C言語やUNIXの研究開発で知られるブライアン・カーニハン氏は、「ウイルスやフィッシングの被害を防ぐには、その仕組みや手口をよく知らなければならない」と話しています。サイバー犯罪の巧妙化が進む今こそ、この言葉を真摯に受け止める必要があります。

そもそもフィッシング詐欺とは?

フィッシング詐欺の手口は、本物に見える偽の電子メールを作成し、1人または複数の個人や会社の従業員に送信するところから始まります。ハッカーの目的は、受信者をだまして不正なリンクや添付ファイルをクリックさせるか、詐欺サイトに誘導してログイン情報をだまし取ることです。成功すれば、防御機能を軽々と回避しながらネットワークへの侵入を果たし、事業資産や金融資産の入手が可能となります。

残念ながら、ハッカーがユーザをだます手口はますます巧妙化しています。Verizonの「2016 Data Breach Investigations Report」によると、フィッシング・メールの30%は開封され、そのうち12%のユーザは攻撃者の思惑通りに不正な添付ファイルやリンクをクリックしています。今年も私たちは相変わらずだまされ続けているのが実態で、次第に洗練されるその手口により、本物のメールと偽物の区別は今後ますます難しくなるでしょう。フィッシング詐欺の脅威にまだピンとこない場合は、次の調査結果もご覧ください。「SANS 2016 Threat Landscape study」によると、過去1年間でフィッシング攻撃が増加したと答えた企業は全体の68%に上っています。

セキュリティ・ソリューション・ベンダーや企業のIT部門は、そうした攻撃がユーザまで到達しないよう対策に取り組んでいますが、一部はどうしてもすり抜けてしまいます。自分自身や組織の安全を確保するには、フィッシングの兆候を察知できるように必要な知識を身に付けることが重要です。

フィッシング攻撃から身を守るには、何よりもまず「釣り針」に近づかないことです。以下のシンプルなアドバイスを参考にすれば、フィッシング詐欺の被害を防ぐことができます。

1. 送信者を確認する

知人が仕掛けてくるフィッシング詐欺はまずないため、電子メールの送信者確認は被害防止の第一歩です。電子メールを開封する前に、送信者が、定期的な連絡を交わす知人なのかどうかを必ず確認するようにしてください。15年以上ご無沙汰している人から、よくわからない内容の電子メールが突然届いた場合は注意が必要です。

まずは送信者の電子メール・アドレスを確認してください。英文字「O」の代わりに数字「0」が使われている、アドレスの途中に余計なピリオドやカンマが挿入されている、文字の順序がおかしい、アドレスに余計な文字が含まれている、など不自然な点はありませんか。不審なメール・アドレスはフィッシング・メールの兆候であり、知人からの送信とは考えにくいため注意する必要があります。

2. アドレス・リストを調べる

次に、複数の宛先が設定されていれば、その受信者を確認します。覚えがないアドレスばかりの場合、開封はお勧めできません。また、フィッシング攻撃は組織内の多くの人をターゲットにしている場合があります。他の受信者が同僚であってもその数が不自然に多く、お互いに関係があるとも思えない場合は注意してください。

3. 件名をチェックする

自分の役職と無関係の業務連絡を受信した場合も、用心する必要があります。まずは電子メールの件名を見て、自分に関係のある内容かどうかを確認します。自分宛てのメールにしては、その件名に違和感がありませんか? 送信した覚えのない電子メールの返信になっていませんか? このような場合はマルウェアの可能性があり、そうでなくともスパムである可能性は高いので絶対に開封しないでください。また、件名とメッセージの内容が一致しているかどうかも確認し、関連性がなければ疑ってかかるのが得策です。

4. タイミングに注意する

電子メールの送信時刻もチェックします。業務連絡にしては不審な時刻だった場合は、警戒する必要があります。海外ともやり取りはあるでしょうが、業務時間外に送られてきた電子メールにはリスクが潜んでいる可能性があるため、開封は避けてください。

5. 不審な添付ファイルやハイパーリンクには触れない

「不審な添付ファイルは開かない。不審なメールのハイパーリンクはクリックしない」。どちらも繰り返し言われている忠告ですが、それでもやってしまう場合があります。しかし、いくつか注意点を把握しておけば、このような失敗を防ぐことができます。まずは、ファイルの添付を予期していたか、そのファイルが業務で受け取るような形式であるかを確認します。違う場合は、開封しないでください。また、不自然なファイル名や、通常は使わない記号がファイル名に含まれている場合は、ファイルを開かず、リンクもクリックしない方が賢明です。

6. 不安を煽る内容に注意する

不安を煽る、驚かせる、または緊急を要する内容で、即座の対応を迫るような電子メールはフィッシング詐欺を疑う必要があります。「銀行口座の情報が漏洩したので、すぐにログインしてください」というような典型的なフィッシング・メールにだまされてはいけません。内容に信憑性がある場合は、電子メールのリンクをクリックせず銀行に直接電話するか、実際のWebサイトからログインしてください。どのような対応をとる場合でも、電子メールのリンク、URL、電話番号は無視するようにします。このような電子メールはまずフィッシング詐欺と考えて、最大限の注意を払う必要があります。

フィッシング攻撃をすべて阻止することはできませんが、電子メールの内容をチェックしてから対応することで阻止率を高めることは可能です。少しでも不審な点がある場合は、電子メールを開封しない、リンクをクリックしない、添付ファイルを開かないという心構えを思い出してください。マルウェアがパソコンや社内ネットワークに侵入するリスクを犯すより、疑わしい場合は社内のIT部門に連絡して確認してもらった方が得策です。以上6つのシンプルなアドバイスを順守すれば、フィッシング攻撃から自分自身と組織を効果的に守ることができます。