フィッシング詐欺の対策と私の組織にも届いたフィッシングメール実例をご紹介

フィッシング(phishing)とは、サイバー攻撃の一種で実在の企業や機関に成りすまして偽メールを送ったり、本物の通販サイトそっくりの偽サイトを作ったりして、クレジットカード番号やログインパスワード、個人情報などを送信させ、盗み出す行為を言います。

語源は「釣り(fishing)」からくる造語のようですが、仕掛けた餌で釣り上げて、重要な情報を奪い取り、さらにその情報を利用して様々なアカウントを乗っ取ったり、不正に送金させたり不正な買い物をしたりすることをフィッシング詐欺と呼びます。

フィッシング詐欺は数年前から断続的に続いており、現在でも被害は報告されています。

今回はフィッシングメールやフィッシングサイトで被害にあわないための対策と、私の組織が危うく被害にあいそうになった実例をご紹介します。

スポンサーリンク
スポンサーリンク

フィッシングメールとは

金融機関やクレジットカード会社、最近ではマイクロソフトやアップルといったIT企業などに成りすまして偽のメールを送り、「クレジットカードが利用出来なくなりました」「あなたの銀行口座に振込がありました」「アカウントの確認と更新作業が必要です」などさまざまな文面のメールを使って、メールに直接返信させたりメール本文中に書かれたURLをクリックさせてWebサイトに誘導したりします。

メール自体偽物ですが本文に書かれているURLもその先のWebサイトも全て偽物で、クレジットカード番号やパスワード、個人情報などを送信してしまうと、悪意ある第三者にそれらの情報が盗まれてしまいます。

そして、同じパスワードを使っているSNSやネットバンキングなどのWebサービスにログインされて乗っ取られてしまったり、クレジットカードを不正に使われて買い物をされてしまったりします。

フィッシングサイトとは

既存の通販サイトそっくりの偽サイトや、普通のショッピングサイトだと思わせる偽サイトの場合は、入手しにくいブランド品や人気商品を取り扱っているふりをして客を引き寄せ、発送先氏名・住所・電話番号・クレジットカード番号などを入力させたりします。

しかし、決済の途中で画面が進まなくなる等して買えず、個人情報やカード番号だけ盗み取られる状態に陥ってしまいます。

アップルやマイクロソフトのサイトそっくりのページに誘導された場合は、今まで使っていたアカウントやソフトが使えなくなったという理由で、再度アカウント情報やクレジットカード情報を入力して送信するよう促し、入力された情報を盗み取ります。

フィッシング対策の方法

フィッシングをはじめとするサイバー攻撃の手段は日々進化しているため、100%完全に防ぐ方法はありませんが、被害を最小限に防ぐために次のような事に気をつけましょう。

1.そんなことはメールで聞いてこないという意識を持つ

まず、IT企業や金融機関、カード会社がメールで個人情報・パスワード・カード番号・口座番号を聞いてくることはあり得ないので、そのような内容のメールが届いた時点でフィッシング詐欺だと思いましょう。

2. メールの送信者アドレスやリンク先URLを確かめる

銀行から来たメールのはずなのに、送信者アドレスや返信先のアドレスが誰でも無料で使えるフリーメールだったら100%フィッシング詐欺メールです。大企業がフリーメールを使うというのはあり得ません。

他にも、リンク先URLを見て「いつもアクセスしているWebサイトのアドレスと違う」と気付くことが出来ればベストです。

アルファベットのOを数字の0にしている等、本物のサイトURLに似せている場合や、全然違うけどあなたが違和感を覚えないアドレスだったりする場合もありますが、いずれにしても、「なんとなく違うかも」と思えば、URLをクリックしないほうが良いでしょう。

3. 検索結果やブックマークからアクセスする

それでも心当たりがありそうかもと感じて気になったら、メール本文に記載されているURLからはアクセスせず、ネットの検索結果からアクセスしたり、あらかじめブックマークしていた正規のアドレスからアクセスしたりしましょう。

そして正規のWebサイト内にメールで届いたような案内が書かれていなければ、あなたに届いたメールはフィッシングメールです。

4.カスタマーサポートに聞いて確認する

正規のWebサイトを見てもイマイチよく分からない、このまま無視するのも気持ち悪い、そう思うなら、直接その会社のカスタマーサポートセンターのような窓口に電話して確認しましょう。

そして担当者に「こういう内容のメールを送信したのか?」と尋ねて確認させましょう。

ただし、フィッシングかもしれないメール本文に記載されている問い合わせ先電話番号やメールアドレスは偽物で、問い合わせ先自体が悪意ある第三者の可能性があるので、そこに問い合わせてはいけません。

お手持ちのクレジットカードの裏側に書いてある電話番号は本物なので、その番号に電話をかけたり、正規のWebサイトで案内されている窓口に問い合わせたりすれば間違いありません。

5. 日本語の使い方が変なメールやサイトは避ける

フィッシングメールもフィッシングサイトも、見た目はキレイだったり本物とそっくりだったりしますが、日本語の使い方が変で文脈に違和感を覚えたり、使われている漢字が日本人が使わない漢字だったりする場合があります。

そういうメールやサイトは無視するほうが無難です。

6. 品薄人気商品が在庫ありという餌に釣られない

人気商品が他の通販のサイトではどこも品切れになっているのに、疑わしいサイトだけは在庫がありになっている場合があります。

実は、それがフィッシングサイトの餌となり、あなたを誘い出して釣り上げる手段のひとつです。

使われている日本語はおかしくないですか?

特定商取引に関する表示がありますか?

サイト運営者の連絡先や所在地が書かれていますか?

もし怪しければ、注文はやめたほうが無難です。

7. ウイルス対策ソフトを最新状態で常駐させる

ウイルス対策ソフト(アンチウイルスソフト)はPCを買ったら付属している場合もありますが、市販のウイルス対策ソフトをインストールしておくと、インターネット上のいろいろな危険を防いでくれます。

フィッシングの場合も「これはフィッシングメールです」「このサイトはフィッシングサイトです」等のアラートを出してくれる製品もあります。

ただしアンチウイルスソフトはインストールしているだけでは効果が少なく、「常時有効にしておく」「常時更新するようにしておく」ことで本来の効果を発揮します。

いつの間にか自動で更新してくれる期間が終了し、最新の攻撃は防ぐことが出来なくなっていた、ということがないよう、この機会に設定を確認しておきましょう。

8. 複数のサービスでパスワードを使い回さない

複数のサービスでパスワードを使い回さないことはフィッシング以外にも有効な対策です。

フィッシング詐欺師は盗んだIDとパスワードであなたが利用していそうなサービス全てに不正ログインを試みます。

つまり、利用するサービスごとにパスワードを変えていれば、不正ログイン被害を最小限に留めることができます。

最近は一度しか使えず時間制限もある「ワンタイムパスワード」が使えるサービスや、あなたがいつも使っているスマホなど以外からログインしようとすると、あなたのスマホに確認のメールが届く二段階認証が設定できるサービスも用意されているので、積極的に活用しましょう。

マイクロソフトに成りすましたフィッシングメールの実例

ここからは、実際に私の組織にも届いたフィッシングメールの実例をご紹介します。

2017年1月12日の早朝に「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」という件名のメールが大量拡散しました。

このメールは、Office製品のプロダクトキーが侵害されたという名目でマイクロソフトを偽装したフィッシングサイトへ誘導し、最終的にマイクロソフトアカウントからクレジットカード情報まで詐取することを狙ったものです。

フィッシングメール本文例

今回確認されているフィッシングメールの例

本件で確認されているフィッシングメールは、日本国内で 1万件以上の拡散が確認されています。

フィッシングメール内に表示されている差出人は「support@microsoft-securityprotection-support」の文字列を含むアドレスとなっており、マイクロソフトのサポートからのメールと誤解させることを狙ったものと考えられます。

メール本文では「オフィスソフトのプロダクトキーが違法コピーされた可能性」の名目で受信者に「検証作業」を要求します。

本物のマイクロソフトからのメールだと誤解した受信者がメール本文の「今すぐ認証」部分のリンクにアクセスすると、マイクロソフトの正規サイトに偽装したフィッシングサイトへ誘導されます。

このフィッシングサイトの URL は差出人のメールアドレスのドメインと同一であり、受信者が怪しまないための工夫が見られました。

しかし、差出人の署名や問い合わせ先すら書かれていないこと、「授権が終了する」という、理解しにくく見慣れない言葉が使われているなど、怪しいと思える部分もありました。

フィッシングサイト例

正規のmicrosoftのサイトがこちらです。

microsoftの正規サイト

そして今回のフィッシングサイトがこちら

誘導されるフィッシングサイトの表示例(掲載に際してモザイク処理済)

このフィッシングサイト上ではメール本文と同じ警告文がポップアップ表示され、さらに受信者をあおり信用させようとします。

ページ内の「今すぐ認証」のリンクをクリックすると、マイクロソフトアカウントのサインイン画面を偽装したページが表示されます。

当然この画面はマイクロソフトアカウントの詐取を狙う偽画面ですが、これだけ見ても怪しいと気づく人は少ないでしょう。

フィッシングサイト上の偽のサインイン画面例

サインインするとさらに、アカウント認証のために必要、との名目で、氏名や住所などの個人情報からクレジットカードの番号やセキュリティコードまでの入力を促されます。

フィッシングサイト上の「お客様情報追加」画面例

ここまでの情報を入力すると「修復が完了しました」との表示があります。

メールやサイトがマイクロソフトのものと信じ込んでいる被害者は、正規の手続きのように感じたまま、だまされたことに気づかないでしょう。

フィッシングサイト上の「修復完了」画面例

この Webサイトでは日本国内からアクセスした場合のみ、このフィッシングサイトが表示される仕組みになっており、完全に日本国内の利用者を対象としたフィッシング攻撃でした。

詐取対象となったマイクロソフトアカウントをはじめとして、Apple ID、Google アカウントのように、複数のサービスの利用に使用可能なアカウントの情報はサイバー犯罪者にとって利用価値が高く、継続的に狙われる情報となっています。

現在のスパムメール攻撃では短時間で送信を終える手口が多いため、この時のフィッシングメールも、数日間送り続けられるということはありませんでした。

しかし一定期間を置いて送信を繰り返す手口も多く、今でも同様のフィッシングメールが散発的に拡散されています。

なお、当時からGoogle Chrome、Firefoxでは、メール本文のURLをクリックした際に以下のような警告メッセージが表示されましたが、Internet ExplorerやEdgeでは、警告なしに偽画面がそのまま表示されました。

  • Google Chromeの場合「偽のサイトにアクセスしようとしています」
  • Firefoxの場合「詐欺サイトとして報告されています!」
  • Internet ExplorerとEdgeは、警告なしで偽画面が表示された

よって、Internet Explorerを指定ブラウザとしていた私の組織では11名がフィッシングサイトにアクセスしたことがプロキシサーバのログで判明しましたが、アカウント管理は情報管理部門が一括して行っているので、クレジットカード番号などの入力に違和感を覚え、実際に情報を送信した者はいませんでしたが、アクセスしただけでマルウェアのゼロディ攻撃を受けるようなwebサイトに誘導されていたらと思うとゾッとしました。

どこの企業も組織もoffice製品など業務に必須のソフトウェアのアカウント管理は一括で行っているはずなので被害はほとんどなかったと思われますが、従業員が数人規模の個人経営の会社や、自宅のPCにoffice製品をインストールしている一般ユーザーには、被害にあってしまった人もいたようです。

最近はLINEアカウントを狙ったフィッシングメール詐欺が増えています

LINEからのメールに見せかけて、フィッシングサイトに誘い出し、LINEに登録しているメールアドレスとパスワードを入力させ、アカウントを乗っ取る悪質な行為です。

確認されているLINEをかたるフィッシングメールがこちら。

LINEに成りすましたメールを送りアカウントを乗っ取ろうとするフィッシングメール例1(フィッシング対策協議会より転載)

 

LINEに成りすましたメールを送りアカウントを乗っ取ろうとするフィッシングメール例2(フィッシング対策協議会より転載)

いずれのLINEをかたるフィッシングメールはフィッシング対策協議で公開されているので、日ごろからチェックしておきましょう。

フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。

このようなLINEをかたるメールが届いても無視して削除してください。

本文内のリンクを開いたり、リンク先のログイン画面でメールアドレスとパスワードを入力しないでください。

もしメール本文のリンク先を開いて、ログインしてしまった場合でも、SMSで送られてくる4桁の認証番号は絶対に入力しないでください。入力するとあなたのLINEは乗っ取られてしまいます。

最新版 LINE乗っ取り対策「4ケタの認証コード」を死守せよ
最新のLINE乗っ取り対策はたった二つ。英字の大文字小文字、数字、記号の4種類を使った10ケタ以上のパスワードを設定して他のサービスで使い回さないことと、どんな理由であれ認証コードを絶対誰にも教えないことだけです。この二つの対策であなたのLINEアカウントは乗っ取り被害から守られます。

怪しさを察知出来る感覚を養うことが重要です

実例でも分かるように、フィッシングサイトは本物と区別がつかない完成度ですが、最初のステップであるフィッシングメールには、何らかの怪しさが見え隠れしていて、日ごろから気をつけている人は危険を察知することが出来るはずです。

フィッシング詐欺は個人情報漏えいに直結しているので、一度被害に遭ってしまうとあなたの個人情報が犯罪者の間で流通し続けることになり、2度3度と釣られてしまうことにも成りかねません。

ネットの世界でもリアルな日常生活と同じく、突然の訪問者に対する怪しい雰囲気を察知出来る感覚を養い、わが身を自分で守りながら、なるべく安心安全にネットを活用していきたいですね。

リスクコントロールは日常生活の中にもある
情報セキュリティ対策におけるリスクコントロールと聞くと、難しそうでアレルギー反応を起こす人もいるでしょうが、実は我々は日常生活の中で自然とリスクコントロールの感覚を身に付けていたり、教えられていたりします。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
スマホ・SNSセキュリティ
arisaをフォローする
情報セキュリティ対策の真実

コメント