フィッシング詐欺は、保存してあるファイルを暗号化して身代金を要求するランサムウェアと並んで、近年被害が急増しており、最も注意すべきサイバー脅威の一つだ。手口は確かに巧妙ではあるが、この詐欺から身を守るポイントははっきりしている。主要な5つの方法を説明する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
フィッシング詐欺が著しく増加している。これは、APWG(アンチフィッシングワーキンググループ)の報告書(2016年初頭)が明らかにしたものだ。この問題は極めて深刻であり、個人と企業・組織にとって非常に大きなリスクとなっている。例えば、2016年の第1四半期には、かつてなく攻撃数が増加した。
言うまでもなく、これは誰もが意識しなければならない問題である。こうしたタイプの攻撃は直ちには収束しそうもないからである。しかし、以下の5つのガイドに従えば、攻撃は水際で阻止されることだろう。
本題に入る前に、フィッシング詐欺とはどのようなものか、簡単に説明しておこう。フィッシング詐欺とは、サイバー犯罪者が(そうとは気付かれずに)個人情報や機微な情報を引き出そうとするものである。つまり、個人情報を盗み出す方法の一種である。メディアを使ったフィッシング詐欺としてみれば、これまで長年にわたって手紙や電話が手段として使われてきたものの延長線上にある。
サイバー犯罪者によるフィッシング攻撃は、一般的には、情報漏えい事故の後に行われる。保険Webサイト「アンセム」(Anthem)や通販サイト「イーベイ」(eBay)のデータ侵害が代表例であり、犯罪者は侵害が起こった後、ユーザーに対してパスワードを変更するようアドバイスを送信している(そして、ユーザーを偽のWebサイトに誘導し、個人情報を盗み出そうとした)。
しかし、サイバー犯罪者がフィッシング攻撃を企業に仕掛ける上で簡単に成功しやすい方法と捉えており、より洗練された攻撃を仕掛けようとしている、と多くの情報セキュリティの専門家は考えている。結局のところ、組織内の情報整理も大きな問題であるが、ますます人間こそ「最大の弱点」と見なされ、大きな組織や中小企業に付け入るための最も効果的な対象だと認識されているのである。
以下の助言に従えば、フィッシング詐欺に対して、かなりの防御が行えるはずだ。
1 フィッシング攻撃に敏感になる
オンライン上でWebを閲覧したりメールをチェックしたりすることに敏感かつ賢明になることで、被害に陥る可能性を著しく低下できる。
例えば、ESETのセキュリティ専門家であるブルース・バレル(Bruce Burrell)がアドバイスするように、むやみにリンクURLをクリックしてはならないし、ファイルをダウンロードしてはならない。また、たとえ明らかに相手のことを知っており、信頼できるところから届いていたとしても、メールやソーシャルメディアの添付ファイルを開くときには、注意しなくてはならない。
メール内にあるWebサイトへのリンクは、完全に信頼できると確信できるまで決してクリックすべきでない。少しでも疑わしいところがあれば、新たに別のブラウザのウィンドウを立ち上げて、直接アドレスバーのところにURLを入力した方がいいだろう。
機密情報、特に個人情報の詳細や銀行の情報などを尋ねるメールには、細心の注意を払うこと。特に銀行のようなしっかりとした組織は、機微な情報をメールでは決して尋ねたりはしない。
2 短縮URLにも注意を払う
短縮URLのリンクには必要以上に注意を払うべきである。中でもソーシャルメディアに貼られているものには注意すべきだ。サイバー犯罪者が偽のサイトに誘導するときに、たびたび(代表的な短縮URLサービスである「Bitly」やほかのURL短縮サービスなどを)悪用し、正しいリンクをクリックしていると思わせようとしているからである。
メールに表示されているリンクに対しては、常にマウスのカーソルをリンクURLに重ね、本当に正しいWebサイトへ行こうとしているのかどうか、マウスオーバーして確認すべきである。
サイバー犯罪者は、こうした偽のサイトを用いて、オンラインで入力される個人情報の詳細を盗み出したり、クリックすることによって感染する「ドライブバイダウンロード」(*1)攻撃を仕掛け、マルウェアに感染させようとするのである。
*1 編集部注 正規サイトを改ざんすることで、サイトの来訪者に対してWebブラウザ経由でマルウェアを送り込む。
3 疑わしいメールが来たら、要注意
多くのフィッシングメールはかなり明白にそれと分かる。綴り間違いが目立ち、どことなく大文字や感嘆符の使い方がぎこちない。自然なあいさつをしているかもしれないし「社長様」「関係者各位」といった宛名を使っているかもしれないが、にわかには信じがたい、疑問を多く含むような内容の場合はかなり怪しんだ方がいい。
サイバー犯罪者はメールで頻繁に失策を演じるが、それには理由がある。時には意図的に過去のスパムフィルターに引っ掛かり、レスポンスを改良させるために、賢明な受信者であれば引っ掛からないような内容をあえて使うこともあるのだ。
うわさによれば、中国の悪名高い「PLA Unit 61398」(*2)は、どれだけの人々が最悪のフィッシングメールに引っ掛かるのかをずっと監視しているという。
*2 編集部注 中国人民解放軍61398部隊の略号。中国のサイバー部隊と目されており、米国FBIはそのメンバーをサイバー犯罪の最重要容疑者として指名手配している。
4 脅威の告知と緊急対応の要求には細心の注意を払う
時に、評判の良い会社が、緊急に対策を行うことをユーザーに求めることがある。例えば2014年にイーベイは、データ侵害が起こった後に迅速にパスワードを変更するようユーザーに依頼した。
しかし、これは例外的な措置である。普通、脅威の告知と緊急対応の要求が、特に優良企業から「お願い」のような形で送られてくれば、フィッシング詐欺を疑うべきであろう。
こうした脅威の中には、罰金についての注意書きや、アカウントが閉鎖されないようにするためのアドバイスが含まれていることがある。こうした脅しには、慌てることなく信頼できる経路からその会社にコンタクトをとればいいだろう。
5 HTTPSを使い安全なWebブラウジングを
可能な限り安全なWebサイトを使うべきである(「https://」と示してあり、セキュリティの「鍵」のアイコンがアドレスバーに表示されている)。クレジットカードに含まれる情報のような秘匿情報をオンラインで提示するときには、特にそうだ。
公共の、安全ではないWi-Fiを銀行取引、買い物、個人情報の入力に用いるべきではない。便利さは安全性に優るものではない。もし疑わしいときにはWi-Fiをやめて3/4GあるいはLTEによる接続を使うべきである。
最後に、少し脇にそれるが、安全ではないWebサイトは直ちに特定しておくべきだ。例えばGoogleは、適切な保護を提供しないWebサイトを分類することにより、いつでも対策がとれるようにしている。