フィッシング攻撃対策 ― 見分け方と対処法

セキュリティは鍵です。単なるセキュリティではなく、以下を組み合わせた多段階の規定が必要です:

• 従業員向けのセキュリティ意識向上研修
• メールセキュリティの強化
• 公式チャネルを通じた怪しい連絡の確認

従業員向けのセキュリティ意識向上研修

適切な教育を受けることは、攻撃者の狙いをかわす第一歩です。すべての従業員が潜在的な標的となり得るため、上下関係にかかわらず、セキュリティ意識向上の研修を実施する必要があります。

この研修は、エンドユーザーが直面する一般的な脅威への意識を高めることに重点を置いています。その後、クイズや実際の攻撃を模したシミュレーションで知識を確認する段階に進みます。後者の場合、会社が次の2段階のプロセスを行うことがあります:

• 意識向上のためのフィッシング
• セキュリティ向上のためのフィッシング

意識向上のためのフィッシングとは、テンプレート化されたメールを従業員に送信する方法です。不合格と判断された従業員には通知が行われ、追加研修の対象となります。

一方、セキュリティ向上のためのフィッシングは、実際の攻撃を模したシミュレーションで、IT管理体制の評価や、ITチームが実際の状況に対応するための準備を目的としています。このプロトコルでは、エンドポイントの防御、ネットワーク型ファイアウォール、インシデント対応、セキュリティインシデントおよびイベント管理システムなどが検証されます。

新たなフィッシング手法が次々と生み出されるため、常に最新情報を把握しておくことが一層大切です。研修は、自主的なコースでも、専門家による指導でも実施可能です。

メールセキュリティの強化

メール通信を守ることは、外部からの侵入を防ぐ上で欠かせない対策です。まず、GoogleやMicrosoftなど、信頼できるメールクライアントを使用することが第一歩です。既に安全なプラットフォームであっても、さらに以下の対策を加えることで、堅固な体制を構築できます:

• 二要素認証(2FA)の導入 - パスワードに加え、携帯電話、アプリ、専用トークンなど、所持しているものや、指紋、音声認識、網膜スキャンなどの生体情報を利用します。これにより、メールアカウントが乗っ取られるリスクを大幅に下げられます。

• Microsoft Advanced Theft Protection と Google Safety Controls - Googleのセーフティーコントロールはメール、リンク、添付ファイルを悪意の有無でスキャンします。Microsoft ATPも同様に、メール内容からマルウェアを検出し、似たURLを作るための意図的な誤字にも対応します。

• 配信後の保護 - 機械学習システムを用いて、配信後のメールに潜むフィッシング詐欺を検出・排除します。利用者は疑わしいメールを報告し、警告バナーを表示、もしくはメール自体を削除することが可能です。

公式チャネルを通じた怪しい連絡の確認

メール、音声、SMSいずれのフィッシングにおいても、行動を起こす前に怪しい連絡を必ず確認してください。受信した依頼が正当かどうか、公式の電話番号に問い合わせて確かめることができます。

急を要する指示があっても、焦る必要はありません。緊急性を煽るのは詐欺メールの特徴であり、その可能性が高いからです。

多くの場合、エンドユーザー自身が注意を払うことが重要です。一般の方が脅威について十分な知識を持っていない隙に、ハッカーは狙いを定めます。

ユーザーはどうすべきか？

クリック前に再考する

多くの人が、メールを大雑把に閲覧し、内容を十分に確認せずにリンクをクリックしてしまいます。統計によれば、フィッシングメールの30%がメールクライアントやITセキュリティのチェックを通過しています。そのため、巧妙に作られたメールが迷惑メールフォルダではなく受信箱に届くこともあります。リンクをクリックする前に、内容を十分に確認することが大切です。

以下では、フィッシングメールの見分け方について説明します。

サイトのセキュリティ証明書を確認する

メールに対して何か行動を起こす前に、URLが正規のものであり、「HTTPS」で始まっているか確認してください。アドレスバーの近くに鍵マークがあるかもチェックし、いずれかが欠けている場合はサイトの閲覧を控えてください。

ブラウザを更新する

ブラウザの更新は手間やデータの無駄ではありません。ネットワーク上の脆弱性に対応するためのセキュリティ対策の一環です。これらの脆弱性はハッカーの侵入経路となるため、利用可能な際は速やかにダウンロードし、インストールしてください。

オンラインアカウントを頻繁に確認する

オンラインプラットフォームが数多く存在する中で、できる限りアカウントを定期的にチェックすることが望まれます。長期間放置すると、ハッカーに狙われやすくなります。また、パスワードを定期的に変更し、異なるサイトで同じ組み合わせを使わないようにしてください。

最後に、口座明細などを定期的に確認する習慣をつけるとよいでしょう。銀行レベルのセキュリティでも、フィッシング詐欺から完全に守られるわけではありません。

ポップアップに注意する

ポップアップ自体は煩わしいですが、近年はフィッシング攻撃の手段としても利用されています。すでにポップアップブロッカーを使用している場合でも、万一表示された際はウィンドウ右上の「x」をクリックして閉じてください。

ファイアウォールを稼働させる

ファイアウォールは、コンピュータと外部からの侵入者との間の防壁です。デスクトップとネットワークの両方のファイアウォールを併用することで、ハッカーがシステムやネットワークに侵入しにくくなります。

ウイルス対策ソフトを活用する

ファイアウォールが外部からの悪意あるファイルの侵入を防ぐ一方、ウイルス対策ソフトはネットワーク経由で取り込まれるファイルを検査します。ハッカーが狙う一般的な脆弱性に対応するため、すべてのデバイスにインストールすることを強くお勧めします。

アンチフィッシングツールバーをブラウザに導入する

アンチフィッシングツールバーは、アクセスしたサイトを即座にチェックするために設計されています。既知のフィッシングサイトと照合し、不審な点があればすぐに警告を出します。ブラウザに追加することで、セキュリティをさらに強化できます。しかも、無料で利用できます。

公共ネットワークの使用を避ける

公共ネットワークを利用して重要なオンライン取引を行うことは推奨されません。こうしたネットワークは暗号化が不十分な場合が多く、ハッカーに狙われやすい状況となります。不正なアクセスが行われた場合、パスワードや保存された金融情報が危険にさらされる可能性があります。安全なWI-FIが利用できない場合は、モバイルネットワークを使用し、やむを得ず公共ネットワークを使う際はVPNを導入してデバイスを守ってください。

疑わしいメールは削除する

スパムフォルダに振り分けられていない疑わしいフィッシングメールは、受信箱から直ちに削除してください。メールを開くだけでウイルスが起動する可能性があるため、未開封のまま削除するのが望ましいです。

送信者をブロックする

送信者をブロックすることで、不正なメールの受信を防げます。プロバイダーがこの機能を提供している場合は、送信者のドメインをブロックリストに追加し、誤ってメールを受信してしまうリスクを減らしてください。

フィッシング攻撃の見分け方

フィッシングメールは、その存在が知られているにもかかわらず、多くの人が被害に遭っています。サイバー犯罪者はますます巧妙化しており、偽のメールが本物よりも信頼できるように見えることさえあります。

それでも、偽物は偽物であり、不正なメールであることを示す微妙なサインが存在します。

個人情報の要求

たとえ馴染みのある組織からの依頼であっても、個人情報を教えることには警戒が必要です。

正規の企業は、パスワードや銀行カード情報、社会保障番号などを求める無断のメールを送ることはほとんどなく、別途ログイン用のリンクを送ることもありません。

違和感を感じた場合、それは詐欺の可能性が高いと考えてよいでしょう。

一般的な挨拶文

「Dear customer,」「Dear valued member,」「Dear account holder,」などの一般的な挨拶は、詐欺師が大量に送っていることを示唆します。正規の企業であれば、アカウントに関する連絡は個々の名前で呼びかけるものです。挨拶文が全くない場合も、何かおかしい大きなサインです。これに加えて、文面の誤りも注意すべき点です。

文面の誤り

正規のメールでは、文法、句読点、スペルミス、脱落などはほとんど見受けられませんが、フィッシング詐欺ではこれらの誤りが頻出します。

これらの不整合は、文章をコピー＆ペーストする際に起こることが多いです。狙われるのは注意力が不足しているまたは情報に疎い個人であるため、ハッカーは文面の修正にあまりこだわりません。

ドメインの変化

フィッシングメールに共通する別の点として、メールのドメイン名の誤りが挙げられます。攻撃者は送信者を模倣するにとどまり、例えば Stephanie@ebay.com の代わりに Stephanie@ebay.net などとする場合があります。

多くの場合、完全なドメイン名はアドレス欄に隠れているため、送信者のアドレスを注意深く確認しないと見逃しやすいです。

リンクとURLの不一致

メール内に埋め込まれたリンクが、示されたURLと一致しない場合、悪意あるメールである可能性があります。リンク先のURLが、表示されているテキストと異なることがあるのです。

リンクにマウスを合わせ、クリックせずにURLを確認してください。もしURLがテキストやメール内容と一致しなければ、そのメールは詐欺である可能性が高いです。

先頭が https:// で始まっていないURLも、何かがおかしいサインです。信用せず、注意するのがよいでしょう。

ハイパーリンクのみのメール

ハイパーリンクだけが記載されたメールを開くと、送信者が無理に自社サイトへ誘導しようとしているかのように感じられるかもしれません。場合によっては、画面のどこかをタッチするだけで自動的にページへ遷移することもあります。

正規の企業がそのように強制することはありませんので、慎重にページを閉じ、メールは削除するのがよいでしょう。

不適切なグラフィック

Costcoのロゴに線が欠けていたり、色味が普段と異なる場合、単なるミスではなく、時間に追われたハッカーによる模倣の可能性があります。馴染みのある企業からのメールなら、ブランドロゴが普段通りであるか確認してください。事前の連絡なくリブランドすることはほとんどあり得ません。

感情を煽るメール

詐欺師の典型的な手口として、大きな金銭的報酬を謳うメールがあります。たとえば、チケットを購入していないのに宝くじに当選したと通知されることです。こうしたニュースにより高揚感が生まれると、つい餌にかかってしまう恐れがあります。幸福感、同情、恐怖といった強い感情を引き起こすメッセージは、詐欺の可能性を示しています。警戒を怠らず、注意してください。

不審な添付ファイル

企業が、無断で添付ファイル付きのメールを送ることはありません。必要な場合は、通常、自社サイトからファイルや文書をダウンロードするよう案内されます。

これらのフィッシング対策のヒントは完全ではありません。正規の企業でも文面に誤りが生じることがあり、また、所有しているメールアドレスにホワイトペーパーの添付ファイルを送付する場合もあります。個人情報を求める正当な理由があるケースも存在します。

しかし、Avananの調査によれば、99通に1通がフィッシング詐欺であり、2通に1通のフィッシングメールには悪質なリンクやマルウェアが含まれています。疑わしいと感じた場合は、メールを受信しないほうが賢明です。

迷った際は、公式サイトに記載の連絡先を利用して、直接会社に問い合わせることも可能です。

まとめ

企業、特に金融機関はフィッシングの標的になりやすいです。大量の顧客データや金融情報へのアクセスを保持しているため、この脅威を完全に撲滅することは難しいです。フィッシング攻撃は常に存在しますが、重要なのは餌にかからないことです。

企業にとって、ハッキングの仕組みや攻撃中の状況を理解することは、被害を軽減し、攻撃そのものを防ぐために不可欠です。

ユーザーの意識向上と高性能なセキュリティ規定との組み合わせが何よりも重要です。人的なミスは避けられないため、エラーが起こらない仕組みで補完する必要があります。