セキュリティをゆる~く学ぶ!「茂礼手課長のNO MOREな一日」第3回 ~フィッシングメール編~
『布施木君、僕のECサイトのアカウントがロックされたぞ』
茂礼手課長と呼ばれている。なにかとやらかしては、布施木君に注意される。
布施木君と呼ばれている。なんだかんだと茂礼手課長をサポート。
■ある日のオフィスにて
■「利用者の脆弱性」をついた詐欺行為が蔓延している
茂礼手課長は、フィッシングメールを受信して偽サイトでID・パスワードを入力してしまった可能性が高いようです。
利用者の多いECサイトやチャットサービス、仮想通貨サービスや金融機関などをかたるフィッシング詐欺が数多く報じられています。独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」でも、フィッシングは「インターネットバンキングやクレジットカード情報の不正利用」という名目で、個人の脅威で第1位、組織の脅威で第10位にランクインしています。
最近では、AmazonやApple、LINEといった知名度の高いブランドをかたり「あなたのアカウントが、利用規約に違反する購入に使用されているため、アカウントをロックした」として、ロックを解除するためにリンクをクリックするよう促したり、「アカウントのパスワードが簡単で安全に問題がある」として、アカウントの安全性を高めるために、パスワードを再設定するよう促す手口などが確認されています。
リンクをクリックすると、本物そっくりのフィッシングサイトに誘導され、ECサイトやネットバンキングなどのログイン情報(IDやパスワード)、が盗み出される可能性があります。
差出人のアドレスは、本文のドメインに似たアドレスから送るケースがあり、一見すると本物と見分けがつきにくくなっている上、メールの文面も、日本語に違和感がなくなってきています。さらに、偽サイトは本物そっくりに作ってあり、サイトの見た目だけで見分けるのはほぼ不可能です。
IDとパスワード、ネットバンキングの認証情報といった情報は、本人であることを証明する大切な情報です。これが他人に知られれば、自分の口座の預金を勝手に第三者の口座に送金されるかもしれません。また、企業システムの認証情報が漏れれば、社内ネットワークに不正に侵入され、重要情報が外部に盗み出されるかもしれないのです。
こうした被害を未然に防ぐためには、パスワードの設定を見直し、「強い」パスワードにすることや、同じパスワードを使い回さないという対策を行うことが大事です。
そして、「メールに記載されたURLは閲覧しない」「個人情報の入力を求めるメールは疑ってかかる」、また「アクセスしたサイトが本物かどうかアドレスバーのドメイン名を目視確認する」といった基本的なフィッシング対策を行うようにしましょう。
ID・パスワードの設定方法や、フィッシングに関する注意点については、以下の「セキュリティ7つの習慣・20の事例」も参照してください。
・習慣3「ID・パスワードを強くしましょう」
・習慣4「知らない人からのメール・LINE、チャットに注意しましょう」
・習慣7「万が一、何か起きたときは早めに連絡、早めに相談しましょう」
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。