フィッシング詐欺とは？手口や企業に必要な対策など

インターネットサービスが普及し、あらゆることがインターネットを介してできるようになった昨今、特に注意すべきサイバー攻撃の一つとしてフィッシング詐欺が挙げられます。フィッシング詐欺は年々巧妙化、多様化が進み、個人・企業を問わず誰もが狙われていると考えて行動しなければなりません。

この記事では、フィッシング詐欺の主な手口と併せて、基本的な対策や企業における対策方法などを解説します。 

フィッシング詐欺とは

フィッシング詐欺とは、実在する企業などになりすまして情報を盗み取るサイバー攻撃の手法の一つです。盗み取られる情報の例としては、氏名、住所、電話番号などの個人情報や、クレジットカード情報や銀行口座情報などの直接金銭的な被害に繋がる情報も挙げられます。

フィッシング詐欺の多くはメールを起点とし、本物そっくりの偽物のWebサイトに誘導して情報を入力させて盗み取る手法が一般的です。このようなメールを「フィッシングメール」、情報を盗み取る偽のWebサイトを「フィッシングサイト」と呼びます。近年のフィッシング詐欺は個人だけでなく企業も標的になるため、社内の機密情報も狙われていると考えるべきです。

フィッシング詐欺の被害と影響

情報処理推進機構（IPA）が公表する「情報セキュリティ10大脅威2023」において、個人部門では「フィッシングによる個人情報等の詐取」が第1位、組織部門では「ビジネスメール詐欺による金銭被害」が第7位に挙げられているほど、フィッシングは危険視されています。

また、警視庁が公表する「令和4年におけるサイバー空間をめぐる脅威の情勢等について」では、インターネットバンキングに係る不正送金事犯の発生件数は1,136件、被害総額は約15億1,950万円と報告されています。さらに、2023年のフィッシング詐欺による被害総額は同年8月時点で過去最多となる30億円と報告され、ニュースにもなりました。

すでに前年の被害総額を上回っており、フィッシング詐欺による被害の深刻さがわかるのではないでしょうか。フィッシング詐欺による被害は他人事ではなく、いつ自身の身に降り掛かってもおかしくない状況です。

参考：

「情報セキュリティ10大脅威2023（IPA）」

「サイバー空間をめぐる脅威の情勢等（警視庁）」

フィッシング詐欺の主な手口

フィッシング詐欺の対策の一つとして「手口を知る」ことは重要です。ここではフィッシング詐欺の主な手口を一つずつ簡単に紹介します。

通販サイトや銀行の偽装メール

よくあるフィッシングメールの例として、誰もが利用する通販サイトや銀行からのメールを偽装するパターンが挙げられます。通販サイトを騙って「クレジットカード情報が古くなっており更新する必要がある」や、銀行を騙って「セキュリティ強化のために口座を停止したため再開手続きが必要」などのメールが代表的です。

これらの偽装メールにはURLが記載されており、アクセスすると偽のWebサイトであるフィッシングサイトへと誘導され、情報を入力すると認証情報を盗まれてしまいます。例のように利用者の不安を煽るようなメールが届いた場合には、フィッシングメールの可能性を疑いましょう。

SNSやインターネット掲示板の偽リンク

近年ではメールだけでなく、SNSやインターネット掲示板にフィッシングサイトへのリンクを掲載して誘導するパターンも見られます。この場合、記載されているURLが本物そっくりなものになっている可能性があるため注意が必要です。例えば、アルファベットのo（オー）を数字の0(ゼロ)にしたり、アルファベットの大文字のI（アイ）を小文字のl（エル）にしたりします。加えて、テキストとして表示されているURLとリンクのURLが異なる場合もあるため、アクセスする際には注意深く確認することが重要です。

SMSを利用した詐欺（スミッシング）

近年特に増えているものがSMSを利用した「スミッシング」です。SMSはEメールよりも開封率が高く、Eメールの開封率20%に対してSMSは80%もあるといわれています。そのため、企業が消費者とコミュニケーションを取るためのツールとして注目されていますが、攻撃者側も同様に悪用しようと考えています。

SMSは送信できる文字数が限られていることから、Eメールよりも偽装が簡単で情報量も限られ、偽メールとの判別も難しいといえるでしょう。加えて、送信者の確認もEメールに比べて難しいため、被害が拡大しています。

スミッシングの例としては、配送業者を騙って「再配達の依頼はこちら」などの文面でWebサイトに誘導し、マルウェアが仕込まれたアプリがインストールされる事例も報告されています。スミッシングの危険性は、フィッシングサイトで情報を入力して盗み取られるだけでなく、スマートフォンの乗っ取りや電話帳・連絡先を盗まれる可能性もある点です。

フィッシングサイト

フィッシングサイトは攻撃者がユーザーから情報を盗み取るためのWebサイトであり、多くは本物そっくりに作られています。一見すると本物のWebサイトと見分けがつかないため、誘導されるとユーザーは個人情報などを入力してしまいかねません。フィッシングサイトかどうかを見分けるためには、正規のURLか確認する、日本語に違和感がないか確認する、などの対策が有効です。また、昨今のセキュリティソフトのなかにはフィッシングサイトを検出するものもあるため、システム的に対策することも検討しましょう。

偽のウイルス感染メッセージの表示

ここまでの手口とは少し毛色が異なりますが、「ウイルスに感染した」などのように不安を煽る手口も存在します。実際には感染していないにもかかわらず「安全を確保するためにアプリのインストールが必要」などの警告が表示されます。このようなアプリはほとんどがマルウェアであり、インストールすることで情報の盗取や最悪の場合にはデバイスの乗っ取りに繋がるため注意が必要です。

加えて、フィッシング詐欺と同様に注意が必要とされる「ランサムウェア」への感染も注意しなければなりません。ランサムウェアはデバイス内のデータを人質に取り、暗号化して利用できなくした上で「身代金」を要求するマルウェアの一種です。身に覚えのないウイルス感染メッセージが表示された場合には、フィッシング詐欺やランサムウェアの可能性を考えたほうがよいでしょう。

フィッシング詐欺対策の基本

前述のような手口に対する基本的な対策方法を解説します。

URLをむやみにクリックしない

個人で直ぐにできる対策としては、メールやSMSなどに記載されているURL（リンク）をむやみにクリックしない、ということです。フィッシングメールなどが届いたとしても、URLをクリックしてフィッシングサイトへアクセスしなければ被害には遭いません。

フィッシングメールは思わずクリックしたくなるような文面で送られてきますが、クリックする前に「本物のメールなのか」と一度疑うことを癖つけるとよいでしょう。

多要素認証を設定する

フィッシング詐欺でログイン情報などを盗み取る場合、IDとパスワードの情報が盗まれます。IDとパスワードのみの認証方法であれば、これらの情報を知っていれば誰でもログイン可能です。しかし、指紋や顔のような生体情報や、本人しか持っていないデバイス（スマートフォンなど）を使って認証しなければならない場合、仮にパスワードなどが盗まれても不正アクセスを防げます。

ID/パスワードの組み合わせは「知識情報」であり、その他の「生体情報」や「所持情報」と組み合わせることで「多要素認証」を実現することが可能です。銀行をはじめとする多くのWebサービスでは、多要素認証や二段階認証・二要素認証が設定できるようになっています。認証におけるセキュリティを強化するためにも、多要素認証を設定することを検討しましょう。

企業に必要なフィッシング詐欺対策

企業におけるフィッシング詐欺対策は、組織として包括的な対策が求められます。具体的な対策方法をいくつか紹介するため、これらを参考に進めてみてはいかがでしょうか。

セキュリティソフトやサービスの導入

情報セキュリティ対策では「技術的」「人的」「物理的」対策が必要とされています。このうち、技術的対策の例としてはセキュリティソフトやセキュリティサービスの導入が挙げられます。

基本的な対策で挙げたように「URLをむやみにクリックしない」ように気をつけていても、間違ってアクセスしてしまう可能性もあるでしょう。その際に、フィッシングメールやフィッシングサイトを検出してアクセスを制御できれば、フィッシング詐欺による被害を防げます。「人はミスをするもの」という前提で、システム的・技術的な対策を講じることが重要です。

従業員教育

技術的な対策はもちろんのこと、それだけに頼っていては万全のセキュリティを築けません。最終的に行動を起こすのは人であることからも、人的対策も合わせて実施することが重要です。

従業員教育としてフィッシング詐欺の事例や被害の深刻さを理解してもらったり、具体的な対策方法を教育したりする必要があります。従業員の誰か一人でもフィッシング詐欺の被害に遭ってしまうと、影響が全社的に広がる可能性もあるため、一人ひとりが十分に気をつけなければなりません。

セキュリティポリシーの策定

効果的な従業員教育を行うためにも、セキュリティポリシーの策定は重要です。セキュリティポリシーは社内のIT機器の取り扱いや、情報資産をどのように運用するのかなどを取りまとめたルールです。

セキュリティポリシーを策定していれば、ポリシーを基準に従業員の行動をチェックし、違反した行動をする従業員がいた場合には即座に対応できるようになります。従業員一人ひとりがセキュリティポリシーを理解するためにも従業員教育が必要であり、教育によって全社的な対策が実施できます。

セキュリティ監視と早期対応体制の整備

セキュリティポリシーの策定と併せて、セキュリティの監視体制や早期対応体制の整備も進めましょう。特に重要な情報資産などは、常時セキュリティ監視することで許可なく持ち出されている場合などにすぐに気付けるようになります。

セキュリティ監視のなかで異常を発見した場合に、誰が・どのように対応するのかなどを事前に取り決めておくことで、被害を未然に防いだり被害拡大を防いだりすることが可能です。

まとめ

実在する企業などになりすまして情報を盗み取るフィッシング詐欺は、個人・企業を問わず十分に気をつけなければなりません。2023年8月時点で前年の被害総額を上回っていることからも、フィッシング詐欺の危険性が高まっていることがわかります。

EメールやSMSだけでなく、SNS・インターネット掲示板などからフィッシングサイトへ誘導したり、偽のウイルス感染メッセージを表示したりする手口もあるため、これらの手口について理解を深め、被害に遭わないように備えておきましょう。

基本的な対策と併せて、企業における対策方法も解説したため、これらを参考にフィッシング詐欺への対策を実施してみてはいかがでしょうか。