フィッシングを識別し、自分自身を守る
電子メールに目を通しているときに、ソーシャル メディア アカウントの 1 つからアラートのようなものが確認されたとしましょう。 すべてが公式のもののように思われます。 アカウントにサインインして、連絡先情報が正しいことを確認するように求めています。 メール内のリンクをクリックして、自分のアカウントのように思われるものにサインインします。
残念ながら、その瞬間、攻撃者はあなたのアカウントのサインイン情報を盗むことに成功しました。
このメールベースの "ソーシャル エンジニアリング" 手法は、"フィッシング" と呼ばれています。 攻撃者はこの手法を頻繁に使用しており、毎年 10 億通を超えるフィッシング詐欺メールが送信されています。
フィッシングと、被害者にならないように自分自身を守る方法を詳しく見ていきましょう。
フィッシングとは
フィッシング詐欺メールは、受信者を納得させて次の 2 つのいずれかを実行させるために作成されます。
- リンクをクリックして、危険な Web ページにアクセスする。
- 危険なプログラムを実行する添付ファイルを開く。
Note
このトレーニングでは、"リンクをクリックする" という用語は、マウスでリンクをクリックする、携帯電話でリンクをタップする、または他の種類の補助デバイスやその他のデバイスを使用してリンクをアクティブ化することを表すために使用されます。
最も一般的なフィッシングの目標の 1 つは、ユーザー名やパスワードなどの個人情報を収集することです。 攻撃者は成功すると、盗んだ情報を使用して、アカウントや、その同じユーザー名とパスワードを使用している他のアカウントにアクセスします。
もう 1 つの一般的なフィッシングの目標は、"マルウェア" と呼ばれる悪意のあるソフトウェアを配信することです。 これらの危険な添付ファイルの 1 つを開くと、コンピューターに害を及ぼすプログラムが実行される危険性があります。 そのようなプログラムは、身代金を支払わない限り、コンピューターからあなたを締め出す場合さえあります。 このマルウェアは、"ランサムウェア" と呼ばれています。
フィッシングは、インターネット上の最も一般的な脅威の 1 つです。 2019 年だけでも、FBI のインターネット犯罪苦情センター (IC3) の報告によると、450,000 件以上の苦情が寄せられ、個人と企業が被った損失額は 35 億ドルを超えました。 このデータは、実際の事件のほんの一部を表したものにすぎません。 言い換えると、フィッシングは、犯罪者があなたのデータを盗むための一般的で成功率の高い方法です。
フィッシングがこれほど頻繁に発生する理由
フィッシングでは、信ぴょう性のある内容が伝えられます。 攻撃者は、1990 年代に最初のフィッシング詐欺メールが送信されて以来、同じ手法を使用しています。 彼らは、人の良さや助けたいという気持ち、問題を解決したいという気持ちに付け込もうとします。
攻撃者は、どんな感情が人を動かすかを知っています。 たとえば、緊急を要する内容を伝えて、リンクをクリックするように促すメールを送信する場合があります。 一般的な例の 1 つは、口座が閉鎖されたことを伝えるメールです。 これは一見深刻なことのように思えるかもしれませんが、ほとんどの企業は、何の警告もなく口座を閉鎖し、それを伝えるメールを送信することはないので注意してください。
もう 1 つの一般的な手法は、できすぎていて信じられないような内容を伝えることです。 攻撃者は、あなたが賞を獲得したこと、または多額のお金を運用する必要があることを伝えます。
攻撃者が利用する他の一般的な手法の 1 つは、あなたの好奇心に付け込むことです。 たとえば、偽の仕事の依頼、古くからの友人のなりすまし、偽の非営利団体のための支援要請などがあります。
自分自身を守るためにできること
まず、フィッシングを識別しましょう。 次のビデオでは、フィッシング詐欺の可能性のあるメールの見分け方とそれに対処する方法に関するガイダンスを行います。
ここでは、フィッシング攻撃の一般的な特徴をいくつか紹介します。
- 添付ファイル: メールに予期しないファイルが添付されている場合、フィッシングの可能性があり、その添付ファイルは危険なものかもしれません。
- 見慣れないハイパーリンク: メールに含まれるリンクには注意が必要です。 リンクにカーソルを合わせて、リンク先が奇妙な場合は、危険な Web サイトの可能性があります。 Web サイトは正規のもののように見えるかもしれませんが、ログイン情報を取得したり、マルウェアを実行したりすることを目的としている可能性があります。
- 緊急: "今すぐ" 何かをする必要があるという内容のメッセージの場合、フィッシング詐欺メールの可能性があります。 忘れないでください。通常、銀行は、何の警告もなく、口座の取り消しに関する件名でメールを送信してくることはありません。
- 間違ったスペルや文法: 多くの場合、フィッシング詐欺メールには、普通とは異なる文面、綴りの間違い、文法エラーが非常に多く見られます。 電子メールが疑わしいと思われる場合は、その電子メールとのやり取りを避ける必要があります。
- 偽の送信者: 見慣れないメール アドレスや知らない人からのメールである場合、フィッシング詐欺メールとして扱う必要があります。
次のメール例には、これらのすべての特徴が含まれています。
フィッシング詐欺メールを識別できるようになり、リンクをクリックしたり、添付ファイルを開けたりしてはならないことがわかったので、他に何ができるかについて説明しましょう。 ご利用のメール アプリケーションや Web サイトには、おそらく、"フィッシングの報告" 機能があると思います。 この機能を使用すると、メール プロバイダーに通知され、今後同様のメールが送信されるのを防止することができます。 当然、フィッシング詐欺メールを削除することもできます。
友人や家族からのメールかどうかが不確かな場合も、リンクをクリックしたり、添付ファイルを開けたりする必要はありません。 電話をかけるか、テキスト メッセージを送信して、何かを送信したかどうかを確認することができます。
すべてのメールに不信感を抱く必要はありませんが、見慣れないものや不審なものには細心の注意を払う必要があります。 フィッシングの兆候に気づいた場合は、それを報告し、削除する以外は、そのメールに何もしないことを覚えておいてください。