フィッシングとは、なりすましメールやDMなどを使ってユーザーを偽サイトに誘導し、そこから個人情報や決済情報などを窃取する攻撃手法です。被害に遭うと、機密情報が悪意のある第三者の手に渡ってしまったり、金銭的な損害を被ったりするほか、マルウェアに感染する危険性もあります。
このような被害を防ぐためには、フィッシング攻撃に備えて入念なセキュリティ対策を講じる必要があります。その際、被害に遭わないための対策方法だけでなく、実際に被害に遭ってしまった場合の対処法も押さえておくと、トラブルが起きた際でもスムーズに対応が可能です。
本記事では、事前対策と事後対策に分けて、フィッシング攻撃に対する具体的な施策を解説します。フィッシングに対する備えを整えると、ほかのサイバー攻撃にも効果を発揮することもあるので、できる限りの施策を実施することをおすすめします。
被害に遭う前に行うべきフィッシング対策9選
フィッシング詐欺の被害に遭わないようにするには、次のような対策が効果的です。
- メールアドレスやURLの確認
- 不審なURLはクリックしない
- よく使用するWebサイトのブックマーク
- セキュリティ対策ソフトの導入
- 多要素認証の導入
- データのバックアップ
- OSやソフトウェアの定期的なアップデート
- 監視体制やインシデント対応体制の整備
- 従業員のセキュリティ教育
それぞれの対策方法について詳しく解説します。
メールアドレスやURLの確認
不審なメールを受信した際には、まず送信元のメールアドレスと、記載されているURLに注意を払いましょう。それらが正規のアドレスやURLと一致しているか、丁寧に確認することが重要です。特に、送信元がフリーメールアドレスの場合は、フィッシング詐欺の可能性を疑うべきだといえます。また、自分以外の複数の宛先が含まれているようなメールにも注意が必要です。
なお、スマートフォンのメールアプリによっては、差出人欄にディスプレイネームのみが表示されることがあります。そのような場合は、本文に含まれるURLをよく確認するようにしましょう。迷惑メールフィルターやSMSの自動振り分け機能を活用することも、被害を防ぐ有効な手段です。
さらに、SNS上で友人や知人から、突然URL付きのダイレクトメッセージが届いた場合にも警戒が必要です。内容に不自然な点がないかを確認し、安易にURLをタップしたり、ファイルを開いたりしないようにしましょう。
不審なURLはクリックしない
メールやSMS、DMなどで届くメッセージ内のURLを安易にクリックしないことは、フィッシング詐欺への有効な対策の一つです。リンクをクリックしてしまうと、悪意のある第三者が用意した偽のWebサイトへ誘導されてしまう恐れがあります。
「アクセスするだけなら大丈夫」と考える方もいるかもしれませんが、アクセスした瞬間にパソコンやスマートフォンの端末情報を抜き取られてしまうこともあるので、注意が必要です。さらに、知らないうちに情報を抜き取るようなアプリケーションが自動的にダウンロードされてしまうリスクもあります。
もし少しでもメールの内容に不審な点があったり違和感を覚えたりした場合には、絶対にリンクをクリックしないようにしましょう。クリックしない限り、被害に遭う可能性は極めて低く抑えられます。
よく使用するWebサイトのブックマーク
普段利用しているサービスにログインする際は、事前に公式サイトをブックマークし、そこからアクセスする習慣を身に付けましょう。
フィッシング詐欺は、ECサイトで買い物をした直後や荷物の配達を待っているとき、何かに追われていて急いでいるとき、疲労がたまっているとき、あるいは寝起きで頭がぼんやりしているような状況で発生しやすい傾向があります。こうしたタイミングでも、焦って偽サイトにアクセスしてしまわないように、日頃から慎重な行動を習慣化することが大切です。
セキュリティ対策ソフトの導入
セキュリティ対策ソフトの導入は、偽サイトへの対策として非常に効果的です。アンチウイルスソフトやファイアウォール、Webフィルタリングといった機能によって、ユーザーが偽サイトへアクセスするのを未然に防ぐことができます。さらに、不審なメールやファイルを検知し、リアルタイムで警告を出すことで、被害を事前に回避することも可能です。
このようなセキュリティ対策ソフトは、企業の情報資産を守るうえで欠かせない重要な防御手段となります。導入を検討する際は、提供元のベンダーが信頼できるかをしっかり確認し、より高度なセキュリティ性能を持つ製品を選ぶことが大切です。
多要素認証の導入
パスワードのみの認証では、万が一情報が漏えいした際にアカウントが容易に乗っ取られてしまう可能性があります。こうしたリスクを防ぐためにも、多要素認証の導入は今や欠かせない対策だといえます。
多要素認証とは、知識情報や所持情報、生体情報といった異なる認証要素のうち、2つ以上を組み合わせてユーザーの本人確認を行うセキュリティ手法です。例えば、ログイン時にパスワードを入力した後、スマートフォンに届いたワンタイムパスワードを追加で入力したり、顔認証などの生体認証を実施したりするのが一般的な多要素認証の例です。
このような多要素認証を導入しておけば、仮にフィッシング詐欺などで従業員のパスワードが流出した場合でも、追加の認証が必要となるため、不正アクセスのリスクを大幅に抑えられます。特に、社内システムやクラウドサービス、VPNといった機密性の高い情報へアクセスするシステムには、優先的に導入することが推奨されます。
データのバックアップ
万が一、サイバー攻撃などによりデータが損失した場合でも、定期的にバックアップを行っていれば、迅速な復旧が可能です。大切なデータを安全な場所に保管し、バックアップの頻度や手段を定期的に見直すことで、被害を最小限に抑えられます。
例えば、企業がデータの消失リスクを低減するためには、本社と支社といった物理的に離れた複数拠点にデータを分散して保管するのが効果的です。また、自動バックアップ機能とクラウドストレージを併用することで、データ復旧にかかる時間を短縮できる可能性があります。
OSやソフトウェアの定期的なアップデート
フィッシング詐欺によるメールや偽サイトを経由して、マルウェアに感染する可能性もあります。マルウェアは、OSやソフトウェアに存在するセキュリティ上の脆弱性を突いて侵入することが多く、特にアップデートが行われていない環境では、そのリスクがより高くなります。
そのため、OSやソフトウェアは常に最新の状態に保っておくことが不可欠です。自動アップデート機能を有効にすれば、更新の抜け漏れを防ぐとともに、従業員の手間も軽減できます。とりわけ、Webブラウザやメールソフトなど、インターネット経由で外部と通信するアプリケーションについては、優先的にアップデートを行うべきです。
監視体制やインシデント対応体制の整備
フィッシング詐欺では、初動の遅れが被害の拡大につながる恐れがあります。そのため、被害を最小限にとどめるには、平時から監視体制やインシデント対応体制を整備しておくことが重要です。
各種ログを定期的に監視し、異常が発生した際にすぐ察知できる体制を構築しましょう。なかでも、認証ログやメールログ、プロキシログの監視は特に重要です。
CSIRT(インシデント対応チーム)の組織化や、対応フローの事前整備を行うことも重要だといえます。このような取り組みにより、緊急時にも迅速かつ的確に判断・対応できる体制を維持することが可能です。
従業員のセキュリティ教育
従業員がフィッシング詐欺の被害に遭わないようにするためには、セキュリティ教育を徹底し、従業員一人ひとりのITリテラシーを向上させることが重要です。
例えば、セキュリティ関連の企業が開催するセミナーへの参加を促したり、オンラインセミナーやeラーニングなどを活用して、定期的に研修を受講させたりと、従業員のITリテラシーを底上げする取り組みが選択肢としてあげられます。加えて、外部のセキュリティ専門企業に依頼し、フィッシング詐欺を模したメールを抜き打ちで従業員に送付し、その対応を確認するような実践的なテストを行うのも、有効な対策の一つです。
被害に遭った後に行うべきフィッシング対策5選
実際にフィッシングの被害に遭った場合は、次のような対策が効果的です。
- 金融機関への連絡
- パスワードの変更
- 脆弱性診断
- 警察への通報
- 専門機関への相談
被害に遭った後に確認するのではなく、被害を受けたときのことも想定して事前に対策方法を知っておくことをおすすめします。それぞれの対策方法について解説します。
金融機関への連絡
フィッシング詐欺の主な目的は、ユーザーから決済情報を窃取することにあるため、詐欺に遭うと銀行口座やクレジットカード、あるいはそれ以外の決済手段の情報が、すでに悪意のある第三者に抜き取られている可能性があります。そのため、被害に遭った際は、何よりもまず金融機関に連絡することを優先しましょう。
例えば、クレジットカードの場合、不正利用を防止するため、カードの利用を一時停止してもらい、状況を詳しく伝えることが重要です。すでに不正利用が発生していたり、利用明細を確認してフィッシング詐欺の被害に気付いたりした場合も、同様にクレジットカード会社へ電話で報告しましょう。
不正利用であると認められた場合には、その分の請求が取り消されることがあります。さらに、すでに引き落とされていた金額についても、補償される可能性があります。
ただし、この補償対応の期間や条件はカード会社ごとに異なるため、事前に確認が必要です。加えて、被害状況を証明するための書類の提出が求められる場合もあります。
パスワードの変更
フィッシング詐欺による偽サイトで、うっかり個人のIDやパスワードを入力してしまった場合は、速やかにパスワードを変更する必要があります。そのまま放置すると、第三者にアカウントへ不正にログインされ、住所や電話番号、クレジットカード番号などの個人情報が漏洩する恐れがあります。
被害を防ぐためにも、速やかに公式サイトにアクセスしてパスワードを変更しましょう。その際、推測されにくい複雑なパスワードを設定することが重要です。
パスワードには、大文字・小文字・数字・記号を組み合わせることで、セキュリティを強化できます。覚えやすさを優先するがあまり、誕生日や車のナンバーといった安易な情報を使うのは避けましょう。
脆弱性診断
フィッシング詐欺による被害は、マルウェアの感染や認証情報の流出を発端として、社内システムやクラウド環境への不正侵入へと発展する恐れがあります。こうした被害の拡大を防止するためには、日常的に脆弱性診断を実施し、システムの入口や内部に潜むリスクを早期に把握して対策を講じることが重要です。
脆弱性診断では、社内のサーバーやネットワーク機器、Webアプリケーションなどを対象に、既知のセキュリティホール、設定ミス、不要なサービスの存在などを洗い出し、可視化します。これにより、外部からの侵入経路になり得る箇所や、内部で被害が拡大する可能性のある構成を特定できます。
さらに、診断結果を踏まえて、リスクの高いポイントから優先的に修正対応を行うことも可能です。たとえ一部の端末やアカウントがフィッシング攻撃により侵害された場合でも、二次的な被害の発生を防ぐための境界防御の再構築や内部対策の強化につながります。
警察への通報
フィッシング詐欺によって金銭的な被害を受けた場合は、警察へ通報しましょう。各都道府県警察には、フィッシング詐欺に特化した相談窓口が設置されています。「フィッシング110番」と検索すれば、警察庁のサイバー犯罪対策プロジェクトのサイトが表示されるので、そこに記載されている専用窓口に連絡します。
専門機関への相談
フィッシングの被害について相談したい場合には、国民生活センターや最寄りの消費生活センターへ電話で相談するのも良いでしょう。さらに、フィッシング被害に関する情報提供は、フィッシング対策協議会に報告するのも一案です。同協議会の公式サイトでは、Webフォームまたはメールでの報告が可能です。
フィッシング対策をしないことによるリスク
フィッシング対策を怠っている、あるいはまったく行っていない状態では、機密情報の窃取やマルウェア感染などに陥るリスクが高くなります。それぞれのリスクについて詳しく解説します。
機密情報が窃取される可能性がある
フィッシング詐欺では、ユーザーを偽サイトに誘導し、そのなかのフォームに情報を入力させようとします。仮にそのフォームに機密情報を入力した場合、重要な情報が悪意のある第三者の手に渡ってしまうでしょう。
企業の場合は、顧客や従業員の個人情報、商品やサービスの開発データ、非公開のプロジェクトに関する情報、契約書をはじめとする取引先に関する情報などが流出する恐れがあり、最悪の場合は信用問題や損害賠償といった大きなトラブルにも発展しかねません。このような被害を防ぐためにも、適切な対策方法を検討し実行することが重要です。
マルウェアに感染する危険性が高まる
フィッシングメールやスピアフィッシング攻撃(組織内の特定の人物に標的を絞り込んだフィッシング攻撃)は、現在でもマルウェア感染の主要な手口の一つです。攻撃者は、受信者が信頼を寄せている企業や取引先などになりすまし、不正なファイルを添付したメールを送りつけて開かせたり、悪質なリンクをクリックさせたりすることで、マルウェアを実行させようとします。
よくある手口の一例としては、給与明細や取引通知を装ったメールがあげられます。例えば、「1月給与のお知らせ」といった件名のメールに、マクロ付きの不正なExcelファイルを添付し、ユーザーがそのファイルを開くことで感染させるといったケースです。なかには、実行形式ファイル(.exe)の拡張子を偽装して、文書ファイル(.docx)のように見せかける手法も確認されています。
また、リンクを利用した攻撃手法もますます巧妙になっています。最近では、Webサイトを閲覧するだけで感染してしまう、ドライブバイダウンロード攻撃と組み合わせた手法も登場しています。
金銭的被害に遭う可能性がある
そもそも、フィッシング詐欺の主な目的は、個人情報を不正に取得し、それを金銭的利益に変えることにあります。そのため、フィッシング詐欺の被害に遭い、クレジットカード情報や口座番号などが盗まれてしまった場合、金銭的損失を被る可能性が高くなります。
万が一、フィッシング詐欺によって金銭的な被害が発生したとしても、その全額が返金されるとは限りません。仮にクレジットカード情報が盗まれ、不正に使用された場合、多くのカード会社では申告または届出を受理した日からさかのぼって、60日以内の被害についてのみ補償の対象としています。つまり、カードの不正使用に気付いてカード会社に申告した時点で、そこから2ヶ月以上前に発生した被害分は返金されない可能性があるということです。
フィッシング対策に役立つツール3選
フィッシングによる被害を防ぐには、日頃からセキュリティ意識を強化することに加え、便利なセキュリティソフトを活用することも重要です。フィッシング対策に役立つツールには、スパム対策ツールやフィルタリングソフトなどの種類があります。それぞれの特徴や機能を解説します。
スパム対策ツール
スパム対策ツールとは、受信者の意思にかかわらず無差別に送信されるスパムメールを防止するためのツールです。スパムメールには、偽サイトに誘導するためのリンクやマルウェア付きのファイルが添付されていることもあるため、受信手続きそのものを回避するだけでフィッシング対策に大きく役立ちます。
スパム対策ツールには、ブラックリストとホワイトリストの機能が用意されています。送信者のメールアドレスやドメイン、件名などをもとに、ユーザー自身でリストを作成することで、受信の可否を柔軟に設定できます。また、送信者アドレスのドメインが正規のものかを確認できる、送信ドメイン認証の機能を利用できるのも特徴です。
このような機能により、スパムメールを自動的に判別し、不要なメールは受信する前に遮断できます。結果として不審なメールを安易に開いてしまうリスクが低くなるため、フィッシング対策へとつながります。
フィルタリングソフト
フィルタリングソフトとは、あらかじめ設定された条件を満たすWebサイトのみ閲覧を許可するツールのことです。このツールは、意図しないWebサイトへのアクセスを防ぐために有効です。
例えば、なりすましメールに記載されたリンクをうっかりクリックしてしまった場合でも、アクセス先が許可リストに含まれていなければ、フィルタリングソフトが自動的に接続を遮断してくれます。また、内部関係者がファイル共有サイトなどを利用して機密データを持ち出すのを防ぐ目的でも活用可能です。アップローダーなどへのアクセスを制限することで、社内の不正行為に対する抑止策としても機能します。
UTM
コンピュータウイルスや不正アクセスといった脅威から、ネットワークを効果的かつ総合的に守るための管理手法をUTMといいます。UTMは「Unified Threat Management」の略称で、日本語では「統合脅威管理」または「統合型脅威管理」と訳されます。
本来はセキュリティ対策の一つの概念として語られることの多いUTMですが、その仕組みをシステムやソフトウェアに落とし込んだものをUTMと呼ぶこともあります。ツールとしてのUTMは、ファイアウォールやアンチウイルス、アンチスパム、Webフィルタリングなど、さまざまなセキュリティ機能が統合的に含まれている点に特徴があります。
複数のセキュリティ機能を一元的にまとめることで、コストを抑えつつ、システム管理者の業務負担を軽減できるのがメリットです。また、機能が豊富なことから、フィッシングだけでなく不正アクセスやなりすまし、マルウェア感染といったさまざまなセキュリティリスクに対応できるのも利点だといえるでしょう。
適切な対策方法を押さえたうえでフィッシング攻撃に備えよう
フィッシングによる被害に遭うと、情報漏洩やマルウェア感染、金銭的被害など、さまざまなトラブルに発展する恐れがあります。特に膨大な量のデータを扱う企業にとっては、情報の外部流出は自社の信用を失墜させかねない重大な問題だといえます。そのため、事前対策・事後対策の両方の観点から、適切なセキュリティ施策を検討することが重要です。
Googleのサービスには、フィッシング対策の機能を搭載したものが数多く存在します。例えば、不審なメールを自動で迷惑メールフォルダに移動するGmailのスパム対策機能や、危険なWebサイトへのアクセスをブロックできるGoogle Chromeのセーフブラウジング、複数のユーザーや端末を一元管理できるGoogle WorkspaceのCloud Identityなどが代表的です。
特にGoogle Workspaceには、エンドポイント管理やDLP(データ損失防止)、Google Vault(電子情報開示用にデータを保持できる機能)など、さまざまなセキュリティ機能が搭載されており、各Googleサービスに一括で設定を反映できるのが特徴です。
電算システムでは、環境構築やコンサルティングなど、Googleサービスの導入支援サービスを提供しています。GmailやGoogleドライブといった個別のサービスはもちろん、Google Workspaceのサポートにも対応しています。専門領域に精通した数多くのエンジニアが在籍しているので、スピーディかつ質の高いサポートを行えるのが強みです。Google Workspaceの特徴や機能については、以下の資料で紹介しているので、ぜひ参考にしてください。
- カテゴリ:
- Google Workspace
- キーワード:
- フィッシング対策
