フィッシング詐欺
フィッシング詐欺とは、実在する組織を騙って、パスワードなどの認証情報や、クレジットカード番号といった個人情報を詐取することです。尚、フィッシング(phishing)という言葉は、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
フィッシング詐欺には、金融機関などのWebサイトを模倣して設置された囮のサイト(フィシングサイト)が使われることが多く、正規サイトをアクセスしようとした利用者が、何らかの方法で誘導されてしまうことから被害が発生します。
- 電子メールやメッセージ機能でフィッシングサイトに誘導
偽りのメールなどで巧みにリンクをクリックさせ、あらかじめ用意した本物のサイトにそっくりな偽サイトに利用者を誘導し、クレジット情報などを入力させ盗み取る。
- SNSなどの情報でフィッシングサイトに誘導
SNSの投稿サイトにURLを記載してアクセスさせ誘導する。
- 表示されているURLを本物のURLに見せかけてアクセスさせる
電子メールやSNSに投稿されたURLを実在するURLに見間違えるように表示し誘導する。
フィッシング詐欺の対策は、フィッシング対策協議会から公開されており、Webサイトの運用者が行う対策と、利用者が行う対策で大きく分かれます。
Webサイト運用者が行う対策
事前対策
通常フィッシングメールは、Web サイト運営者の送信している正規メールの文面を模倣しているため、正規のメールと見分けることが重要です。
- メールには電子署名を付与する。
- 外部送信用メールサーバを送信ドメイン認証に対応させる。
- メールでは定型的な様式を用いる。
- メールはテキスト形式とする。
- 利用者に情報発信する手段および内容を周知する。
- SMSには国内直接接続の配信、またはRCS準拠サービスを利用する。
|
利用者が正規サイトを見分けられるようにする対策は以下になります。
- Web サイトの安全性を確保する。
- ユーザに提供するアプリケーションの安全性を確保する。
- Web サイトの正当性に係る情報を十分に提供する画面とする。
- 全てのページにサーバ証明書を導入する。
- 正規Web サイトのドメイン内設置サーバの安全性を確認する。
|
フィッシング詐欺被害を拡大させないための対策は以下になります。
- 利用者に端末を安全に保つよう注意を促す。
- 複数要素認証を要求する。
- 資産の移動に限度額を設定する。
- 資産の移動時に利用者に通知を行う。
- アクセス履歴の表示する。
- 通常とは異なるアクセスに対して追加のセキュリティを要求する。
- 登録情報を変更するページへの移動には再度認証を要求する。
- 重要情報の表示については制限を行う。
|
ドメイン名に関する配慮事項は以下になります。
- 利用者が認知している名称から連想されるドメイン名とする。
- 使用するドメイン名と用途の情報を利用者に周知する。
|
利用者への啓発活動としては以下になります。
- 利用者が実施すべきフィッシング対策啓発活動を行う。
- フィッシング発生時の利用者への連絡手段を整備する。
|
事後対策
フィッシング詐欺の被害が発生した場合などには、迅速にインシデント対応活動を実施することが必要です。
- フィッシング詐欺被害の発見
- フィッシング詐欺被害状況の把握
- フィッシング詐欺被害対応活動
・ フィッシングサイトテイクダウン活動
・ フィッシングメールに対する注意勧告
・ 関係機関への連絡、報道発表
- 生じたフィッシング詐欺被害の回復措置
- 再発防止の検討
フィッシング被害の発生を迅速に検知するための対策は以下になります。
- Web サイトに対する不審なアクセスを監視する。
- フィッシング検知に有効なサービスを活用する。
- DMARCレポートやバウンスメールを監視する。
|
組織的なインシデント対応体制の整備する際の注意点は以下になります。
- フィッシング詐欺対応に必要な機能を備えた組織編制とする。
- フィッシング詐欺に関する報告窓口を設ける。
- フィッシング詐欺発生時の行動計画を策定する。
- フィッシング詐欺および対策に関わる最新の情報を収集する。
- フィッシングサイト閉鎖体制の整備をしておくこと。
|
Webサイト利用者が行う対策
フィッシング詐欺では、Webサイト運営者はコンテンツを複製されますが、詐欺行為自体にはほとんど関与できません。そのため、フィッシング詐欺の対策は、より利用者側が重要になります。
利用者が気付かないで犯してしまう間違いには以下のものがあります。
- フィッシングメール中のリンクを正規リンクと間違える。
- フィッシングサイトを正規サイトと間違える。
- フィッシングサイトの情報入力ページを正規ページと間違える。
|
このため、フィッシング対策協議会では「被害にあわないための5ヶ条」を定めて公開しています。
- パソコンやモバイル端末を安全に保つ。
- 不審なメールに注意する。
- 電子メールにあるリンクはクリックしない。
- 不審なメールやサイトは報告する。
- 銀行やクレジットカード会社の連絡先リストを作る。
|
事前対策
パソコンやモバイル端末の安全に保つための対策は以下になります。
- ソフトウエアは信頼できるサイトからインストールする。
- 最新のソフトウエアを利用する。
- セキュリティ対策ソフトウエアの機能を理解し適切に用いる。
|
不審なメールを見分ける注意点は以下になります。
- 個人情報の入力を求めるメールを信用しない。
- メールに記載される差出人名称は信用しない。
- 怪しいメールの判断基準を知る。
- 安全なメールサーバやフィッシングメール判別機能を活用する。
- 正規メールかどうか確認する。
|
電子メールにあるリンクをクリックする際の注意点は以下になります。
- 正しい URL を確認する。
- 電子メール本文中のリンクには原則としてアクセスしない。
- 錠前マークを確認する。
|
アカウント情報の管理に関する対策は以下になります。
- アカウントIDとパスワードはWeb サイト運営者別に設定する。
- 十分な強度のパスワードを設定する。
- アカウント管理ソフトウエアを導入する。
- 全てのアカウントについて緊急連絡先を把握する。
|
事後対策
利用者がフィッシング詐欺被害を受けたことに気が付くきっかけには次のものがあります。
- 正規サイトに機密情報を入力した際に不審な挙動が見られた。
(期待した手続き画面に進まなかったなど)
- 正規サイトにID/パスワードを入力したがエラーが出てログインできなかった。
(攻撃者にパスワードを変更されていた)
- クレジットカードの利用明細や金融機関の通帳に覚えのない取引が記載されていた。
(口座番号、暗証番号などが詐取されていた)
|
このような不審な現象が起きた場合には、被害を最小限に抑え、2次被害を防止するために、以
下のような緊急対応を行う必要があります。
IT
マネジメント、セキュリティ、ネットワーク、システム
散策路TOP
数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
