■質問内容
- フィッシング詐欺に遭った場合、また遭わないようにするためには、何をすればいいでしょうか?
■回答内容
フィッシング詐欺に遭った場合の対処法と、遭わないための予防策について説明します。フィッシング詐欺に遭った場合の対処法
銀行やクレジットカード会社への連絡:
- 銀行口座やクレジットカード情報をフィッシングサイトに入力してしまった場合は、すぐに該当する金融機関に連絡し、口座やカードの利用停止を依頼します。
パスワードの変更:
- フィッシングサイトでIDやパスワードを入力してしまった場合は、速やかに該当するサービスのパスワードを変更します。
- 複数のサービスで同じパスワードを使い回している場合は、すべてのアカウントでパスワードを変更しましょう。
警察や消費者ホットラインに相談:
- フィッシング詐欺の被害に遭った場合は、警察のサイバー犯罪相談窓口や消費生活センターに相談します。迅速な対応が被害の拡大を防ぎます。
フィッシング詐欺に遭わないための予防策
怪しいURLをクリックしない:
- 不審なメールやSMSに記載されたURLには安易にアクセスしないようにしましょう。公式サイトや公式アプリから直接アクセスする習慣をつけることが重要です。
メールフィルタリングの活用:
- メールフィルタリング機能を活用して、不審なメールを自動的に別のフォルダに振り分けることで、誤って開封するリスクを低減します。
二段階認証の設定:
- 二段階認証を設定することで、アカウントのセキュリティを強化します。これにより、パスワードが漏洩しても不正アクセスを防ぐことができます。
定期的なセキュリティアップデート:
- パソコンやスマホのOSやアプリ、ソフトウェアを定期的にアップデートし、最新のセキュリティパッチを適用します。
ワンタイムパスワードの利用:
- ワンタイムパスワードを利用することで、セキュリティをさらに強化します。これにより、フィッシング詐欺による被害を防ぐことができます。
フィッシングメールの見分け方
フィッシングメールを見分けるためのポイントをいくつか紹介します。送信元アドレスの確認:
- メールの送信元アドレスが公式のドメインかどうかを確認します。例えば、企業の公式ドメイン(例:@example.com)と一致しているかをチェックします。
件名や本文の内容:
- 件名や本文に不自然な日本語や誤字脱字がないか確認します。また、「至急」「今すぐ対応が必要です」など、緊急性を強調する文言が含まれている場合は注意が必要です。
リンクや添付ファイルのチェック:
- メール内のリンク先URLを確認し、公式サイトと一致しているかを確認します。短縮URLや不審なドメインが含まれている場合はクリックしないようにしましょう。
ヘッダー情報の確認:
- メールの詳細ヘッダーを確認し、SPFやDKIM認証が適切に設定されているかをチェックします。
不審なメールの報告:
- フィッシングメールを受け取った場合は、企業のセキュリティ部門や適切な機関に報告しましょう。
具体的な例
- 送信元アドレス: 公式ドメインと似ているが微妙に異なる(例:@example.coではなく、@examp1e.co)。
- 件名: 「アカウントがロックされました」「支払い期限が切れました」など、緊急性を強調する内容。
- リンク: 一見公式サイトのように見えるが、実際には不正なドメインに誘導される。
組織としてのフィッシング攻撃一般への対策
昨今は、高度なソーシャルエンジニアリング手法を巧みに利用した攻撃が増加しているため、システム面の防御だけではなく、標的になる従業員への教育や訓練によるセキュリティレベル向上が重要です。メールフィルタリングの導入
- フィッシンクメールのうち、不審な発信元として報告されているものや、特徴的な文面を用いているものは、システム的なメールフィルタリングツールを導入し、メールの遮断や、受信者への自動的な注意喚起を行うことにより、従業員が危険なメールに接触するリスクを減らすことができます。
Webフィルタリングの導入
- フィッシングメールの多くは、フィッシングサイトヘの誘導を通じて、アカウント情報を盗み出そうとしてきます。このようなタイプの攻撃に対し、従業員がアクセスできるWebサイトを制限することで、従業員が危険なサイトと知らずにWebサイトにアクセスすることを防ぐことができます。
従業員へのセキュリティ教育
- フィッシングメールの見分け方や、不審なメールを受信した場合の対応などを教育することで、従業員のセキュリティ意識を高め、フィッシングの被害を防ぐことが効果的です。
- アカウント情報の流出状況の調査:フィッシング攻撃によって、アカウント情報を窃取されると、そのアカウントを起点に社内システムに不正アクセスが行われ、深刻な被害につながるリスクがあります。従業員のアカウント情報が流出していないか、専門の業者などを通じて調査し、結果に応じて、アカウントの停止や認証情報の変更などの対策を迅速に行うことで、社内システムヘの不正アクセスによるサイバー攻撃の被害を未然に防ぐことが可能な場合があります。
SPFやDMARC等の導入
- 自社のメールドメインのなりすましにより、自社または他社に被害が発生することを防ぐため、SPFやDMARCを導入することが効果的です。
【転載】地域セキュニティコミュニティ サイバーセキュリティメールマガジン ―FY2024Vol―【総務省サイバーセキュリティ統括官室】
- DMARC(Domain-based Message Authentication Reporting and Conformance)とは
- フィッシング攻撃を防ぐためにメールのドメインの信頼性を判断する技術で、なりすましメールを自動的に拒否することが可能です。
■備考
■参考情報
- 刊行物『中小企業向けサイバーセキュリティ対策の極意』【東京都】
- 「なりすましECサイト対策マニュアル」【一般社団法人セーファーインターネット協会/なりすまし EC サイト対策協議会】