フィッシングメールとは？
見分け方とその対策を解説

今や電子メール、チャット、SNSなどのコミュニケーションツールはビジネスや日常生活で不可欠なものとなっています。しかし、それは犯罪者にとっても同じです。従来、リアルに行われていたさまざまな犯罪が、今ではインターネット上に場を移しつつあります。犯罪者もまた、こうしたツールを悪用する傾向が強まっています。

 

たとえば、闇バイトの勧誘や連絡には、メールやSNSなどのツールが利用されていることは皆さんもご存知でしょう。しかし、こうした犯罪に直接関係していなくても、私たちのもとに犯罪者の魔の手がさまざまな形で伸びてくる可能性があります。今回は犯罪者の手口の一つであるフィッシングについて考えてみます。

フィッシングというと「釣り」を思い浮かべますが、インターネットにおけるフィッシングは、さまざまな騙しのテクニックを使って、重要な情報を盗み取る手法です。被害者を魚に例えれば、犯罪者にとっては、まさに「釣り」なのです。その中でも、フィッシングメールは偽のメールで個人情報を盗む詐欺手口を指します。

 

フィッシングは、釣りのfishingとは異なり、phishingと書かれます。これは造語で、由来については諸説ありますが、筆者は電話（phone）と釣り（fishing）を掛け合わせたという説が好きです。インターネットが普及する前から、電話を使った詐欺行為は行われており、現在のフィッシング詐欺も、手法がインターネットに移っただけで本質的には同じだからです。そう考えると、この説には納得がいきます。

 

前置きはさておいて、現在のフィッシング攻撃についてお話ししましょう。一般的なフィッシングは、メールやチャット、SNSなどを通じて、悪意あるWebサイトに誘導し、情報を盗もうとする手口です。最もよく目にするのが、金融機関や証券会社などからの連絡を装ったメールやメッセージを送りつける手法です。メールやメッセージから、正規のウェブサイトに似せた不正なサイトに誘導し、ログイン画面でユーザ名とパスワード（アカウント情報）を入力させて、情報を盗み取ります。

 

以前は銀行などの金融機関がターゲットでした。しかし、多要素認証などの対策が進んだために、近年は、犯罪者にとってお金になるECサイトなどになりすまして行う攻撃も増えています。一方で、金融機関への攻撃がなくなったわけではありません。最近話題になった証券会社の不正アクセス事件でも、口座が乗っ取られた原因の多くがフィッシングによるパスワード漏えいだったと言われています。

 

フィッシングは、ビジネスを標的としたサイバー攻撃でも最初のステップとして多用されます。たとえば、会社のIT部門を装って社員にメールを送り、IDとパスワードを入力させて、社内システムのアカウント情報を盗みとろうとします。特に、近年ではクラウドサービスのアカウントや、テレワークで使用するVPNサーバのアカウントなどが狙われています。

 

さらに、フィッシングはアカウント情報を盗むだけでなく、誘導先のサイトでマルウェアに感染させるといった、直接的な攻撃が行われることもあります。このようなリスクもあるため、フィッシング対策は企業にとっても重要なセキュリティテーマの一つです。

 

もちろん、なりすまされたサイトや企業も手をこまぬいているわけではありません。ワンタイムパスワード（使い捨てのパスワード）やさまざまな本人確認手段を追加し、万一パスワードが盗まれても、悪用できないよう対策を進めています。

 

こうした複数の認証（本人確認）手段を組み合わせることを「多要素認証」と呼びます。金融機関の多くが、多要素認証を導入したため、フィッシングによる被害は一時、大きく減少しました。また、証券会社でも多要素認証の導入が進みつつあります。

 

しかし、犯罪者側でも、ワンタイムパスワードを入力させ、リアルタイムで有効期限内に悪用するといった手口が既に登場しています。そのため、多要素認証も完全な防御策とは言えなくなってきました。加えて、認証手順が複雑になり、利便性が下がるという懸念や、対策にかかるコストの問題もあります。こうした背景から、技術的な対策だけではどうしても限界が生じてしまいます。

 

フィッシングに使われるメールやウェブサイトは非常に巧妙で、一般の人が一目で見破るのはなかなか困難です。ただ、見分け方はありますので次で解説していきます。

 

たとえば、メール送信元のメールアドレス（ドメイン）が微妙に違っていたり、リンク先のURLが正規のサイトと微妙に異なっていたりするケースがあります。HTML形式のメールでは、表示するリンク先を偽装することも可能です。リンクをいきなりクリックせず、一旦リンクの上にマウスカーソルを置いて（マウスオーバー）見てください。すると、ブラウザの下部に本当のリンク先が表示されるので、それを確認すれば、不審なリンクを見破れます。

 

また、メールに記載されたリンクをクリックするのではなく、ブックマークしてあるサイトのリンクからアクセスするのもいい方法です。クリックする前に一度立ち止まって、良く確認する習慣が、不審メールを見分ける基本なのです。

 

ただ、犯罪者もリンクをクリックさせるためにメールの文面を工夫しています。よくあるのが、「あなたのアカウントに不正アクセスが確認されています。直ちに以下のリンクからアクセスしてパスワードを変更してください。」といった内容です。こうしたメールを受けると、慌ててリンクをクリックしてしまう人が少なくありません。同様に、「一定時間内にアクセスして措置しないと、アクセスが停止されます」といった文面もよく使われます。

 

 

フィッシングのターゲットは「人」です。そのため、技術的な対策だけでなく、教育や訓練など人を対象とした対策もバランスよく実施していくことが重要です。最近では、フィッシングへの耐性を高めるため、社員向けに訓練を実施する企業が増加しています。一般的には、社員に擬似的なフィッシングメールを配信し、リンクをクリックした場合に警告メッセージや注意喚起の情報を表示するような訓練が用いられています。

 

とはいえ、こうした訓練は慎重に行う必要があります。単にメール配信を繰り返すだけでは、社員が慣れてしまい、結果として、訓練の効果が薄れてしまう可能性があるからです。また、訓練の内容によっては、本当の業務メールまでも疑ってしまい、仕事に支障をきたすおそれも出てきます。

 

そもそもフィッシングメール訓練の目的は、不審なメールに騙されないための「知恵」をつけることです。まずは、不審なメールの見分け方について基本的なポイントを周知し、難易度の低いメールから段階的に慣らしていくことが重要です。一方で、必要以上に難易度を上げてしまうと、社員の不安を煽りかねないため、適切なレベルで訓練を実行する必要があります。

 

 

また、フィッシングをはじめとするセキュリティ上の脅威について、正しい知識を持ち、自らがその前線に立っているという意識を社員に持ってもらう必要があります。メール訓練はそうした意識向上のためのプロセスの一部にすぎません。メール訓練のみに頼るのではなく、さまざまな啓発教育を含めた、総合的な意識向上プログラムの実施が重要なのです。

 

最近では、こうした啓発教育とメール訓練などの基盤をクラウドから提供するサービスが出てきています。弊社が取り扱っている「KnowBe4」（ノウビフォー）は世界的に評価が高く、利用者も多いサービスです。さまざまなフィッシングや標的型攻撃メールのテンプレート、またその解説が用意されているほか、多言語対応の教育コンテンツも充実しているため、総合的なセキュリティ意識向上プログラムの構築に大きな力となります。

もちろん、どれだけ対策を重ねても、フィッシングに引っかかってしまう事故はゼロにできません。そのため、予防的な対策だけでなく、万が一の事態に備えた対応（インシデント対応）も必要です。特に、インシデント発生時の初動対応については、あらかじめ対応方針を定め、社員に周知しておく必要があるでしょう。

 

フィッシング対策に限らず、セキュリティ対策全体においては、技術的な対策だけでなく、人的・組織的な対策をもあわせて考慮することが重要です。さらに、予防に失敗した場合に備え、発見（報告）、対処、そして事後の復旧までを含めた総合的な対応をあらかじめ考えておく必要があります。フィッシングメール対策は、こうしたより大きなセキュリティ対策の一部だということを忘れないようにしましょう。

 

 

当社は、「KnowBe4」（ノウビフォー）というSaaS型のセキュリティトレーニングサービスの提供を通じて、企業における従業員のセキュリティ意識向上を支援しています。KnowBe4の詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください。

 

セキュリティ意識向上トレーニングプラットフォーム「KnowBe4」

https://security.dentsusoken.com/knowbe4/