メールやSMSを使ったフィッシング詐欺は、現在も多くの被害を生んでいます。企業もターゲットになり得るため、フィッシング詐欺のリスクを理解して対策をとる必要があるでしょう。本記事ではフィッシング詐欺のリスクや手法、被害に遭わない対策と万が一の対処法を解説します。
フィッシング詐欺とは何か?
フィッシング詐欺への理解を深めることは、具体的で有効な対策の考案につながります。以下では、フィッシング詐欺の基本について解説します。
フィッシング詐欺は個人情報やマルウェアの感染を目論むサイバー攻撃の1種
フィッシング詐欺とは、個人情報やマルウェアの感染を目的としたサイバー攻撃のことを指します。企業やサービスの名前を語り、偽のURLにアクセスさせて情報を抜き取る方法などが有名です。フィッシング詐欺は個人を対象に行われる詐欺でもありますが、昨今は企業宛に攻撃をするケースも増えています。
従業員のメールやSMSに対する注意が足りないと、企業でもフィッシング詐欺の被害に遭う可能性はあります。事前にリスクの大きさを認識し、従業員に注意喚起をする必要があるでしょう。
フィッシング詐欺は企業も攻撃対象になる
フィッシング詐欺は先に触れた通り、個人だけでなく企業を対象に行われるケースも珍しくありません。企業は個人とは異なり、事業に関係する重要な情報を抱えています。そういった重要情報を抜き取るために、偽のメールやSMSが世界中で発信されています。
企業はフィッシング詐欺の対象になっていることを理解し、そのリスクと被害の可能性を考慮して、早めに対策に乗り出すことが求められます。
フィッシング詐欺の被害状況
フィッシング詐欺の被害状況を知ることも、リスクへの対策につながります。具体的にどのような被害が出ているのか、どの程度の規模で被害が起きるのか把握し、フィッシング詐欺をリアルに理解することが重要です。以下では、フィッシング詐欺の被害状況について解説します。
2023年5月の報告件数は113,789件
フィッシング対策協議会の月次報告書によると、2023年5月の報告件数は113,789件となりました。これは過去最高の報告件数となり、フィッシング詐欺の被害が拡大していることが分かる数値です。また、詐欺に使われるフィッシングサイトのURL件数は、18,991件とこちらも多い結果になっています。
近年のフィッシング詐欺においては、約91.9%が実在するサービスのメールアドレス(ドメイン) を使用した「なりすまし」フィッシングメールとなっている点も注目です。簡単には偽のメールであることが見抜けなくなっているため、従業員はより注意深くフィッシング詐欺を警戒する必要があります。
フィッシング詐欺に使用されるブランド件数も増加している
フィッシング詐欺で悪用されるブランドも、近年は増加傾向にあります。2023年5月のデータでは、110ブランドがフィッシング詐欺で悪用されています。クレジット・信販系が約38.3%、決済サービス系が約21.9%、EC系が約15.8%、金融系が10.7%、交通系が約4.8%、オンラインサービス系が約3.7 %、公共サービス系が約 2.1%という結果になっています。
有名ブランドの名前でメールが受信されると、つい本物であると信じてしまいます。しかし、フィッシング詐欺はそういったブランドの効果を利用したサイバー攻撃であるため、使った心当たりのあるブランド・サービスからのメールであっても、まずはフィッシング詐欺を疑う必要があります。
フィッシング詐欺の主な手法
フィッシング詐欺には複数の手法があり、それぞれに攻撃の特徴があります。フィッシング詐欺への警戒と対策をする際には、主な攻撃方法を把握することもポイントです。以下では、フィッシング詐欺で使用される攻撃手法について紹介します。
メールを使ったフィッシング詐欺
フィッシング詐欺では、メールを使った手法が一般的です。企業やサービス名を語ったメールを作成し、本文に記載したURLへのアクセスを促すのが有名なスタイルになっています。不正なURLにアクセスして情報を入力すると、そのまま流出してしまう危険性があります。
有名な企業やサービスからの連絡でも、安易にURLをクリックせず、情報を入力しない心構えが必要です。また、「不正アクセスがあったためパスワードを変更してください」などと、危機感を煽る内容も近年はフィッシング詐欺の主流となっています。不正アクセスなどの報告時には、まず公式サイトなどに問い合わせ、それが真実であるか確認するプロセスが重要です。
SMSを使ったフィッシング詐欺
SMSでメッセージを送信し、フィッシング詐欺を行う事例もあります。SMSはスマートフォンなどで受信した際に、記載内容が表示されるため、意図せずフィッシング詐欺の術中にはまってしまうケースが多いです。昨今は宅配業者と名乗って偽の不在通知を送り、URLにアクセスさせて情報を入力させる、といった方法が目立っています。
そのほか、サービスの利用料金の未払いを指摘して、金銭を奪う方法も多いです。この方法は個人をターゲットに実施されることが基本ですが、なかには企業に対してSMSを発信し、そこから多くの情報を抜き取ろうとするパターンもあります。
パソコンやスマートフォンに警告を表示するフィッシング詐欺
パソコンやスマートフォンに、「ウイルスに感染しています」などと警告を表示するフィッシング詐欺も増えています。「急いで〇〇に電話してください」などとメッセージを表示し、警告音と共に利用者を焦らせる方法です。被害者は突然のことに冷静さを失い、そのまま詐欺に遭うケースが多いです。
ウイルスは気づかれないように感染を広げるため、「ウイルスに感染しています」といったメッセージを表示することはありません。まして電話や情報入力で脅威を取り除くことは不可能であるため、不安を煽るような状況下ではフィッシング詐欺を疑う必要があります。
フィッシング詐欺にかからないための対策
フィッシング詐欺に対しては、まず「攻撃を回避するための対策」が重要です。フィッシング詐欺にかからないための施策を実施することで、被害の発生を未然に防げます。以下では、フィッシング詐欺にかからない基本的な対策を解説します。
突然のメール・SMSは警戒する
突然送られてきたメールやSMSはすぐに信用せず、警戒して対応することが基本です。送信元のアドレスや誘導先のURLに、不審な点がないかチェックすることも有効な方法となります。例えばアルファベットを数字で誤魔化しているなど、公式と異なる点がある場合にはフィッシング詐欺の可能性が高いです。
インターネットで情報を集める
不審なメールやSMSが届いたら、インターネットで情報を確認しましょう。「フィッシング詐欺が増えている」といった情報が、公式から発信されているケースも多いです。心配であれば公式サイトの窓口に問い合わせて、メール・SMSの真偽を確かめる方法もあります。時間と手間はかかりますが、フィッシング詐欺に遭わないためには、必要な労力と捉えられます。
また、SNSをチェックすることで、フィッシング詐欺の被害に遭っている人がいるか確認可能です。最近の情報を閲覧し、フィッシング詐欺の被害報告が増えている場合にはより一層の警戒が求められます。
フィッシング詐欺のリスクを社内に周知させる
フィッシング詐欺のリスクを社内に周知させ、注意喚起をするのも重要な対策です。フィッシング詐欺の手口を伝えて、従業員一人ひとりのセキュリティ意識を高めることで、簡単には情報を流出させない環境を構築できます。従業員がフィッシング詐欺を正しく理解できれば、被害を防止しやすくなるでしょう。
社内にセキュリティに詳しい人材がいない場合には、外部の専門サービスに委託し、トレーニングなどによってセキュリティリテラシーの向上を目指すのも1つの方法です。
フィッシング詐欺の被害に遭った場合の対処法
フィッシング詐欺への対策を実施していても、被害に遭う可能性をゼロにはできません。万が一フィッシング詐欺の被害に遭った場合を考慮して、対処法を知っておくことも重要です。以下では、フィッシング詐欺の被害に遭遇した際の対処法を解説します。
各サービスの窓口に連絡する
入力してしまった情報のサービスに連絡し、フィッシング詐欺の被害に遭ったことを伝えます。そのうえでサービスの利用停止などの措置をとり、被害が出ないように備えましょう。クレジットカードや金融機関には、フィッシング詐欺専門の窓口が設置されているケースも多いです。スムーズに処理してくれるため、早めに関連機関への連絡を済ませましょう。
同時に、社内に向けてフィッシング詐欺の被害を報告する必要もあります。まずは上司に連絡し、その後の対応を考えましょう。
IDやパスワードを変更する
フィッシング詐欺で入力した情報とは異なるIDやパスワードに変更し、個人情報の流出を防ぎます。入力した時点で情報を抜かれている可能性は高いですが、変更することで不正利用を防げます。同じパスワードを他サービスで使い回している場合には、該当するすべての内容を変更しておく必要もあります。
フィッシング詐欺やマルウェア感染のリスクを考慮して、パスワードの使い回しは避けると良いでしょう。
警察に被害の相談をする
フィッシング詐欺によって金銭的な被害に遭った場合には、警察に通報します。「フィッシング110番」という専門窓口があるため、被害状況の説明と相談をしておきましょう。また、フィッシング詐欺対策協議会に連絡して、情報共有をすることも企業としての対応に含まれます。
フィッシング詐欺対策における課題
フィッシング詐欺への対策には、多くの方法があります。しかし、いずれもフィッシング詐欺を完全に防ぐことは難しく、逆に対策をしたことが油断となって、被害を生む可能性も懸念されます。以下では、フィッシング詐欺対策における課題について解説します。
フィッシング詐欺対策は従業員の意識が重要
フィッシング詐欺対策を適切に行うには、従業員の意識が重要となります。どれだけ社内のセキュリティを強化しても、従業員が騙されて情報を入力してしまえば、対策の効果がありません。定期的にフィッシング詐欺のリスクを説明し、被害が起きないように注意を促し続ける必要があります。
特に新入社員が入社する時期は、リスクを理解できていない従業員を狙ったフィッシング詐欺が実施される可能性があります。早めにセキュリティリテラシーの向上につながる施策を実行し、フィッシング詐欺に備えるのがポイントです。
フィッシング詐欺は被害が拡大する可能性も高い
フィッシング詐欺をきっかけに、大きな被害に発展するケースも少なくありません。一時的な被害だけでなく、関係者からの信用を失ったり、企業のブランドに傷がついたりする可能性も懸念されます。一瞬で多くのものを失うリスクがあるため、企業はフィッシング詐欺への対策に力を入れる必要があるでしょう。
フィッシング詐欺は専門サービスに依頼して防ぐ
フィッシング詐欺を効果的に防止するには、専門のセキュリティサービスを利用する方法がおすすめです。プロの知識・技術を活用できれば、フィッシング詐欺の被害を防げる可能性が高まります。内製だけではどうしてもプロのスキルには敵わず、理想的な対策ができないケースも懸念されます。
自社だけでカバーできない部分を補うためにも、専門サービスの利用を検討すべきでしょう。フィッシング詐欺だけでなく、サイバー攻撃全般に対応できるセキュリティサービスを使えば、より安全な環境で仕事ができます。従業員の負担を軽減する目的でも、外部サービスへの委託にメリットがあります。
まとめ
フィッシング詐欺は個人だけでなく、企業に対しても脅威のあるサイバー攻撃です。フィッシング詐欺の手口やリスクを正しく理解できていないと、知らないうちに情報を流出させてしまうリスクがあるでしょう。まずはフィッシング詐欺の危険性や企業にとっての脅威を把握し、必要な対策を考えていく必要があります。
フィッシング詐欺はサイバー攻撃の1種として、警戒すべきものとして認識されます。しかし、フィッシング詐欺はほかのサイバー攻撃と異なり、セキュリティを強化するだけでは対応しきれないケースが多いです。従業員を育成しつつ、万が一に備えた環境の整備が、フィッシング詐欺から企業を守ることにつながります。
「Proactive Defense」では、従業員一人ひとりに対する標的型攻撃メールの訓練などを通して、フィッシング詐欺にかからない立ち回りを指導できます。インシデントの際には被害拡大を食い止めるために、事後調査も可能ですので、ぜひこの機会に「Proactive Defense」の導入をご検討ください。
