お役立ち資料
Introduction
近年、サイバー攻撃の被害件数が増えつづけており、とくにフィッシング詐欺の被害が増加しています。企業が狙われるケースも多いため、企業を守るために、サイバー攻撃に対する対策を強化していくことが重要です。
この記事では、フィッシング詐欺とは何か、詐欺被害による影響や対処方法、詐欺被害にあわないための対策について解説します。
目次
フィッシング詐欺とは
フィッシング詐欺とは、メールなどで偽サイトに誘導し、個人情報や決済情報などを盗みとる詐欺のことです。企業内にも、フィッシング詐欺メールやSMSなどが届くケースも多く、企業として対策を講じる必要があります。
ここでは、フィッシング詐欺とは何か、具体的な手口や見わけ方などについて解説します。
送信者を詐称したメールなどで偽のページにアクセスさせ、情報を盗み出す行為
フィッシング詐欺とは、悪意ある攻撃者が、クレジットカード情報や銀行口座情報などをだましとる犯罪です。
総務省の『国民のためのサイバーセキュリティサイト』によると、フィッシング詐欺は以下のように定義されています。
フィッシング詐欺
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な情報を盗み出す行為
フィッシング詐欺によって決済情報などを盗み出す仕組みは、以下のとおりです。
銀行やカード会社、Amazonなど、ECサイトを騙った電子メールやSMSなどを無作為に送りつけ、偽サイトのURLに誘導します。「アカウントに問題が発生しています」「あなた宛ての荷物が届いています」などの本物そっくりのメールが届き、ついURLをクリックしてしまうようになっています。そして誘導された偽サイトで、インターネットバンキングやAmazonなどのID、パスワード、クレジットカード番号を入力することにより、情報が盗まれてしまうのです。
フィッシング詐欺の被害は年々増加している
フィッシング詐欺による被害は、年々増加の一途をたどっています。
警視庁の『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』によると、令和5年上半期におけるフィッシングの報告件数は、前年同期比で17.9%増加しました。その多くが、クレジットカード事業者などを装っていたとのことです。
クレジットカードの不正利用被害額も増加しています。令和4年のクレジットカード不正利用被害額は436.7億円であり、平成9年以降、過去最悪でした。令和5年上半期のインターネットバンキングの不正送金による被害発生件数は、2,322件と過去最多です。被害総額は約29億9,600万円で、過去最多に迫る状況です。
このようにデータを見ても、フィッシング詐欺の被害は年々増加していることがわかります。そのため、企業はフィッシング詐欺対策を十分に行う必要があるでしょう。
フィッシング詐欺の手口・見わけ方
フィッシング詐欺にはさまざまな手口があるため、その手口を知り、正しい見わけ方を理解することが重要です。企業で社員宛てに届くメールなどから、フィッシング詐欺の被害にあうケースも多く、企業として対策を講じる必要があります。
ここでは、フィッシング詐欺の手口と見わけ方についてご説明します。
電子メール
銀行、クレジットカード会社、ECサイトなどのお知らせとして偽の電子メールを送りつけ、偽サイトのURLをクリックさせようとします。偽サイトにクレジットカード情報やID・パスワードを入力させ、情報を盗む手口です。
フィッシング詐欺の電子メールを見わける方法には、以下のようなものがあります。
・日本語に変なところがないか確認する
・送信元のドメイン(メールアドレスの@以降)を確認する
・公式サイトで注意喚起されていないか確認する
・公式サイトに問い合わせる
一見して文面がおかしいことがわかるケースもありますが、本物のロゴや文面を流用するなど、本物そっくりのものもあるので注意が必要です。
SMS
偽のSMSを送りつけて、偽サイトに誘導するケースもあります。「あなたに荷物が届きました」などのSMSを送り、URLをクリックさせて偽サイトに誘導し、個人情報や決済情報を盗む手口です。
このような大手企業などになりすましたSMSを見わける方法には、以下のようなものがあります。
・日本語に変なところがないか確認する
・公式サイトで注意喚起されていないか確認する
フィッシングサイト
フィッシングサイトとは、大手ECサイトやインターネットバンキングなどを装った偽サイトのことです。本物のサイトと勘違いして、フィッシングサイトにID・パスワード、クレジットカード情報などを入力すると、盗まれてしまいます。ネットを検索すると、検索結果に表示されることもあるので、注意が必要です。本物そっくりの見た目になっているため、気づかずに重要情報を入力してしまうこともあります。
フィッシングサイトを見わける方法は、以下のとおりです。
・URLが本物かを確認する
・運営者の情報が正しいかを確認する
また、正規のサイトをブックマークしておき、そこからサイトを利用すれば、フィッシングサイトにアクセスしてしまうリスクを下げられます。
ウイルス感染を装ったメッセージ
スマホやパソコンの画面に「ウイルス感染しました」というポップアップ画面を出すなどの手口で、個人情報を盗む手口もあります。「すぐに対処しないとデータが失われる」などと不安をあおり、正常な判断ができなくなることも多いです。
このような手口を見わける方法は、以下のとおりです。
・落ち着いて情報を確認する
・メッセージ内容をネットで検索して、ほかに被害にあっている人がいないか確認する
企業がフィッシング詐欺にあった場合の影響
企業内でも、社員宛てに届いたメールなどから、フィッシング詐欺被害にあう可能性が高いです。企業がフィッシング詐欺にあうことで、さまざまな悪影響が考えられます。
ここでは、企業がフィッシング詐欺にあった場合の影響について、具体的にご説明します。
社会的信用を失う
企業がフィッシング詐欺にあうことで、企業内のセキュリティ対策が不十分だったのではないかというイメージがついてしまいます。とくに、顧客の個人情報を扱っている場合や、ECサイトなどを運営している場合には、企業の信用問題にかかわります。そのようなイメージが一度ついてしまうと、社会的信用をとり戻すのは非常に困難です。
ブランドイメージが損なわれる
企業のブランドイメージが損なわれることも考えられます。いままで築いてきたブランドイメージが「一度フィッシング詐欺の被害にあった企業」「セキュリティ対策が不十分な企業」などのイメージに一瞬で塗り替えられてしまいます。一度ついてしまった悪いイメージを振り払うためには、時間がかかるかもしれません。
顧客対応に追われる
フィッシング詐欺の被害にあった企業を利用していた顧客としては、自分の個人情報が流出していないかなどと不安になるのも、当然のことです。そのため、被害にあったことが発覚すると、電話による問い合わせなどの顧客対応に追われるでしょう。
売上が大きく減少する
フィッシング詐欺被害にあったという評判が広まり、企業イメージが大きくダウンすると、売上が減少する可能性もあります。発表の仕方や顧客対応などを誤り、SNS上で炎上するケースも見られます。その結果、企業にとって大きな損失となるでしょう。
フィッシング詐欺にあってしまった場合の対処法
万が一フィッシング詐欺に引っかかってしまった場合は、どのように対処すべきなのでしょうか。実際に被害にあってしまった場合の対処法を知っておくことで、万が一のときにも対処できるようにする必要があります。
社内のセキュリティ対策マニュアルなどを整備し、対処法をまとめておくとよいでしょう。
URLをクリックして、偽のページを開いてしまった
メールなどに添付されたURLをクリックして、偽のページを開いてしまったとしても、すぐに情報を盗まれるわけではありません。それ以上操作しないようにしましょう。
なお、ワンクリックで契約をすることは、電子消費者契約法と特定商取引法によって無効と定められています。そのため「契約完了しました」などのメッセージが出ても、それだけで契約が成立することはありません。
電話番号などの個人情報を入力してしまった
もし、URLをクリックして偽サイトを開き、そこで電話番号やID・パスワードなどを入力してしまったら、早急な対応が必要です。正規のサイトですぐに、ID・パスワードを変更しましょう。クレジットカード情報を入力してしまった場合には、カード会社に連絡して、カードを停止してもらうなどの対処が必要です。
フィッシング詐欺にあわないための対策
フィッシング詐欺にあわないために、企業としてどのような対策を行うべきなのでしょうか。社内システムやネットワークなどのセキュリティ対策、社員教育などを徹底し、日ごろから対策を講じておく必要があります。
ここでは、フィッシング詐欺にあわないために、企業が日ごろから対策しておくべきことについて解説します。
URLや添付ファイルをむやみに開かない
会社に届くメールやメッセージのなかに、フィッシング詐欺メールが含まれていることもあります。それを普段から意識して、怪しいメールやSMSに添付されたURLやファイルを、むやみに開かないようにしましょう。
セキュリティ研修などで、実際のフィッシング詐欺メールを社員に紹介するなど、普段から社員教育を行っておくと効果的です。
メールの送信元を確認する
メールの送信元アドレスを確認し、アドレス帳に登録されていない場合は、フィッシング詐欺メールであることを疑いましょう。送信者に直接確認をとって、問題ないことを確かめる方法もあります。
送信ドメイン認証を導入する
送信ドメイン認証とは、メールが正規の送信元から送られてきたことを検証できる、認証技術のことです。認証方式には、SPF、DKIM、DMARCの3種類があります。この認証技術を活用すれば、なりすましメールかを検証できます。
メールソフトで表示される送信元の名称は、本物と限らず、正規ドメインのメールアドレスを騙って送信することも可能です。そのため、メールアドレスを確認しても、そのメールが詐欺メールではないと断定することは困難です。目視でメールアドレスを確認するだけではなく、送信ドメイン認証によるチェックを導入することをおすすめします。
セキュリティソフトを導入する
セキュリティソフトには、偽サイトへのアクセスを遮断したり、マルウェア感染を防いだりする機能が搭載されています。また、スパムメールやフィッシングメールの検知や除外などもしてくれるので、フィッシング詐欺対策として効果が高いです。
セキュリティソフトの導入が不十分な場合には、全社的に導入を進め、定期的に最新の状態に更新する体制を整えましょう。
従業員のITリテラシーを向上させる
従業員がフィッシング詐欺とはどのようなものか、被害にあうと会社的にどのような損害を受けるのかを理解しておく必要があります。普段から、フィッシング詐欺の事例や詐欺メールの見わけ方などについて、講習会やeラーニングなどで社員教育を行いましょう。
セキュリティソフトの導入など、ハード面の対策だけでなく、社員教育などのソフト面の対策も重要です。
まとめ
この記事では、フィッシング詐欺とは何か、詐欺被害による影響や対処方法、詐欺被害にあわないための対策について解説しました。
フィッシング詐欺による被害は年々増加しており、企業としてセキュリティ対策を強化していく必要があります。企業を守るために、日ごろからハード、ソフトの両面から対策を進めていきましょう。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
-
- セキュリティ
暗号化とは?仕組みやアルゴリズムの種類、メリット・デメリットを解説
2024.03.25
詳しく見る
