技術の発展とインターネットの広い普及は、情報へのアクセスの増加や相互のつながりの緊密化といった多くの好影響をもたらしました。しかし、このことによってユーザーがさまざまなサイバーセキュリティリスクにさらされることにもなりました。このようなリスクの1つとして、個人情報や金銭を盗んだり他人のアカウントやプロフィールを不正に乗っ取ることを最終目的としたサイバー攻撃が挙げられます。こうしたフィッシングと呼ばれるサイバー犯罪は現在広く蔓延しており、2022年1月から10月までに2億5500万件以上の攻撃(前年比61%増)が行われました。
このような攻撃は発生頻度がますます高まっており、個人および企業に大きな損害を与えるため、こうした攻撃がどのようなものなのか、どのように行われるのか、フィッシング攻撃を受けた後に何をすべきなのか、フィッシング攻撃を防ぐにはどうすればよいのかを一人ひとりがよく知っておくことが極めて重要です。
フィッシングの被害を避けるために、まず、こうした攻撃がどのようなものなのかを把握しておくことが重要です。簡潔に言えば、詐欺の一種です。メール、テキストメッセージ、または電話によって行われることが多く、悪意のある攻撃者が標的に対してログイン情報、認証情報、またはその他の個人データを開示するよう仕向けて、その開示されたデータを悪用する行為です。
米国国立標準技術研究所は、フィッシングを「ユーザーを騙して、情報を開示させたり、ユーザーのアカウント、コンピューター、あるいはネットワークに犯罪者をアクセス可能にする行為を促したりする、犯罪者による試み」と定義しています。
詐欺で情報が漏えいすると、サイバー犯罪者は通常、そのフィッシングの被害者の詳細情報を使用して、金品を奪い取ったり、引き続き他の犯罪を行ったりします。こうした行為は、一般的に、盗まれたログイン情報を使用して、銀行口座、クレジットカード、メールの受信トレイ、ホームネットワーク、ソーシャルメディアのプロファイル、さらには国税庁やマイナンバーのアカウントにアクセスすることで行われます。盗まれた認証情報に、複数のアカウントで使用しているパスワードが含まれている場合、フィッシング詐欺師が広範囲にわたって被害者のアカウントにアクセスできるため、より大きい損害が発生する可能性があります。
多くのフィッシング詐欺師は、信頼できる企業や人物になりすますことで、その詐欺が正当なものであるかのように装います。たとえば、多くの人がアカウントを持つであろう大企業を装って、フィッシングの標的にメールを送信します。実際に、Yahoo、DHL、Microsoft、Google、Facebook、Adobe、Netflixは、なりすましに利用されることが特に多い企業です。フィッシングメッセージで友人や知人になりすますこともあります。多くの場合、メッセージには、受信者を偽のWebサイトに誘導するリンクが含まれています。そこで標的に対して、ログイン情報やクレジットカード情報などの機密情報、または生年月日やマイナンバーなどの個人データを入力するよう促します。
サイバー犯罪者が個人情報を盗んで、金銭を奪い取ったり、被害者になりすましたりする方法は、多岐にわたります。そのような方法の多くで、実在する企業の正式な代表者にハッカーがなりすまして、フィッシングの標的に個人情報を開示するよう仕向けて、その情報を使用して金品を奪い取ったり身分を詐称したりするという行為が行われます。このようなサイバー攻撃がどのようなものであるかを理解しておくと、フィッシング攻撃を防ぐ上で役立ちます。ハッカーがフィッシング攻撃を行う際に使用する、特に一般的な方法をいくつか紹介します。
銀行、電子商取引サイト、ソーシャルメディアのプラットフォームなどの正規の企業が、このような方法でアカウント所有者から機密情報を要求することはありません。このことを一人ひとりが覚えておくことが重要です。疑わしい場合は、どのような状況でも、詐欺の可能性のあるものは無視して正式なルートを通じて正規の企業に問い合わせることが最良の方法です。
メール、テキストメッセージ、電話など、詐欺師が個人の機密情報を盗む方法は無数に存在します。機密情報が盗まれたら、詐欺師がその情報を使用することで、フィッシングの被害者に深刻な損害が生じる可能性があります。そのため、フィッシング詐欺師が攻撃を実行するために用いる一般的な戦術を把握しておくことが、フィッシング攻撃を防ぐ第一歩となります。たとえば、次のことを通知するメール、テキスト、または電話は、詐欺である可能性があります。
また、詐欺のメッセージや電話には、次のようなフィッシングの兆候が見られることがあります。
フィッシングの被害者は、自分の詳細情報が流出してしまったら、どうすればいいのかと不安に思うでしょう。講じることができる措置は数多くあります。攻撃による損害を抑えたり、他の人が同じ詐欺のフィッシングの被害に遭わないようにしたり、今後の攻撃の対策をしたりすることができます。ここからは、いくつかのことについて考えてみましょう。
フィッシング攻撃を受けたら、被害者は攻撃がどのように行われたかを理解する必要があります。そのために、少々調査を行う必要があるかもしれません。たとえば、フィッシングのメールやテキストをよく調べて攻撃の目的を探ったり、ファイアウォールのログを調べて不審なURLやIPアドレスがないか確認したり、流出した可能性がある情報を正確に特定したりする必要があります。盗まれた情報に関連付けられている可能性があるアカウントをチェックし、不審なアクティビティがないかを確認するのもよいでしょう。
フィッシングの被害者が、攻撃を受けた直後に何をするべきか悩んでいる場合は、公的機関に報告することも有効な選択肢の1つです。これは、単純なことでも簡単なことでもないかもしれません。しかし、さまざまな理由から、攻撃を報告することはとても重要です。たとえば、攻撃に利用された正規の組織に、詐欺師が実際の代表者を装っていると周知することができます。さらに重要なこととして、報告すると、詐欺師がなりすまし犯罪を試みたときに被害者を保護でき、攻撃によって情報が流出したアカウントを取り戻すことにつながります。また、報告によって不審な金銭の取引をブロックすることもできます。米国では、フィッシングはAPWG(Anti-Phishing Working Group)と連邦取引委員会に報告することができます。ヨーロッパでは、これを担当する組織は欧州不正対策局です。こうした報告はすべて、フィッシング攻撃を防止するための今後の取り組みに役立ちます。
フィッシング詐欺師は、企業の代表者を装ったり、企業を装ってメッセージを送信したりするので、知らないうちに正規の企業がフィッシング攻撃に巻き込まれていることがよくあります。このような場合は、フィッシング攻撃を受けた後に当該企業に連絡して、この出来事について知らせることをおすすめします。こうすることで、今後のフィッシング攻撃を防止するための措置として、詐欺師がその企業の名前を名乗って企業の顧客に接触しようとしていることを、その顧客に注意喚起することができます。
マルウェアを利用してフィッシング攻撃が実行される場合もあります。この理由により、フィッシングの被害者は、被害を受けたデバイスをインターネットから切断する必要があります。そのために、デバイスのWi-Fi接続を無効にするか、Wi-Fiネットワークを完全に切断してリセットする必要があります。ネットワークを介してマルウェアがそれ以上送信されないようにする必要があるため、この措置を行うことが重要です。
フィッシング詐欺では、被害者に対して機密情報を開示するよう仕向けることが多くあります。ユーザーを偽装Webサイトに誘導するリンクを使用して、パスワードなどのログイン情報を入力させようとする手法が一般的です。このようなフィッシングリンクをクリックしてしまったら、攻撃で流出した可能性があるすべてのパスワードを変更することをおすすめします。パスワードの変更は、フィッシングリンクからではなく、実際のWebサイトから行うようにしてください。流出した可能性があるパスワードが他のアカウントでも使用されている場合は、それらも忘れずに変更してください。
アンチウイルス製品は、デバイスのセキュリティとプライバシーを確保する上で極めて重要ですが、フィッシング攻撃の防止に関しても重要です。アンチウイルス製品がインストールされると、デバイスが自動的にスキャンされて、潜在的なマルウェアがすべて検出されます。ただし、ユーザー自身で、アンチウイルス製品が常に最新の状態になるようにして(単純に自動アップデートを設定します)、定期的に手動スキャンを実行して、ネットワーク上のすべてのデバイス、ファイル、アプリケーション、サーバーにマルウェアがないかをチェックする必要があります。
一部のフィッシング攻撃は、フィッシング詐欺師が不適切な目的で被害者になりすますために、標的に関する十分な個人情報を盗み出すことを目的としています。たとえば、標的からマイナンバー、電話番号、生年月日を盗み出すことで、攻撃者はSIMスワップ攻撃を実行したり、新しいクレジットカードを発行したり、引き続き他の種類の詐欺を行ったりすることができます。そのため、フィッシングの被害者は、予期しない金銭の取引や医療費の請求、申請していない新しいクレジットカード、オンラインアカウントへの不審なログイン試行など、なりすまし犯罪の兆候に注意する必要があります。金銭的な被害が発生した場合は、なりすまし犯罪が被害者の信用度スコアに影響しないように、米国の主要な信用調査機関であるTransUnion、Equifax、Experianに攻撃を報告する必要があります。
このような攻撃の蔓延の度合いに関係なく、フィッシングの被害を避けるために講じることができる対策は数多くあります。以下の8つのヒントを電子機器の一般的なセキュリティ対策に組み込むことで、フィッシング詐欺を回避することができます。
サイバー犯罪者がますます巧妙になっている現状では、残念ながら、フィッシングの被害は日常的に発生しています。このようなサイバー犯罪がどのようなものであるかを把握し、フィッシング攻撃を防ぐために講じるべき対策を理解することが重要です。ただし、フィッシング攻撃を受けた後に何をするべきかを、一人ひとりが知っておくことも同様に重要です。デバイスとアカウントを保護すること、フィッシング攻撃を報告すること、最初に攻撃がどのように行われたかを把握すること。これらの重要な措置を講じることで、その後の損害を抑えることができます。
Kaspersky Endpoint Securityは、2021年に企業のエンドポイントセキュリティ製品の最高のパフォーマンス、保護、および使いやすさで3つのAV-TEST賞を受賞しました。すべてのテストで、Kaspersky Endpoint Securityは企業にとって優れたパフォーマンス、保護、および使いやすさを示しました。
関連記事やリンク:
関連製品とサービス:
Kaspersky Endpoint Security Cloud
カスペルスキー プレミアム