フィッシング攻撃とは、個人情報を抜き取ろうとする詐欺手法です。フィッシング攻撃の被害に遭うと、企業も個人も大きな損失を受ける可能性があります。
そして、フィッシング攻撃にはさまざまな種類があるため、それらの手法を正しく理解して被害を防がなければなりません。
そこで本記事では、
- フィッシング攻撃の主な5つの手法
- フィッシング攻撃の被害で起こり得る主なリスク
- フィッシング攻撃の予防と対策方法
について解説します。
フィッシング攻撃の手法と特徴を理解し、適切な予防と対策を実施して被害を防ぎましょう。
なお、自社サイトへのフィッシング対策をされたい方、ご相談されたい方は以下を是非ご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
目次
フィッシング攻撃とは
フィッシング攻撃とは、本物の企業を装ったメールを送ったり偽サイトに誘導したりして、クレジットカード情報や電話番号などの個人情報を抜き出そうとする詐欺手法です。
下記のフィッシング対策協議会の資料をみるとわかるように、フィッシングの報告数・フィッシングURL数は近年増え続けています。
※引用:フィッシング対策協議会
また、フィッシング攻撃は手口が年々巧妙化し、見破るのが難しくなっていることも特徴です。
では、このフィッシング攻撃にはどのような手法が存在するのでしょうか。次章で詳しく解説します。
なお、下記記事でフィッシング詐欺の特徴や代表例などを紹介しているので、フィッシング詐欺について詳しく知りたい方はチェックしてみてください。
フィッシング攻撃の主な5つの手法
フィッシング攻撃の手法は、主に下記の5つです。
- フィッシングサイト
- フィッシングメール
- スミッシング
- スピアフィッシング
- ビッシング
不特定多数をターゲットにしているものから、特定の個人を狙ったものまで、手法はさまざまです。
手法を理解することで、適切な予防と対策ができるようになります。
【手法1】フィッシングサイト
フィッシングサイトとは、本物のECサイトそっくりの偽サイトを作り、クレジットカード情報などの個人情報を抜き取る手法です。
多くは、後述する「フィッシングメール」や「スミッシング(SMS)」をターゲットへと送付し、フィッシングサイトへとアクセスさせます。
その後は、本人確認と称して個人情報を入力させるなどして、被害者の重要な情報を抜き取ろうとします。
下記の例のように、フィッシングサイトは本物そっくりに作られているため、正規サイトと勘違いして個人情報を入力し、被害に遭うケースが後を絶ちません。
▲Amazonを騙るフィッシングサイトの例
※引用 : フィッシング対策協議会
また、極めて稀ですが、検索エンジンでフィッシングサイトが公式サイトより上位表示されるケースもあります。
商品を購入しようと検索エンジンで検索した際、上位表示されたフィッシングサイト上でカード決済してしまい、商品が届かないといった事例も発生しています。
フィッシングサイトの見分け方や被害事例は、次の記事で詳しく解説しているので、ご一読ください。
【手法2】フィッシングメール
フィッシングメールとは、金融機関やクレジットカード会社などを装ってメールを送信し、偽サイト(フィッシングサイト)へ誘導したり、ウイルスに感染させたりする手法です。
大手金融機関やクレジットカード会社などの名義でメールが届くため、不正者からのメールであることに気づかず騙されてしまうケースも少なくありません。
送信元のメールアドレスをチェックすると、不自然な文字列になっていたり、Gmailなどのフリーアドレスが使われていたりすることがあります。
フィッシングメールの事例やその他の見分け方は、下記の記事で詳しく解説しているのでぜひご一読ください。
【手法3】スミッシング(SMS)
スミッシングとは、SMS(携帯電話のショートメール)にフィッシングサイトのURLを載せて誘導する手法です。
特に近年では、大手運送会社を名乗り、不在連絡のふりをしてURLをクリックさせる手法が増えています。
ほかにも、ECサイトや公的機関などを装って仕掛けてくるため、URL付きのSMSが届いたらスミッシングを疑う習慣をつけることが大切です。
次の記事ではスミッシングの事例や対策を解説していますので、あわせてご参照ください。
【手法4】スピアフィッシング
スピアフィッシングとは、特定の相手を狙ったフィッシング攻撃で、主に「ホエーリング」と「クローンフィッシング」の2種類があります。
スピアフィッシングは、下記の理由により被害に遭いやすいフィッシング攻撃です。
【スピアフィッシングが通常のフィッシング攻撃よりも騙されやすい理由】
- ターゲットを絞り込んで計画的に攻撃を仕掛けるため
- 事前にターゲットの情報を収集し、本物と酷似したメールが届くため
ホエーリング
ホエーリングとは、社長や取締役といった「会社の経営に影響力がある人」を狙ったフィッシング攻撃です。
経営において緊急性・重要性が高い負債や税金に関わるメールを、銀行や税務署などになりすまして送ることで、開封させます。
会社名義のクレジットカード番号を入力してしまったり、銀行口座のパスワードを入力してしまったりしないように、しっかり送信元を確認することが大切です。
クローンフィッシング
クローンフィッシングとは、過去のメッセージをコピー(クローン)して、URLリンクや添付ファイルを変えて送信するフィッシングメールです。
ターゲットにとっては、過去に見た正当なメッセージと同様の文面になっているため、信じ込みやすいのが特徴です。
【手法5】ビッシング
ビッシングとは、音声を使ったフィッシング攻撃です。
SMSを大量に送って折り返し電話をさせたり、一斉に電話をかけて応答した人をターゲットに設定したりします。
特に多いのが、実在する大手企業や金融機関、税務署などになりすまして電話し、口座番号や暗証番号を盗み出すケースです。
電話口で「還付金がある」「不正ログインがあった」などと偽って口座情報を取得したり、ログイン情報を取得して不正アクセスやカードの不正利用を行ったりするケースもあります。
番外篇:新型コロナウイルスを利用したフィッシング攻撃
新型コロナウイルスが流行し始めた時、下記のようなフィッシング攻撃がありました。
- テレワークツールへの招待にみせかけたメール
- マスクの購入当選メール
このように、感染症の流行や自然災害が発生した時などは、世間の関心に便乗する手法が現れやすいため注意が必要です。
フィッシング攻撃の被害で起こり得る主なリスク
フィッシング攻撃を受けると、下記のような被害が起こり得ます。
【フィッシング攻撃の被害で起こり得る主なリスク】
- ログイン情報が騙し取られる
- アカウントが乗っ取られる
- マルウェアに感染する
- 不正な預金引き出しや送金の被害に遭う
- ランサムウェア攻撃を受ける
- クレジットカード番号を詐取されて不正利用の被害に遭う
フィッシングによって、アカウントのIDやパスワードが騙し取られると、アカウントが乗っ取られる可能性があります。
ほかにも、フィッシングサイトに口座の認証情報を入力してしまうことで不正な預金引き出しや送金の被害に遭ったり、クレジットカード情報を入力することで不正利用されたりしてしまうリスクがあります。
また、マルウェアやランサムウェアといった不正なプログラムに感染させるフィッシング攻撃にも注意が必要です。
一例として、マルウェアに感染すると下記のような被害に遭う可能性があります。
- パソコン内のデータが破壊される
- 情報漏えいが発生する
- スパムメールを発信してしまう
マルウェアの種類や侵入経路、感染した場合の復帰手順については、下記の記事で解説していますので、ぜひご一読ください。
ランサムウェアとは、パソコンやサーバーのデータを暗号化し、暗号化を解除するために身代金を要求してくるプログラムのことです。
ランサムウェアに感染すると、パソコンやサーバー上のデータが暗号化され、使用できなくなってしまいます。
そして、暗号を解除することと引き換えに多額の身代金を要求され、支払わざるを得ない状況に追い込まれるのです。
ランサムウェアのリスクと手口、事例や対策は下記の記事で詳しく解説しています。企業のセキュリティ担当の方は、ぜひご一読ください。
フィッシング攻撃の予防と対策方法
フィッシング攻撃の予防と対策方法には、下記のような種類があります。
- フィッシング攻撃のパターンを知って予防する
- 送られてきたメールアドレスやサイトのURLが正規のものか確かめる
- 迷惑メールにフィルタリング(迷惑メールに登録する)をかける
ここからは、フィッシングサイト・フィッシングメール・SMS、それぞれの予防と対策方法を解説します。
フィッシングサイトの予防と対策方法
フィッシングサイトの予防は、メールやSMSのリンクをクリックしないことが大前提です。
- アクセス先のURLに違和感はないか
- サイトのURLは公式サイトのものと異なっていないか
などのチェックを行いましょう。
そして、フィッシングメールと判断できたら、迷惑メールに登録することをおすすめします。
万が一、サイトにアクセスしてしまった場合、個人情報は絶対に入力しないでください。
また、フィッシングサイトで個人情報を入力してしまった場合、送信ボタンを押していなくても第三者に個人情報が漏れている可能性があるので、下記のような手続きを行いましょう。
- 金融機関やカード会社に連絡し、カードの使用をストップするなどの手続きをおこなう
- IDやパスワードのログイン情報を即座に変更する
- フィッシング110番の窓口やサイバー犯罪窓口に連絡する
偽サイトによる被害例や見分け方・対処法は、次の記事でも解説していますのでぜひご覧ください。
フィッシングメール・SMSの予防と対策方法
フィッシングメール・SMSの場合も、リンクを開かない、個人情報を書いて返信しないことが重要です。
「不正アクセスによりあなたの個人情報が流出しています」と書かれてある場合、フィッシングメールの可能性が高いです。
まずはフィッシングメール・SMSかどうかを見極めましょう。
その際は、ぜひ下記のポイントを意識してみてください。
- タイトルにスパムスタンプがついていることもある(プロバイダが注意喚起のために[spam]などを付けてくれる)
- 送信者が自分または知り合いのメールアドレスになっている
- メール内容が不審である
- ワードサラダになっている(文法的に間違っていないが、意味が破綻している)
海外の不正者が仕掛けてくることもあるため、日本語がおかしくないかをチェックすることで迷惑メール・詐欺メールに気付くケースもあります。
なお、フィッシングメール・SMSを開いただけなら被害に遭う可能性はあまりありません(ウイルス感染の可能性はあります)。
もし、フィッシングメール・SMSを開いてしまったり個人情報を送ったりした際は、下記の対策を行いましょう。
- ウイルススキャンをする
- アカウントのIDとパスワードを変える
- クレジットカード会社へ連絡する
- サイバー犯罪相談窓口・フィッシング専用窓口に相談する
フィッシングメールを開いたり、リンクをクリックしたりした際の対処法は、次の記事でも解説していますのでご参照ください。
また、下記の記事では、フィッシングメールを含む「迷惑メール」の5つの種類や見分け方を紹介していますので、ぜひご一読ください。
その他
フィッシング攻撃にはさまざまな手法がありますが、予防の仕方はほとんど同じです。
メールアドレスやURLで公式のものかどうかを確認する、怪しいと感じたらネットで口コミを調べてみるなどして、フィッシングかどうかを確認します。
そして、個人情報が漏れてしまったら、下記のような対策を行いましょう。
- 電話番号を変える
- アカウントのIDやパスワードを変える
- 金融機関やカード会社に連絡する
しっかりと予防を行い、もし個人情報が漏れてしまっても被害を最小限に抑える行動が大切です。
企業もフィッシング対策が欠かせない
企業がフィッシング攻撃を受けると、顧客の個人情報や機密情報などが流出することで、大きな損害を被る可能性があります。
また、自社になりすましたフィッシングメールやサイトができると、自社に非がなくともイメージが悪化したりクレーム対応に追われたりしてしまいます。
そのため、企業もフィッシング攻撃対策が欠かせません。
そこで、フィッシング攻撃対策におすすめなのが「不正アクセス検知サービス」の導入です。
たとえば、かっこ株式会社の「O-MOTION」は、不正の可能性があるアクセスをリアルタイムに検知し、不正なログインを検知した際は「2要素認証」「アクセス遮断」と組み合わせることで、不正なアクセスを防止することができます。
独自で所有するデバイス情報やユーザーの操作情報、アクセス時間、IPアドレスなどをもとに、不正アクセスかどうかを判別することが可能です。
フィッシング攻撃により、従業員が個人情報を抜かれてしまっても対応できる「O-MOTION」について、詳しくは以下のバナーをクリックのうえご確認ください!
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
まとめ:年々巧妙化するフィッシング攻撃への対策を
フィッシング攻撃は増加傾向にあります。
フィッシング攻撃を受けると個人情報が流出してアカウントを乗っ取られたり、クレジットカードの不正請求をされたりなど、大きな損害を受けてしまいます。
そのため、フィッシング攻撃対策が欠かせません。
特に企業は、顧客の個人情報や機密情報などが流出することで、大きな損害を被る可能性があります。
企業がフィッシング攻撃対策をするためには、まずフィッシングサイトを検知することが重要です。
フィッシングサイトを作られると、自社に非がないにも関わらず、イメージの悪化やクレーム対応などの被害に遭う可能性があります。
フィッシングサイトを検知する3つの方法を下記記事で解説していますので、ご一読ください。
また、フィッシングサイトが作られてしまったら「テイクダウン」を行い、フィッシングサイトを閉鎖させましょう。
テイクダウンに関する詳しい解説が知りたい方は、下記の記事をご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
