サイバー犯罪手口の1つである「フィッシング詐欺」。その危険性はさらに高まっています。今回は「フィッシング詐欺」を見抜き、だまされないための注意点に焦点を当ててご紹介します。

「フィッシング詐欺」は利用者をだまし、パスワードなどの認証情報や個人情報を搾取する犯罪の手口の1つです。現在、この手口がより巧妙化し、私たちインターネット利用者にとって深刻な問題となっています。

2017年に継続して日本国内で確認されているマイクロソフトを偽装したフィッシングメールの例。

2017年に日本国内で確認されたSMSによるフィッシングサイトへの誘導メッセージの例。

フィッシング詐欺は、銀行やクレジットカードなどの金融機関に関するパスワード（認証情報）の詐取を狙うものが中心でした。しかし、近年ではこれまでのフィッシング詐欺と同様の銀行やクレジットカードの情報詐取を狙う手口以外にも、ネットショッピングや決済に関わるサービスの情報や、ソーシャルメディア、マルチサービスアカウントなど個人情報が集約されるサービスの認証情報が狙われています。

フィッシング詐欺は、これまで個人の利用者を対象とする攻撃が多く見られましたが、法人を対象とした攻撃でもその手口が利用されるようになっています。例えば、企業内でクラウドサービスのメールを利用している場合、アカウントとパスワードを詐取されると組織のネットワーク内に入らずにメールのやりとりを盗み見されてしまいます。また、Webサイト管理者のアカウントを搾取されるとWebサイトの改ざんなど公開サーバーへの攻撃を受ける可能性があります。

こうしたフィッシング詐欺の拡大を踏まえ、被害に遭わないようにするためには技術的な対策とともに利用者一人一人の心がけや注意も重要となります。

フィッシング詐欺を見抜くためのチェックポイントをご紹介します。日頃から下記の項目を確認する習慣を付けると、詐欺被害を受けるリスクを減少させることができます。

1. リンクをクリックする前に、URLの上にマウスカーソルをかざして表示される「参照先」を確認する。
2. 個人情報を扱う正規Webサイトでは、通常HTTPS通信が使用される。ブラウザーに錠前マークが表示されているか確認する。

1. 「個人情報や認証情報を安易に要求してくる」メールに用心する。
2. 「心当たりがないタイミング」で、送られてくるメールは非常に疑わしい。
3. 「登録したものと異なるメールアドレスに届いたメール」は、一斉配信されたスパムメールの可能性あり。
4. 「期限を一方的に決めて早急な対応を求める」「威圧的・脅迫的な内容」のメールはスパムメールの可能性あり。
5. 「普段と異なるドメイン」から送信されたメールは危険信号。Web検索で届いたメールのメールアドレスを確かめるのもよい。
6. 「あいさつ文がない」「個人名を書いていない」等、普段と異なる書式のメールは疑わしい。
7. 「画像を読み込まない」「表示が崩れている」メールは危険。
8. 文法間違いやスペルミス等、「不自然な文章」のメールは注意する。
9. 「無意味な文字列」の件名は、通常ありえない。
10. 自身が使用しているメールクライアントの機能を再確認し、不審なメールはブロックする。
11. 日本の銀行やクレジットカード会社等の金融機関は、基本的にメールによる口座番号や暗証番号・本人確認は行っていない。
12. 会員番号を使用しないサービスから会員番号を含むメールが送られてきた場合には注意が必要。


■参考記事
チエネッタ
巧妙なフィッシング詐欺の手口
https://flets-w.com/chienetta/pc_mobile/nrt_ser-security_phishing-trick.html

すぐ役立つ!フィッシング詐欺を見抜くためのポイントとは？ -トレンドマイクロセキュリティブログ 2017年7月27日
https://blog.trendmicro.co.jp/archives/15539

フィッシング詐欺、判別するにはこのリストをチェック- トレンドマイクロセキュリティナレッジ 2017年7月28日
https://is702.jp/news/2183/