急増するフィッシング詐欺

フィッシング詐欺は、実在する金融機関やサービスなどに見せかけてIDやパスワードなどの機密情報を盗み出そうとする詐欺で、似たような詐欺は古くからありました。それがインターネットの普及により、メールやWebサイトを利用するようになったことから、「洗練された手口（sophisticated）」と、「釣る（fishing）」を掛け合わせて「フィッシング詐欺（phishing）」と呼ばれるようになりました。現在ではさらに手法が洗練されてきており、企業の経営層や取引先になりすまし、送金指示のメールを送る「BEC：Business Email Compromise（ビジネスメール詐欺）」が急増しています。

フィッシング詐欺は、実在するWebサイトにそっくりの偽サイトを用意し、メールを使ってユーザーを誘導、IDとパスワードなどを入力させて、その情報を盗み取るという手法です。この攻撃には人間心理の隙を突くソーシャルエンジニアリングの手法が用いられており、たとえば銀行やカード会社を装って「不正なログインを検知したのでアカウントを停止した」「新たなセキュリティ対策を導入した」などという内容のメールを送り、偽サイトへのリンクをクリックさせようとします。ほかには、オンラインゲームからのお知らせや宅配便の不在通知、ショッピングサイトからの購入確認などになりすますケースも見受けられます。こうしたメールのほとんどは受け手側を焦らせる内容となっており、多くの人が騙されてしまうのです。

ここにきてフィッシング詐欺は急増しており、さまざまな種類の偽サイトが見られるようになりました。以前は海外からの攻撃が多いせいか、おかしな日本語を使ったものが多かったのですが、最近では違和感のない文章を駆使するようになっており、受け手が引っかかる可能性も高まっています。

フィッシング詐欺によって盗み取られたログイン情報は、アンダーグラウンドの市場で売買され、不正アクセスや他のサービスへのログイン試行に悪用されるのです。また、この種の市場ではサイバー攻撃者向けにフィッシング詐欺に使うツールやクラウドサービスが提供されており、誰でも簡単にフィッシング詐欺が行えるようになっていることも、増加の背景にあると思われます。

フィッシングメールと迷惑メールの違い

フィッシングメールと迷惑メールはどちらも不審なメッセージとして扱われがちですが、その目的には明確な違いがあります。それぞれの特徴を正しく理解することで、より適切な対応を取り、被害に遭うリスクを減らすことができます。

個人情報の窃取を目的とするフィッシング

フィッシング詐欺は、明確に個人情報の窃取を目的としているのが最大の特徴です。

実在する企業を巧妙に装い、クレジットカード情報やログインIDなどを盗み出して不正利用や送金を行うことが狙いです。受信者の不安を煽る内容や至急の対応を求める文章で偽サイトへ誘導するため、そのまま被害に直結する高いリスクを含んでいます。メッセージの真偽を慎重に見極め、不審なリンクにはアクセスしないといった徹底した対策が求められます。

広告宣伝を目的とする迷惑メール

一方で迷惑メールの多くは、広告や宣伝を目的として不特定多数のユーザーに対して無差別に送信されます。

出会い系サイトへの誘導や商品の販売などが主な内容であり、個人情報の入力そのものを直接の目的としていないケースが一般的です。ただし、近年では迷惑メールの中にフィッシング詐欺のリンクを忍ばせるなど、両方の特徴を組み合わせた悪質な手口も存在します。どのようなメッセージであっても安易にURLをクリックせず、送信元を疑う習慣をつけることが重要です。

メールだけではない多様なフィッシング詐欺の手口

フィッシング詐欺の手口はメールだけに留まらず、スマートフォンやSNSの普及に伴い多様化しています。

さまざまな経路から個人情報を狙う巧妙な手口が存在するため、代表的な手口の仕組みや特徴について詳しく知っておくことが被害を防ぐための重要な第一歩となります。

SMSを通じた不正サイトへの誘導

フィッシング詐欺の脅威は、従来のメール経由だけでなく、スマートフォンの普及に伴い、SMS（ショートメッセージサービス）を悪用した「スミッシング」へと拡大しています。企業の現場で働く営業担当者やバックオフィススタッフにとって、業務用のスマートフォンに届くメッセージは、迅速な対応が求められる性質上、つい油断を招きやすい攻撃ルートとなっています。

具体的な手口としては、ビジネスシーンで頻繁に利用されるサービスの通知を装うケースが目立ちます。例えば「クラウドストレージの共有設定が変更されました。詳細はこちら」といった文面や、経理担当者を狙った「未払いの請求書に関する重要なお知らせ」などのメッセージに、不正なサイトへ誘導するリンクが含まれているケースがあります。また、Microsoft 365などのビジネス用アカウントのセキュリティ警告を装い、IDやパスワードを即座に入力させようとする手口も巧妙化しており、一瞬の判断ミスが企業アカウントの乗っ取りや機密情報の流出を招くリスクを孕んでいます。

企業側としては、従業員に対し「SMSで届いたURLは安易にクリックしない」という基本的なルールの徹底に加え、社内での注意喚起やインシデント事例の共有が不可欠です。現場の担当者から決裁権を持つ役員まで、あらゆる層がこの脅威を自覚し、組織全体で不審な誘導を排除するリテラシーを醸成することが、現代のサイバー対策において極めて重要な要素となっています。

ウイルス感染を装う偽の警告画面

インターネット閲覧中に突然「ウイルスに感染しました」といった偽の警告画面を表示させ、激しいアラート音で不安を煽る手口もあります。このような画面には偽のサポート窓口の電話番号が記載されており、焦って電話をかけるとカタコトの日本語で対応されることがあります。遠隔操作ソフトの導入を促されたり、ウイルス除去費用と称してクレジットカード情報の入力を求められたりするケースも少なくありません。

画面が表示されても慌てずにブラウザーを閉じる冷静な判断が求められます。

フィッシング詐欺の被害に遭った場合の対処法

企業の現場で働く従業員がフィッシングサイトに情報を入力してしまった場合、組織としての被害を最小限に抑えるには、初動の速さがすべてを左右します。個人の判断で対応することは、社内ネットワーク全体への侵害を招く恐れがあるため、迅速かつ組織的な対応が不可欠です。

ログインパスワードの迅速な変更

クラウドサービスや社内システムのログイン情報を偽サイトに入力してしまった場合、攻撃者は入手したIDとパスワードを使い、即座に社内ネットワークへの侵入や、取引先を標的としたBEC（ビジネスメール詐欺）を仕掛ける可能性があるため、一刻を争う対応が求められます。

まずは、該当するサービスのオフィシャルサイトへ正規のルートからアクセスし、パスワードを直ちに更新してください。この際、他の業務ツールで使い回している文字列の使用は厳禁です。英数字や記号を組み合わせた推測困難なものを設定し、組織のセキュリティポリシーに従った強度を確保する必要があります。また、管理者アカウントや決裁権限を持つ役員のアカウントが標的になった場合は、被害が全社に及ぶリスクがあるため、情報システム部門と連携して全セッションの強制終了を実施することが推奨されます。

さらに、再発防止策として多要素認証（MFA）を有効化することも重要です。たとえパスワードが漏えいしても、スマートフォンへの通知や生体認証による二重のチェックがあれば、第三者による不正ログインを食い止めることができます。

クレジットカードや銀行の利用停止手続き

法人用クレジットカードやビジネス用銀行口座の情報を偽サイトに入力してしまった場合は、直ちにカード会社や金融機関の緊急窓口へ電話で連絡しなければなりません。

カード会社に対しては、カード番号が無効化されるよう利用停止手続きを依頼します。これにより、攻撃者による不正な備品購入や広告費の決済といった二次被害を未然に防ぎます。銀行口座の場合も同様に、振込機能の一時停止を申し出ることが鉄則です。多くの金融機関では、被害の発覚から一定期間内であれば、不正送金に対して補償を検討する規約を設けていますが、連絡が遅れるとこれらが適用されないリスクが高まります。

また、被害に遭ったことが判明した時点で、経理部門やバックオフィスの責任者へ速やかに共有し、組織として公式な被害報告を行う準備を整えます。個人の判断で対処を遅らせると、会社全体のキャッシュフローに影響を及ぼすだけでなく、対外的な信用失墜にもつながりかねません。

警察や専門の相談窓口への報告

組織としてフィッシング詐欺の被害が疑われる場合、あるいは実害が生じた場合には、速やかに公的機関や専門の相談窓口へ報告を行うことが不可欠です。企業の担当者がまず検討すべきは、各都道府県警察に設置されている「サイバー犯罪相談窓口」への連絡です。ここでは、不正アクセスやBEC（ビジネスメール詐欺）などの具体的な被害状況に応じた捜査の相談や、二次被害を食い止めるための専門的なアドバイスを受けることができます。

特に金銭的な実害が発生しているケースでは、被害届の提出を視野に入れた迅速な報告が、組織のコンプライアンス維持や証拠保全の観点からも極めて重要となります。また、独立行政法人情報処理推進機構（IPA）が設置している相談窓口では、技術的な視点から攻撃手法の分析や対策の助言を得ることが可能です。こうした外部機関への報告は、自社の被害回復だけでなく、同様の手口による他社への被害拡大を防ぐ社会的な役割も果たします。

社内に専任のセキュリティ担当者がいない中小企業においては、NTTドコモビジネスの「セキュリティ対策パック」のように、プロの視点でいつでも相談できる専用窓口をあらかじめ確保しておくことが推奨されます。有事の際に何をすべきか、どこに連絡すべきかを即座に判断できる体制を整えることは、経営層から現場の従業員まで、組織全体の安心感を高める基盤となります。

URLフィルタリングで
偽サイトへのアクセスをブロック

これまで紹介したフィッシング詐欺への対策としては、第一にメールの送信元や返信先の確認が考えられます。これらの表示は送信者が自由に変更できますが、メールのヘッダー情報を参照することで本来の設定を調べられます。しかしサイバー攻撃者もそのあたりは承知しており、正式なサービスとまぎらわしいドメイン名を使用します。例えば、画面の文字サイズが小さいと小文字の「l」（エル）と大文字の「I」（アイ）、数字の「1」の見分けは困難でしょう。こうした文字を使って正規ドメインにそっくりの偽ドメインを仕立てるわけです。

別の対策としては、メールに送信者ドメイン認証（DKIM、SPF、DMARC）を導入して、不正なメールサーバによるドメイン詐称メールを検知するというものです。ただし、受信者だけでなく送信者もドメイン認証のしくみを導入する必要があるため、前述の偽ドメインへの対応は難しいとされています。

システムによる対策としては、リンクをクリックしたときにそのWebサイトの安全性をチェックするURLフィルタリングが効果的でしょう。URLフィルタリングは、Webサイトの情報を収集し、ジャンル別に分類したり、安全なもの／危険なものなどのようにリスト化したりします。

また、過去に改ざんされたことがあったり、マルウェア配布サイトとして使用されたりしたWebサイトのURLの情報も、IPアドレスまで含めて収集しており、これらのサイトへのアクセスを制限することもできます。これらの機能により、例えユーザーがフィッシング詐欺のリンクをクリックしてしまったとしても、すでに偽Webサイトということが明らかになっていれば、アクセスをブロックしてくれます。NTTドコモビジネスの「WideAngleマネージドセキュリティサービス」では、コンテンツセキュリティ機能の1つとして前述したようなURLフィルタリングを提供しています。

フィッシング詐欺を見抜く力を育てる

フィッシング詐欺メールは、冷静にメール内容を確認すれば騙される確率はぐっと低くなります。なぜなら、その多くは「ばらまき型」といって、不特定多数に送信されるものだからです。正式なメールであれば、文面の冒頭などにユーザー名や会員番号などが表示されている場合が多いのですが、フィッシング詐欺のものにはそれがないことがほとんどでしょう。また、本来メールの末尾にあるべき送信元の署名がないこともしばしばです。文面も、日本語のおかしなところがないように見えても、顧客に送る文章では使わない表現や言い回しが見つかるかもしれません。

しかしフィッシング詐欺のメールは、アカウント停止や不正ログインなどのような件名や文面に「至急」などの文言を加えることで、受け手の冷静さを失わせようとします。よってフィッシング詐欺へ対抗するためには、システムだけでなく、人の面での対策、すなわちセキュリティ教育も重要となるのです。教育により各ユーザーのリテラシーを向上させることで、フィッシング詐欺に引っかかる確率を下げることができるでしょう。

例えば、NTTドコモビジネスが提供する「WideAngleプロフェッショナルサービス」では、コンサルティングサービスも提供されており、教育も含まれています。教育には、フィッシング対策のしくみや手法といった基本的なものから、BECやスピアフィッシングといった最新の攻撃手法まで対応するほか、実際に疑似メールを送信し、メールを開いたり本文にあるリンクをクリックしたりした人が何人いたかなどを調査。該当する人に再教育を行うなど、基本から実践まで多彩な教育メニューが用意されています。

また、教育の実施方法についても、全社一括、部署単位、個人などで実施するもの、外部から講師を招くもの、講習用のスライド資料を使用するもの、インターネットの教育コンテンツを受講するものなど、さまざまな実施スタイルから選ぶことができます。

このように、フィッシングメールやBECといったソーシャルエンジニアリングの手法を活用した攻撃については、システムと教育の両面から対策を行うことが重要です。会社と従業員を守るためにも、各種サービスの活用を検討してみてはいかがでしょうか。