一般利用者向けフィッシング対策

SHIFT SECURITY セキュリティの学び場技術や仕組み一般利用者向けフィッシング対策

一般利用者向けフィッシング対策

2024.02.16 技術や仕組み

フィッシングとは
フィッシングの手口
フィッシングのリスクを下げる対策
技術以外の対策、”ユーザの意識や行動習慣”について
心構えについて
最後に

フィッシングとは

フィッシング／フィッシング詐欺（phishing）とは、信頼できる組織や個人を装ってメールやWebサイトなどでユーザを誘導し、機密データや資産を騙し取る詐欺の手口のことです。

機密データの代表例としては、銀行ATMの暗証番号やサービスサイトの認証情報があります。資産を騙し取るとは、犯人の用意した口座にお金を振り込ませるなどです。フィッシング詐欺は世界中で発生しており、年間数千億円の被害が出ているとも言われます。言葉の由来は諸説あるようで、日本の総務省は「魚釣り（fishing）と洗練（sophisticated）から作られた造語」と説明しています。(※1)

季節や時事と関連したものも多く、本記事が公開される年度末は確定申告などの時期であることから、国税庁や税務署を装った詐欺が増えてくることが予想されます。また、新NISA制度に関連して金融機関を詐称したメールもあることかと思います。

本記事では典型的なフィッシング詐欺の流れとインターネットの一般利用者が取り得るフィッシング対策について述べます。

※１国民のためのサイバーセキュリティサイト＞一般利用者の対策＞基本的な対策＞フィッシング詐欺に注意

フィッシングの手口

典型的なフィッシングメールによる詐欺は次のように進みます。メール以外にも、SNSやSMS、その他のメッセージ送信を利用したフィッシングも同様の流れを辿るケースが多いようです。

フィッシングの典型的な流れ

１）差出人を詐称してメール送信
攻撃者は利用者が多いサービスサイトや金融機関、公的機関を装ってメールを送信してきます。攻撃者が具体的なサービスからアカウントやメールアドレスリストを盗取していた場合は、そのサービスを偽装します。

２）メール文面で判断力を誤らせる
メール文面には読み手の判断を誤らせるような内容を盛り込みます。「アカウントが乗っ取られました」、「有効期限が切れます」、「料金や納税に滞納があって行政措置/法的措置を検討」など。何かまずいことが起こっているかもと、ユーザを動揺させて正しい判断力を失わせたり、思い込みに付け込むなどします。期間限定の特別サービスのような「うまい話」を持ち出してくることもありますが、ユーザを焦らせようとする点では同じです。時には注意喚起や重要なお知らせを真似て正規のメッセージだと思い込ませることもあります。「当サイトへの不正アクセスが確認されました。ユーザの皆様はアカウントの乗っ取りにご注意ください。定期的にID/パスワードをご確認ください。確認ページはこちら。」のような内容です。

３）悪意あるWebサイトへ誘導
メール本文中に攻撃者が用意した悪意あるサイトへのリンクを貼っておきます。ユーザが攻撃者の狙い通りに動揺してしまった場合はうっかりこのサイトへアクセスしてしまいます。

４）情報奪取ないしマルウェア送信
悪意あるサイトへアクセスしてしまったユーザから重要な情報を盗み出そうとします。サービスサイトのアカウント名とパスワード、金融機関で利用する暗証番号、マイナンバー、等々です。アクセス先のサーバからマルウェアが送信されることもあります。マルウェアは唐突にダウンロードされることもあれば、正規のアプリケーションを偽装してユーザにインストールを促すこともありえます。

５）更なる攻撃と被害
情報を盗み出した攻撃者はその悪用へと進みます。アカウントの乗っ取りや資産の不正利用や不正な移動です。マルウェアをインストールさせることに成功した場合は、そのマルウェアを経由して情報を盗み出したり、感染端末を別な対象への攻撃に利用したりするなどします。その先も同様の手口で攻撃が進んでいきます。

上記はあくまで典型的なものに過ぎません。詐欺というものは対象となる人の数だけ手口があるとも言えますので、上記に該当しないからと言ってくれぐれも油断せぬようお願いします。

フィッシングのリスクを下げる対策

フィッシングに限らず詐欺を100%防ぐ方法というのは残念ながら見当たりません。とは言え、フィッシングがメールその他のIT技術を駆使して行われるのならば、やはりIT技術を駆使してリスクを減らすことも可能な筈です。以下では代表的な４つの対策を挙げます。

代表的な４つの対策

１）パスキーなどのパスワードレス認証を導入する
フィッシングではアカウント乗っ取りのために「罠サイトでパスワードを入力させる」方法が良く使われます。これを防ぐ方法としてパスキーなどのパスワード認証を導入する方法があります。ただし、パスキーなどのパスワードレス認証は普及途上であり、利用しているサービスで導入できない場合もあります。

＜参考リンク＞
パスワードレス認証とパスキー＞

２）メールのフィルタリング
そもそもフィッシングメールを受け取らない/目にしないで済むように対策します。スパムフィルターの利用や不正メール対策が充実したメールサービスを使います。フィッシングその他迷惑メールを多数受け取っている場合は技術的にフィルタリングすることで煩わしさやリスクの回避をすることができます。ただし、スパムフィルターが正当な送信元からのメールをブロックすることもあるので、100%正確とは限りません。状況に応じてメールアドレスを新しく作り、利用しているサービスで再登録するという選択もあり得ます。しかし一般に煩瑣ですし、再びフィッシングメールが送信されてくるようになるまでは時間の問題ですので積極的には推奨しません。メールセキュリティに関連してSPF/DKIMやDMARCの記事も参照してみてください。

＜参考リンク＞
SPF/DKIMによるメールセキュリティ＞
メールのセキュリティ「DMARC」が日本で導入が進まない背景＞

３）Webサイトのフィルタリング
誘導に乗って悪意あるサイトへのリンクを踏んでしまった場合の対策をします。標準的なブラウザにはフィルタリング機能があります。偽サイトのリストを保持できるので、該当するサイトへのアクセスはブロックしたり警告が出るようにできます。EPP（アンチマルウェア）などのセキュリティソフトに含まれる機能の併用も検討ください。

４）端末（PCやスマートフォン）を安全に保つ
マルウェアが送信された場合の対策をします。OSやソフトウェアの更新を行い、既知の脆弱性を塞ぐようにします。こちらもEPPなどのセキュリティソフトの利用も適宜検討しましょう。

技術以外の対策、”ユーザの意識や行動習慣”について

上記の対策は、フィッシングへの防御をサービスやソフトウェアの持つ機能に寄せた方策です。しかしながらこれで完璧にフィッシングが防げるというようなものではありません。フィッシング被害に遭うリスクをより一層減らして安全・安心にインターネットを利用するには、ユーザの意識や行動習慣にも改善が求められます。こちらも代表的な指針を３つ挙げておきます。

代表的な３つの指針

１）正しいURLや正規のアプリケーションを用いてアクセスする
ブックマークや正規のアプリケーションを活用することを心掛けます。正規メール以外のメール中のリンクからはサービスサイトにアクセスしないようにします。正規のメールだと思っている場合でもリンク先のドメイン名などを確認して、ブックマークしていた正規のドメインと比較して確認します。プロトコルのチェックもしておきましょう。リンクURLが"http://"で始まっていたならば、平文通信をするよう要求していることになります。正規のサービスサイトでは非常に考えにくいURLです。アプリケーションは正規のダウンロードサイトなどから取得したものだけインストールするようにします。スマートフォンの場合はApp StoreやGoogle Playなどからダウンロードしたものを利用します。

２）なりすましの不自然さに気づけるようになる
銀行やサービスサイトのサービス内容を確認しましょう。実施していないサービスや対応が記載されていたら、ブックマークなどから正規サイトへアクセスして確認します。当該機関やサービス業者に問い合わせをしても良いでしょう。SMSの場合は発信者番号表示を確認することも忘れないようにします。PHISHING.orgでは、メール確認時における危険信号（Red Flags）としてチェックポイントを紹介していますので、参考にしてみてください

＜参考リンク＞
What Is Phishing?

３）安易にパスワードを入力しない
フィッシングサイトによるアカウント奪取から身を守るには「安易にパスワードを入力しない」事が重要です。とはいえ、正規サイトの利用にパスワード入力が必要な場合もあるでしょう。このため、正規サイトではパスワードの手入力が不要になるよう、パスワードマネージャを利用する方法があります。「パスワードマネージャでパスワードが自動入力されない」場合はフィッシングの可能性を疑い、安易にパスワードを入力しないようにしましょう。

＜参考リンク＞
パスワードマネージャーとは

心構えについて

原則的な心構えについて記載しておきます。それはいったん立ち止まって考えることです。（フィッシング）詐欺というのは動揺や焦り、思い込みを利用して判断力を鈍らせようとします。まんまとその手口に乗らないようにするには、立ち止まって状況を考え、内容を丁寧に確認することです。2023年に改訂したフィッシング対策協議会のガイドラインでも、STOP.THINK.CONNECTという同様の心構えを紹介しています。

＜参考リンク＞
フィッシング対策協議会のガイドライン