今押さえておきたいサイバーセキュリティ用語 第8回 巧妙化するフィッシングメール、情報漏洩のリスクと対策

画像提供：マイナビニュース

近年、仕事用だけでなく、個人用の携帯電話やSMSにも日常的に届くようになったフィッシングメール。単なる迷惑メールと侮るなかれ。金銭被害やアカウント乗っ取りなど、深刻な被害を引き起こす可能性があります。

警察庁の調査（令和5年におけるサイバー空間をめぐる脅威の情勢等について）では、フィッシングメールはランサムウェア攻撃の侵入経路として3位にランクされており、いかに深刻な被害をもたらす可能性があるかが浮き彫りになっています。

本稿では巧妙化するフィッシングメールの手口と、被害を防ぐための具体的な対策をご紹介します。被害者にならないよう、ぜひ最後までご一読ください。
フィッシングメールの手口と見破るポイント

1.件名・本文
不自然な日本語：
・件名が、「重要なお知らせ」「パスワード変更のお願い」など、緊急性や重要性を強調している
・文が不自然で、文法的に誤っている
あいまいな表現：
・宛名が「○○様」ではなく、「皆様」や「担当者様」など、あいまいな表現を使用している
いつもと異なる表現：
・丁寧な表現からフランクな表現に変わっていたり、普段使わない表現が使われていたり、普段と比べて文章の表現が異なる

2.送信元メールアドレスやドメイン
一見本物に見える偽装：
・正規のドメインと酷似した偽のドメインを使用
・メールアドレスの一部を省略・変更したりして、正規に見えるように偽装している
・差出人の名前は正規と同じでも、メールアドレスが異なる

3.URL
短縮URLやURLを非表示：
・誘導先のURLを短縮URLに変換したり、偽のURLを表示している
URLの一部分を変更：
・「cybereason.co.jp」ではなく、「cybereason.co.jp.xxx」など、正規のURLから微妙に変えている
URLを巧みに隠蔽：
・URLをQRコードに変換したり、著名な翻訳サイトの正規URLを使用したりしている
・どちらの場合も、アクセス先を特定しにくくし、URLのチェックを回避させクリックさせる確率を高める効果がある

4.多様化するフィッシング
メールだけではない：
・近年は電子メールだけではなく、SMSやメッセージングアプリ、SNSを狙ったフィッシングが存在

対策
身に覚えのないメールは即削除：
・開封すると相手に通知され、再送される可能性があります。
送信元、URLを確認：
・巧妙に偽装されている場合もあります。過去のメールや公式サイトと照らし合わせましょう。
怪しいと感じたら確認：
・過去にやり取りがあっても、内容に違和感があれば差出人に確認を取りましょう。
スマホでも注意：
・PCだけでなく、スマートフォン利用時も警戒が必要です。
人的ミスによる被害リスクをテクノロジーで軽減：
・PC向けセキュリティのNGAV（Next Generation Anti-Virus）やEDR（Endpoint Detection and Response）、スマートフォン向けセキュリティのMTD（Mobile Threat Defense）を導入することで、フィッシング対策をより強化できます。
まとめ

フィッシングメールは巧妙化していますが、上記の対策を徹底することで、被害を防げるようになります。常に最新情報に注意し、警戒を怠らないようにしましょう。

菊川 悠一 きくかわ ゆういち サイバーリーズン合同会社 プロダクトマーケティングマネージャー 10年以上におよび複数の無線 / 有線LANネットワークセキュリティのベンダーでSEとして従事した後、プロダクトマーケティングとして日本における製品リリース、販売戦略を推進。現在はサイバーリーズンのプロダクトマーケティングマネージャーとして、エンドポイントセキュリティの拡販、啓発活動を行っている。 この著者の記事一覧はこちら