本文
フィッシング対策
フィッシングとは
実在のサービスや企業、官公庁等をかたり、偽の電子メールやSMSを送付し、偽サイト(フィッシングサイト)に誘導した上で、IDやパスワード、クレジットカード番号等の情報を窃取したり、マルウェアに感染させたりする手口です。
【情報が盗まれた場合】
・ IDを乗っ取られて不正送金される
・ インターネット通信販売サイト等でクレジットカードを不正利用される
【マルウェアに感染した場合】
・ スマートフォンに保存している電話帳等の情報が盗まれる
・ 自分のスマートフォンがフィッシングSMSの発信源になってしまう
場合があります。
<入力を求められる情報の例>
・ 金融機関の口座番号、クレジットカード番号、暗証番号(ワンタイムパスワード、乱数表の番号等)
・ 住所、氏名、電話番号、生年月日
・ 電子メール、インターネットバンキング、SNSアカウント等のID、パスワード等
・ 運転免許証、マイナンバーカード、乱数表等の画像情報
フィッシングの手口
フィッシングサイトに誘導する
・ 携帯電話会社、宅配業者、金融機関等をかたって電子メールやSMSを送信し、本物そっくりの偽サイト(フィッシングサイト)に誘導する
・ 検索サイトの広告から誘引する方法
など様々な誘導方法が確認されています。
<電子メール等の文面例>
・ あなたのアカウントに不正アクセスがありました。至急以下のサイトからアクセスしてログインしてください。ログインしないとあなたのアカウントは安全のため失効します。
・ お客さまのアカウントは○○サービスを更新できませんでした。カードが期限切れになった可能性があります。
※ 最新の手口については、「フィッシング対策協議会~フィッシングに関するニュース」(https://www.antiphishing.jp/news/)<外部リンク>を参考にしてください。
送信元情報を偽装する
電子メールは、受信者から見える
・ 送信元名称
・ 送信元メールアドレス
を変更することが容易であるため、実在の企業等になりすますことができます。
※ メールソフトに表示される「送信元名称」や「送信元メールアドレス」だけを見てメールの真偽を判断することは困難です。
フィッシングの被害に遭ったら
サービス提供会社に相談する
【不正送金の被害に遭った場合】
・ 金融機関
【クレジットカードの不正利用の被害に遭った場合】
・ クレジットカード会社
など、被害に遭ったサービスを提供している会社に相談してください。
【不正送金への対応】
・ 一般社団法人全国銀行協会
金融犯罪に遭った場合のご相談・連絡先(https://www.zenginkyo.or.jp/hanzai/information/)<外部リンク>
パスワード等を変更する
フィッシングサイト等に普段から利用しているIDやパスワード等を入力してしまった場合は、そのIDやパスワード等を利用している全てのサービスにおいて、パスワード等を速やかに変更してください。
【変更できない場合】
・ サービス等を提供している会社等に連絡する
関係資料等を保存する
次の内容等の資料を保存・記録してください。
・ フィッシングメールのメールアドレス
・ メールの文面
・ フィッシングサイトのURL
・ 保存した通信ログ
警察に通報・相談する
フィッシングの被害に遭った場合は、最寄りの警察署又はサイバー事案に関する通報等の統一的な受付窓口に通報・相談してください。
警察署の一覧
なお、事前に電話で担当者と日時や持参する資料の調整をしていただくと対応がスムーズに進みます。
サイバー事案に関する通報等の統一的な受付窓口<外部リンク>
被害防止対策
・ 電子メールやSMS内のリンクを安易にクリックしない
・ あらかじめ公式サイトを「お気に入り」や「ブックマーク」に登録する
・ 公式アプリを活用するなどして正しいサイトに接続する
※ 金融機関が、ID、パスワード等をメールやSMSで問い合わせることはありません。
パソコンやスマートフォンを安全に保つ
OSやアプリ、ソフトウェアのぜい弱性や不具合を悪用し、広告などからフィッシングサイトに誘導される場合があるので、OSやアプリ、ソフトウェアのアップデートを行い安全な状態に保ってください。
携帯電話会社などが提供するセキュリティ設定を活用する
携帯電話会社などが提供する迷惑メッセージブロック機能などを活用する。
IDパスワードの使いまわしはしない
複数のサイトで同じID、パスワードを登録していると、一つでもID、パスワードを盗まれたら、銀行やインターネット通信販売サービスなど全てのサービスが乗っ取られる被害に遭ってしまうため
・ ID、パスワードはサイトごとに違うものを登録する
ワンタイムパスワード等を活用する
銀行やインターネット通信販売サービスでは、パスワードに加え、メールやSMSに通知されるワンタイムパスワードを入力しなければログインすることができないサービス(ワンタイムパスワードサービス)が提供されています。
・ ワンタイムパスワードサービス
・ 指紋や顔認証などの認証
を活用するとより安全です。
情報セキュリティ関連事業者等への通報
被害の拡大防止のため、フィッシングサイトのURL等の情報を情報セキュリティ関連事業者等に通報し提供する。
・ インターネットホットラインセンター(IHC)(https://www.internethotline.jp/)<外部リンク>
情報セキュリティ関連事業者等へ提供
・ フィッシング対策協議会(https://www.antiphishing.jp/)<外部リンク>
法執行機関(警察等)及び関係組織(騙られた被害組織等)へ提供
事業者における対策
フィッシングサイトへは、企業の本物のメールアドレスになりすましたメールで誘導するケースも確認されています。
事業者にあっては、自社のドメインの悪用を防止する観点で以下の主な『送信ドメイン認証技術』の導入をご検討ください。
・ SPF:メール送信元IPアドレスの妥当性を認証するもの
・ DKIM:電子署名を検証することで認証するもの
・ DMARC:SPFとDKIMを組み合わせたもの
DMARCは、認証に失敗したメールの取扱いを送信側で指定でき、「なりすまされているメールは受け取らない」といった強いポリシーを受信側に実施させることができるようになります。
DMARCを含めた送信ドメイン認証については、「迷惑メール対策推進協議会~送信ドメイン認証技術導入マニュアル」(https://www.dekyo.or.jp/soudan/aspc/report.html)<外部リンク>を参考
参考リンク
・ 一般財団法人日本サイバー犯罪対策センター(JC3)(https://www.jc3.or.jp/)<外部リンク>
・ 一般社団法人日本クレジット協会(https://www.j-credit.or.jp/customer/attention/attention_02.html)<外部リンク>
・ 一般社団法人日本クレジット協会(https://www.j-credit.or.jp/customer/security-movie/#block01)<外部リンク>