メールを購読するか、PodcastでHackable?を聴くか、マカフィーのFacebookで「いいね」を押してください。