フィッシングメール被害が増加中
実在の企業を装ったメールを送り付けることで攻撃を仕掛けるフィッシング。近年その手口は多様化し、被害も拡大しています。
フィッシング対策協議会がまとめた「フィッシングレポート2018」によると、フィッシング情報の届け出件数は2013年下半期から急激に増加し、それ以降も高い水準で推移しています。またフィッシングサイトのURL件数に関しても2013年下半期から増え始め、2017年は前年比1.7倍となり、過去最高の件数を記録しています。
こうした傾向に合わせて、その手口もますます巧妙化しています。以前は実在の企業名や団体名を模した名義でメールが送られてくる方法が主流でしたが、数年前から本物と同じ名義を名乗るタイプが主流になり、よりだまされやすい内容になっています。
また、誘導先のフィッシングサイトにも巧妙な仕掛けが施されるようになっています。従来はhttpで始まるサイトがほとんどでしたが、近年はhttpsから始まるURLが増加。httpsで始まるURLならば信頼できるという認識のままでは、フィッシングのリスクを回避することが難しい状況になっているといえるでしょう。
本物を見分けることはとても困難
フィッシングは偽のメールを送り付けることで攻撃を開始しますが、被害を避けるにはこの偽メールを見極めることが重要になります。しかしながら、このメールの作り方についても巧妙化が進んでいます。ここで最近増えている「楽天カード株式会社」を名乗るフィッシングの手口を紹介します。
以前より、「楽天カード株式会社」をそのまま名乗るフィッシングメールが横行していましたが、テキスト形式で作られており、宛先がCCに複数入っているなどの特徴から、比較的容易に偽メールであることを見分けるeことができました。
しかし、2018年に入ってから、楽天カードが配信している本物の「カード利用のお知らせ」メールとそっくりのHTMLメールで偽メールが送られる事案が多発。CCのない単独宛先に送られ、送信元のメールアドレスも本物のアドレスが使われています。レイアウトも本物を巧妙に模しており、「不正なログイン画面にご注意ください」といった注意喚起まで行っているのです。
この偽メールのリンクをクリックすると、ウイルスのダウンロードが始まります。そしてPCがこのウイルスに感染すると、ログインを促す画面が表れ、ID、パスワードのみならず、本物のログイン画面では決して聞かれることがない、カード番号、セキュリティコード、有効期限の入力欄が用意されています。
楽天カードでは、こうしたフィッシングによる被害を減らすために、Webサイトなどから注意喚起を行っており、複数の宛先が入ったメールは開かない、不審な添付ファイルは開かない、身に覚えのない内容の場合はリンクをクリックしない、クリックしてファイルのダウンロードが始まった場合はそれを開かないなどの対策を呼び掛けています。
楽天カードの利用者がこうした偽メールに遭遇すると、最初は「いつものお知らせがきた」と軽く受け止めるケースが多いことでしょう。その際、カードの利用内容をしっかりとチェックすれば、偽メールだと判別することができます。カードを利用した場合はその内容を控え、お知らせメールの内容と照らし合わせる習慣を付けることが大切です。
ビジネスメール型フィッシング(BEC)による大きな被害
フィッシングメールはクレジットカードや銀行を装ったものだけではありません。ビジネスメールを装って請求書を送付する、送金を指示するといったものも現れ、被害が深刻化しています。
ビジネスメール型のフィッシングメールは、明らかに偽と分かる稚拙なものから、実在の取引先からの請求や送金指示を行う非常に巧妙なものまでが存在します。実際、国内の大手航空会社が取引先を装ったメールの指示に従い、数億円をだまし取られたというニュースは記憶に新しいと思います。
このビジネスメール型のフィッシングでは、犯人は事前に何らか手段で実際のビジネスメールを取得し、それを参照して実在の担当者を名乗り、メールの文体も本物そっくりに整えてきます。非常に巧妙に仕掛けられており、この偽メールを見破るためには、より細心の注意を払う必要があります。
対策には社員の意識改革が大切
企業がこうしたフィッシングから身を守るためにはどのような対策が有効になるのでしょうか。
第一には個々の社員がフィッシングに関する認識を深め、日々の業務の中で十分に注意を払うことが大切になるでしょう。その際、以下のようなポイントを押さえる必要があります。
すべてのメールがフィッシングの可能性を疑い、怪しいと感じたものは開封しないように気を付ける必要があります。担当者名が入ったビジネスメールであっても、いつもと異なる手順が指示されているなど、内容に不審な点を感じたら本物かどうかについて相手に確認することが大切です。
メールから誘導されるWebサイトへのリンクをクリックする場合は、特に最新の注意を払い、間違いなく信頼できるもののみをクリックするという姿勢が重要です。また信頼できる場合でも、必要がなければクリックを避けるに越したことはありません。
明らかにフィッシングと判断できるメールはもちろん、少しでも怪しいと感じたもの、あるいはダイレクトメールなど業務上必要がないものも削除する習慣が大切になります。
万一、怪しい操作を行ってしまったと感じた際はすぐに報告し、被害を最小限に抑える対策を講じる必要があります。
これらのポイントを踏まえ、全社員の意識改革を徹底し、組織的に対策を施すことが重要になります。その際、フィッシング対策のトレーニングを提供している企業があるので、そうしたサービスを活用することも有効になるでしょう。
リスク回避にはシステムによる対策が効果的
人的対策は非常に大切で、フィッシング対策の基本です。しかし、人に頼っていると「つい、うっかり」というミスも発生しがちです。また企業の人材は流動的であり、常に全社員に対策を徹底し続けることは困難が伴うでしょう。
そこで注目されるのが、システム面からの対策です。具体的には個々のPCでメールを受信する前に専用のソフトウェアでフィッシングメールを削除する「フィッシング遮断」やリンクを無効化する「HTMLメールのテキスト化」といった手段が有効になるでしょう。
個別のPCがメールを受信する前に、ソフトウェアがフィッシングメールを判別します。フィッシングの判定はセキュリティ専門の企業が提供する情報を基にしたエンジンが活用されますが、このエンジンのクオリティがそのソフトウェアの精度の高さに反映されます。フィッシングと判別されたメールはここで遮断され、社員には届かないので、誤ってクリックしてしまう心配はなくなります。
フィッシングメールは日々新しいものが登場しています。そのため、フィッシング判定のエンジンでも検出できないケースも考えられます。そうした場合の対策として、近年増えているHTMLメール型のフィッシングを防御するために、メールのテキスト化をシステム上で行う方法が有効になります。さらにテキスト化してもなおURLリンクが残っている場合は、それを除去する仕組みが必要になります。つまりHTMLメールのテキスト化およびURLリンクの除去を自動的に実施するソフトウェアを導入することで、フィッシングのリスクを大幅に減らすことができるのです。
このようにシステム面からの対策を実施することで、フィッシングのリスクを回避することができます。「人」と「システム」の両面から対策を行うこと、それがフィッシング被害を低減するための基本姿勢といえるでしょう。