セキュリティの
学び場

今回の解説ニュース

厚生労働省の名をかたったフィッシングメールが確認されているということです。社会的なイベントに便乗したフィッシング攻撃の傾向と対策について説明します。

フィッシングメールの内容について、厚生労働省をかたる「【重要】新しいコロナウイルスの発生の予防と管理」という件名で、本文に書かれたリンク先のフィッシングサイトには、氏名、緊急連絡電話、証明書写真、コロナウイルス関連の症状、 現在の体温、ワクチン接種の状況等の入力を求めるフォームが表示されるということです。

フィッシングに関する情報収集・提供、注意喚起等の活動をするフィッシング対策協議会は、情報を入力したりアップロードしたりしないように注意を呼び掛けているということです。また、メール以外にSMSについても同様に注意することと、政府機関のWebサイトはドメイン名の末尾が「.go.jp」であるか確認するよう呼び掛けています。

社会的なイベント時には、フィッシング被害は増加する？

社会的に大きなイベントが発生すると、それに便乗したフィッシング被害は増加する傾向にあります。過去に発生したフィッシング攻撃の事例も振り返りながら説明します。

2020年後半に、総務省をかたる「二回目特別定額給付金の特設サイトを開設しました」という件名のフィッシングメールが確認されています。フィッシングサイトには、氏名、生年月日、住所など個人に関する情報に加え、身分証明書やキャッシュカードなどの画像をアップロードするフォームが表示されるということです。

社会的なイベントがなくても、クレジットカード会社や銀行など、金融機関をかたるフィッシングメールは定常的に多く発生しています。フィッシングサイトでは利用状況などを確認する名目で、会員情報や暗証番号などを入力させるフォームが表示されるということです。

その他にも、Amazon、Apple、LINEなどをかたるフィッシングメールが確認されていますが、総じて、暗証番号やパスワードの入力を求めるWebサイトへ誘導するメールに対しては、フィッシング攻撃を疑ってよいかもしれません。

フィッシング攻撃の被害を受けない為にとるべき対策

フィッシング攻撃の被害を受けないための対策として、フィッシング対策協議会が公開する「利用者向けフィッシング詐欺対策ガイドライン」の今すぐできるフィッシング対策から、特に有効と考えられる「正しいURLにアクセスする」方法について説明します。

• 正しいドメイン名を確認してブックマークに登録すること
• 初回アクセス時はURLを目視で確認して、直接入力することが推奨されています。特に政府機関はドメイン名の末尾が.go.jpと書かれていますので、ドメイン名をしっかり確認してからアクセスすることが重要です。
• メール中のリンクはクリックしないこと
• メールのリンクをクリックする場合、目視で確認できるURLと実際に表示されるWebサイトが異なる場合があります。また、メール以外にもSMSなどで同様の攻撃が確認されているので注意が必要です。
• 本来のWebサイトであるかどうかを確認すること
• フィッシングサイトは本物とそっくりに作られており見分けることは困難であるため、ここでもドメイン名が正しいかどうかを確認することが有効とされています。証明書を確認することができる場合は、Webサイトを運営している組織の名称になっているかどうかを確認します。
• モバイル端末向けの注意事項
• スマートフォンでWebサイトへアクセスする場合、アプリなどの仕様でURLがすべて表示されない場合があります。正しい公式アプリやブックマークからアクセスする場合を除いて、URLが確認できない状態で重要な情報を入力することは避けた方がいいかもしれません。

社会的なイベントに便乗して、人の弱みに付け込んだ許せないサイバー攻撃ですが、フィッシング攻撃の被害にあわないよう、上記を参考に対策していただければ幸いです。