「自分は騙されない」という人ほど注意、思わずクリックしてしまう「フィッシング詐欺」メールの巧妙手口

　「○○からのお知らせ」など、実在する企業をかたった詐欺メールが後を絶たない。「またか」と感覚を鈍らせがちだが、決して侮ってはいけない。カードの不正利用や業務サーバーへの不正アクセス、ランサムウェア攻撃などは、多くが詐欺メールを発端としているからだ。

　こうしたフィッシング詐欺は、知っている人間や関係者を装って相手をだますという点で、「オレオレ詐欺」などの特殊詐欺と本質的に同じものである。

　そのため、多くの人が「自分は騙されない」と思っているところが曲者で、実際に騙された人は、騙されているときに自覚がない。あるいは疑念はあっても信じてしまっている。「騙されない」という自覚や警戒は必要だが、それで万全とは言えない。

■「フィッシング詐欺」の定義

　フィッシング対策協議会(APC)のサイトでは、フィッシングを次のように定義している。

　「フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト)に誘導し、そこで個人情報を入力させる手口が一般的に使われています」

　つまり、現存する個人や企業になりすまし、ログイン情報やカード番号、暗証番号などの個人情報を誘導したサイトで入力させる。その後、得られた情報を使って、カードの不正利用やシステムのログインなどを行うのは2次的な攻撃であり、厳密には不正アクセス等に分類される。

　例えば、宅配便業者や大手ECサイトを装うなど、相手を本物だと思わせて、ログインIDとパスワード、カード番号と暗証番号といった情報を盗み出す。これが基本的な手口で、個人情報を入手できた時点でフィッシングは成功となる。

　システムやサービスのログイン(アカウント)情報は、公私を問わずあらゆる場面で必要になる。攻撃者から見れば、ログイン情報があればたいていのことはできてしまうので、苦労してプログラムの欠陥をついて侵入するより、表から堂々と中に入れて利用価値が高い。

■どんなメールが届くのか

　フィッシングや詐欺メールの見極めは困難だと思ったほうがいい。以前のフィッシングメールは、本文の日本語がおかしかったり、日本語フォントではない漢字が交ざっていたり、見るからに怪しいメールだった。

　最近のフィッシングメールは、多少稚拙な文面でも、ありがちなシチュエーションを利用することも多く、専門家でも簡単に見分けられるものではない。よくあるのは、宅配便の不在通知を装ったものだ。

　荷物の受け取りに身に覚えがなければ不審に思う内容だが、たまたま頼んでいたものが届く予定があれば、この内容でいとも簡単にだまされてしまう。

　ほかにも有名リゾートホテルやテーマパークのチケットの当選を装ったもの。ECサイトや動画サイトのアカウントを無効化するというもの。クレジットカードの不正が確認されたとするもの。これらは典型的なフィッシングメールといってよい。

　こうした不特定多数に同一文面でメールを送りつける「ばらまき型」がフィッシングメールの基本だが、この対極にあるのが「スピアフィッシング」と呼ばれる手法だ。

　スピアフィッシングとは、メールなどの文面が特定の相手、特定の企業・業種を狙ったフィッシングだ。文面にも標的の個人名や会社名、差出人の個人名や組織名が記載され、内容も業界内部のやりとりになっている。

　例えば、親会社・得意先、業界団体・学会からの連絡、所轄省庁からの連絡などを装って、「担当部署の変更」「業界に法改正や新しい規制が導入された」といった文面でだましにかかってくる。

　2022年のロシアによるウクライナ侵攻では、その前後にロシア側からと思われるフィッシングメールなどが、電力事業者や金融業界関係者に送られている。その後、プロパガンダを目的としたスピアフィッシングメールが、EU圏のウクライナ語話者に送られたことも確認されている。

　本来、フィッシングメールは、大量のアカウント情報を入手することが目的である。ピンポイントで狙うスピアフィッシングは効率がよくないが、対象の個人や属性に価値があれば有効だ。

■最新の事例や手口は対策事業者のサイトを活用

　注意しなければならないパターンは、ほかにもある。SNS、ゲームなどのアカウントを凍結する、税金や補助金の還付をかたるフィッシングも定番だ。地震や豪雨などの災害、大きなニュースの直後は義援金・寄付を募るパターンもある。

　フィッシングの例は、枚挙にいとまがない。文面や事例も社会情勢や出来事にあわせて変化する。特定の事例を示してもすぐに古くなるので、文面の事例については、都度、ニュースなどを確認して認識をアップデートしておく必要がある。

　最新の攻撃メールが確認されると、フィッシング対策協議会(APC)やドコモなどの通信事業者が、ホームページを適宜更新するので参考にするとよい。自分が利用している金融機関や企業(をかたる)のフィッシングが流行っているのか、と注意喚起に役立つ。

　また、さまざまなサイトにフィッシングサイトを見分けるポイント、正規ドメイン名かどうかの判定ポイントなどが公開されている(ドメイン名が正規のものか、意図的な誤植が含まれていないかなど)ものの、これだけで見分けるのは難しい。

　リンク先の確認は心がけとして常に意識しておくべきことだが、現在のドメイン名の仕組み、URLの使い方は複雑で、「ここを見れば偽物かどうかわかる」というポイントは存在しないと考えたほうがいい。

　正規サイトでも、キャンペーンごとにドメイン名を個別にするなど、企業名と連動しないものが増えている。

　短縮URLやQRコードも注意が必要だが、これらは目視確認が困難だ(リンク先アドレスをコピーしてテキストファイルなどに張り付けて確認する必要がある)。特定の文字列が含まれていればOK、NGという判定方法に頼るのは、かえって危険である。

　厄介なのは、正規のドメイン名が攻撃者によって再利用されるパターンだ。サービスや製品ごとに取得したドメイン名が、サービス終了や廃番によって放置されていることがある。

　攻撃者は、これらをフィッシングメールの誘導先に利用する。このようなURLは、セキュリティシステムのブラックリストや悪性サイトのデータベースで排除できないことがある。

　ドメイン名は(ほぼ)任意の文字列で登録することができる。持ち主が更新を忘れたり手放していれば、同じドメイン名は誰でも取得可能だ。

　企業名や商品名が含まれたドメイン名は、一度は正規ドメインとして運用されていたものであり、検索エンジンに登録されている可能性が高い。誘導、フィッシングに最適だ。

　2023年、NTTドコモは自社サービスのドメイン名を失効させてしまい、その名前が競売にかけられたことがある。同社は自動入札で最高値落札を余儀なくされたという事件も起きている。

■入力したアカウント情報はどのように利用されるのか

　フィッシング詐欺によって直接被害を受けるのは、自分のアカウント(ID・パスワード等)やクレジットカードの情報だ。

　これらが犯罪者の手に渡ることで、なりすましやカードの不正利用につながる。企業システムのアカウント情報であれば、そこから本人になりすまして会社のデータを盗んだり、マルウェアを仕掛けたりが可能になる。

フィッシングメールを送ってくる攻撃者は、入手した情報を自分たちで使うとは限らない。アカウント情報やカード番号・暗証番号は、アンダーグラウンドマーケットで商品として取引される(関連記事)。

　では実際、フィッシングメールの被害を受けたらどうすればいいか。

　よほど特殊な例でなければ、フィッシングメールを受信しただけ、開いただけで情報が抜き取られたり、マルウェアに感染することはない。受信・開封した時点で気がつけば、慌てずメールを無視することだ。会社や組織に報告の規定があればそれに従う。

　もし、フィッシングメールとは気づかずに、文面内のリンクをクリックしてしまったとする。ここで気がついてサイトから離脱できれば、まだ直接の被害は起きていない。

　だが、クリックした先で何らかの情報(たいていの画面はID・パスワード・暗証番号・そのほか個人情報の入力画面)を入力してしまった場合は、入力した情報が攻撃者の手に渡ったことになる。

　ここで、気がついたらすみやかに当該サービスのパスワードを変更する。類似のパスワードを使っているサイト、同じパスワードを使っているサイトがあれば、これらも変更する。

　重要度の高いサイト、よく使うサイトはすべて変更するくらいでもよい。会社や組織ならば、おそらくインシデントとして報告しなければならないはずだ。

　それでも気づかなかった場合は、おそらくカードの不正利用の連絡を受けたり、身に覚えのない支払い通知が届いたり、自分のアカウントにログインできなくなったり、実際の被害が発生してから気づくことになる。

　ただし、ログインアカウントに2要素認証・多要素認証(2FA・MFA)を設定していれば、なりすましが試行された段階で、メールやSMSに通知が届く。

　ここで「自分のログインでない」とログインを拒否できれば、自分へのなりすましやカードの不正利用を阻止できる。IDやパスワードは漏れているので、パスワードの変更は必須である。

■2要素認証と立ち止まって考える習慣を

　大前提として、フィッシングメール攻撃を止めることはできない。これは犯罪が根絶できないのと同じだ。したがって、フィッシングメール攻撃の被害にあわない対策が重要となる。

　まず、アカウントには2要素認証・多要素認証を必ず設定すること。面倒でもログイン処理にメールやSMSでの本人確認手順を含めるようにする。より確実なのは、Authenticatorと呼ばれている認証アプリ、FIDO2という認証サービスを使うことだ。

　メールやSMSは、偽称が簡単なので2要素認証のメッセージが偽物である可能性を排除できない。詳しい説明は省くが、AuthenticatorやFIDO2は、これらより偽装・偽称が困難になっている。

　Authenticatorはアプリなので自分でインストールすることができる。FIDO2は、サイトやサービス側が導入していないと使うことができない。利用しているサービスが対応していれば設定することを心掛けたい。

　そして、もう1つ重要なポイントは常にフィッシングに対する意識を持つこと。リンクをクリックする前に、「STOP・THINK・CONNECT(STC)」を思い出す習慣をつける。

　つまり、すぐにクリックしないでいったん立ち止まる(STOP)。そして考える(THINK)。問題ないと思ったらクリックして接続(CONNECT)する。

　STCはフィッシング詐欺対策の行動規範としてAPWG(Anti Phishing Working Group)とNCSA(National Cyber Security Alliance)によって提唱されたキャンペーンだ。今では、ネット全体を通じて安全に利用するための行動習慣となっている。