最終更新日2021年8月

今年はスパムメールが増えましたか?　あなただけではありません。2020年、スパムメールは全世界のEメールトラフィックの平均50%強を占めるようになりました。さらに、PhishLabsによると、フィッシング攻撃は2020年から2021年にかけて47%増加したことを確認しています。

個人情報や機密情報を知らぬ間に盗み出すために、受信箱に溢れかえる厄介なメールは、もはや当たり前のものとなっています。検出しやすいものもあれば、そうでないものもあります。例えば、ナイジェリアの王子から財産を保管する場所を探しているというメールを受け取ったら、削除した方がいいでしょう。残念なことに、この 「ナイジェリア人」 詐欺師たちは、特にパンデミックに関連した内容で、大きな脅威となっていました。

しかし他のものはより巧妙で、より良く設計されており、検出するのが難しくなっています。このようなデジタル詐欺師たちは、詐欺メールを本物そっくりに見せることに非常に長けています。多くの場合、お客様がよく知っている、信頼できる企業や団体から送られてきます。フィッシングメールは、PayPal、Apple、銀行などの企業になりすまし、アカウントのログイン情報などの個人情報を盗むのが一般的です。しかしPhishLabsのレポートによると、多くのユーザーが安全性の確保に無頓着であることから、ソーシャルメディアのアカウントもトレンドのターゲットとなっています。メールだけではありません。

では、被害者にならないためにはどうすればいいのでしょうか?リスクを最小限に抑えるために、自分でできることがあります。これらの10のヒントに従うことで、フィッシング詐欺対策のエキスパートになることができます。

フィッシングとは何ですか？

フィッシングとは、ウェブページ、テキストメッセージ、ソーシャルメディアのダイレクトメッセージ、電子メールなどのデザインを利用して、ユーザーに信頼できるサイトや個人との合法的で安全なウェブセッションを行っていると思わせるソーシャルエンジニアリング攻撃と定義されます。フィッシングメールには、これらのフィッシングサイトへのリンクが含まれていることが多く、本物のように見えます。実際には、フィッシングサイトは、悪意のあるソフトウェアをインストールしたり、クレジットカード番号、暗証番号（PIN）、社会保障番号、銀行口座番号、パスワードなどの個人情報を取得するように設定されています。これらの情報は、フィッシャー（フィッシング詐欺を行う犯罪者）によって個人情報の盗難、金銭の窃盗、その他の詐欺の目的のために使用されます。

フィッシングのターゲットは誰ですか？

フィッシャーは誰でも狙いますが、CEOやCFO、法律事務所、人事部、金融機関などを狙う傾向があります。また、近年では、オンラインストアやソーシャルネットワークへの攻撃が増加しています。これらのグループは、攻撃者が狙う顧客データや機密情報を持っているため、フィッシング詐欺から身を守るために厳重な警戒が必要です。

フィッシングから身を守るために

では、フィッシングの被害に遭わないためにはどうすればいいのでしょうか。リスクを最小限に抑えるために、自分でできることがあります。これらの10のヒントに従うことで、フィッシング詐欺対策のエキスパートになることができます。

1. メール内のリンクをクリックする代わりに、新しいブラウザページを開いて、目的のサイトのアドレス/URLを入力してください。詐欺的なリンクは、信頼できるリンクと非常によく似ていて、気づかないような数文字を変更しているだけの場合もあります。
2. OSとブラウザの両方のソフトウェアをアップグレードしてください。ほとんどのブラウザの最新バージョンには、アンチフィッシングフィルターが搭載されています。攻撃者が新たな攻撃を仕掛けてきても、ソフトウェアのアップデートによって、フィルターは改善されます。
3. インターネットを閲覧する際には、ポップアップをブロックするのが良いでしょう。迷惑な指示の助けを借りずに、ウェブ上で自分の方法を見つけることができます。
4. ポップアップウィンドウに個人情報を入力するのは、それが目的のサイトからのものであるという確信が持てない限り、絶対にやめましょう。
5. 日常的にコンピュータを使用する場合は、管理者アカウントではなく、標準的なユーザーアカウントを使用してください。管理者機能が必要な場合のみ、管理者アカウントに切り替えてください。これにより、重要な管理機能へのアクセスを制限することで、お客様のコンピュータを保護することができます。
6. 不審なメールは削除し、開かないようにしましょう。誘惑に駆られるかもしれませんし、件名がキャッチーだったり、もっと知りたいと思うような一般的なものだったりすることもありますが、その誘惑に負けず、シンプルに削除しましょう。
7. ウェブページでは、信頼できる証明書のみを受け入れます。ブラウザの警告を無視しないでください。コンピュータやブラウザから、まるでオオカミ少年のように、たくさんの警告が表示されることがあります。目にしたと思われる警告を、その内容を十分に読み、その意味を考えずに無視してはいけません。
8. 見知らぬサイトやIPアドレスに飛ぶようなリンクはクリックしないでください。
9. ブラウザから安全でないという警告が出ていないか確認してください。例えば、Chromeでは、HTTPSセキュリティプロトコルが有効になっていないサイトでは、アドレスバーに「信頼されていない通信」という警告の三角マークが表示されます。マルウェア防御を有効にする。これにより、通常は何もしなくてもほとんどの脅威を検知・抑止することができます。
10. 一般的に、フィッシングメールを受け取った場合は、そのメールを開かず、リンクや添付ファイルをクリックせず、すぐに削除してください。不審なメールを受信し続ける場合は、フィッシング対策ワーキンググループ（APW）に報告してください。

フィッシングの報告方法

フィッシングメールは、reportphishing@apwg.orgに転送し、ReportFraud.ftc.gov.に報告するのが最善の方法です。

組織内でのフィッシングを防止する方法

組織は、DMARC（Domain-based Message Authentication, Reporting & Conformance）を有効にすることで、フィッシングから保護することができます。DMARCとは、フィッシングやなりすましを防ぐために、メールの認証とレポート作成を指示するメールプロトコルです。

DMARCを有効にすると、メールマーケティングやコミュニケーションに自社のマークを付けることができる認証マーク証明書（VMC）を申請できます。VMCを使用すると、メールクライアントの送信者欄にブランドロゴを表示して、ユーザーにメッセージが認証されたことを知らせることができます。ソーシャルメディアで認証を受けるのと似ていますが、検証とDMARCによるフィッシング対策というセキュリティ上のメリットが加わります。

DMARCへの対応とVMCの取得は、今からでも始められます。

リモートワークが定着しつつある今日、電子メールの安全性を確保することは、組織がオンラインで信頼を築くために必要なことです。リモートメールのセキュリティについては、こちらのブログ記事をご覧ください。

フィッシング詐欺について、世の中に存在するさまざまな種類の詐欺と、メールの安全性を確保する方法をご紹介します。