フィッシングメールとは？
詐欺の手口や対処法・防止策まで徹底解説

フィッシングメールとは何か

フィッシングメールとは、送信者を詐称するなどした偽の電子メールを送信し、公式サイトを模倣した偽サイトに誘導するメールのことをいいます。
具体的には、金融機関やクレジットカード会社を装って偽サイトに誘導します。フィッシングメールの目的は、偽サイトに誘導し、クレジット番号やユーザID、パスワードなど、情報を盗み出すことです。

ちなみに、「フィッシング」という言葉のつづりは、「Phishing」です。これは、魚釣りを意味する「Fishing」と、洗練を意味する「Sophisticated」を組み合わせた造語だと考えられています。

スパムメールとの違い

フィッシングメールとスパムメールはどちらも「迷惑メール」なので混同しがちですが、定義が少し異なります。
スパムメールは広告付きメールで、無差別に送られてくるものです。
一方、フィッシングメールはメールを使った詐欺のことを指します。
両者の違いは目的です。スパムメールの目的は広告や宣伝なのに対し、フィッシングメールの目的は何らかの詐欺行為です。
しかし今後、フィッシングメールとスパムメールを組み合わせた攻撃が出てくる可能性もあるので、スパムメールも注意して処理する必要があります。

フィッシングメールの現状について

フィッシングメールは年々被害が増加し、偽メール、偽サイトのつくりも巧妙化しています。また、かつてはパソコン被害が一般的でしたが、最近ではスマートフォンでの被害も増えているのが実情です。

フィッシング対策協議会が公表しているデータによると、フィッシング被害の報告件数は、2019年は55,787件、2020年は224,676件、2021年は526,504件と年々増えています。2020年に急激に増え、2021年は前年より倍以上増加しているのです。このことからもわかるように、フィッシングメールの脅威は年々増加しています。

フィッシングメールの主な手口と被害事例

フィッシングメールの手口は主に4つあります。それぞれの手口の内容と被害事例を確認していきましょう。

IDやパスワードの変更

「サインインが行われました。心当たりがない場合はパスワードをリセットしてください」 といったメールを送り、ID・パスワード変更の催促をしてくる手口です。メール本文には、リンクが貼られており、クリックするとまるで本物のようなホームページに飛びます。
このホームページでIDやパスワードなどを入力すると、それらの情報が攻撃者の手に渡ってしまうのです。結果、アカウント乗っ取り、クレジットカード不正利用などの被害に遭います。

購入確認

ECサイトで商品を購入した際に「購入確認メール」や「商品発送のお知らせ」が送られてきます。これらのメールを装うのもフィッシングメールの手口のひとつです。
多くの人が商品を購入したことに身に覚えがないため、購入をキャンセルしようとメール本文にある「キャンセルはこちら」をクリックしてしまいます。そうすると、クレジットカードやECサイトで利用するID・パスワードの入力を促すページに飛び、入力してしまうことでID・パスワードはもちろんのこと、登録しているクレジットカード情報なども盗まれてしまいます。

不在通知

宅配便の不在通知を装うフィッシングメールは、昨今見かけるようになった手口です。 この手口はパソコンへのメールではなく、スマートフォンのSMSでよく見られます。
一般的には、「荷物を届けましたが不在でした。リンクを確認してください」といったメッセージが届き、リンクをクリックすると、金融機関などの偽サイトに飛んだり、不正アプリがダウンロードされたりします。結果的に、個人情報が盗まれる被害に繋がります。

サイトへの誘導

これまでの手口では、金融機関やECサイトの偽サイトへ誘導するものでしたが、これら以外の偽サイトへ誘導する手口もあります。
たとえば、新型コロナウイルスに関する給付金に関する地方自治体を装った偽サイトや、企業ホームページにそっくりな偽サイトなどに誘導し、アカウント情報（ユーザID、パスワードなど）、クレジットカード番号、暗証番号などを入力させて情報を盗み、本人になりすまして不正な取引を行う被害事例も増えてきています。

フィッシングメールを開いてしまった場合の対処法

もし、フィッシングメールを開いてしまった場合には、どのような対処をすればよいのでしょうか。対処法を解説していきます。

銀行口座の場合

攻撃者によって銀行口座のお金が不正に引き出された場合、個人口座であれば「預貯金者保護法」に基づいて銀行が被害金額を補償します。
流れとしては、「契約している銀行のヘルプデスク・相談ダイヤルに連絡」、「お住まいの地区の都道府県警察に連絡し、被害状況の相談」を行いましょう。

クレジットカードの場合

クレジットカードの情報を入力してしまった場合には、すぐにクレジットカード会社に連絡し、クレジットカードの利用を停止してください。
なお、クレジットカード会社は不正利用分を補償します。ただしこれには期限があり、不正利用日から61日を超えた分については補償適用外となるので注意しましょう。

IDやパスワードの場合

IDやパスワードを入力してしまった場合には、該当するサービスのホームページにアクセスし、パスワードを変更するようにしましょう。
Googleのようなログイン端末の管理ができるものは、ログイン状態を一旦すべて解除してください。念のため、SNSに連携したアプリも解除しておきましょう。

フィッシングメールの被害を防ぐためにできる対策

フィッシングメールの被害を防ぐためには、あらかじめ対策を立てておく事が重要です。ここでは、フィッシングメールへの対策方法を紹介します。

疑う意識や真偽の確認

まずは送られてきたメールに疑う意識をもったり、真偽の確認をする習慣をつけましょう。
フィッシングメールは、何らかの理由をつけて被害者にIDやパスワード、クレジットカード番号といった特定の情報を入力させるように仕向けます。
もし、このような内容のメールが届いた場合には、次のようなことを確認しましょう。

• ・メールに書かれてる内容の真偽
• ・真偽がわからない場合は、検索サイトで同様のメールが送られてきている事例がないか確認
• ・検索サイトでメールの送信元となっている公式ホームページにいき、記載された内容を窓口に問い合わせ、事実確認をとる
• ・警察や消費者生活センターに相談する　　　など

クリックしない

送られてきたメールにリンクが貼られていたり、ファイルが添付されている場合がありますが、安易にクリックしないようにしてください。これは、普段からやり取りのある送信元やSMSであってもです。
クリックしなければ被害にあうことはほとんどありません。
メールを不審に思ったり、違和感を感じたら、情報システム部門やセキュリティ担当部門に相談してください。また、正しい連絡先を確認した上で電話やメールで問い合わせるのも良いでしょう。

二段階認証

本人確認の際は、二段階認証を利用するようにしてください。この二段階認証とは、第一段階でIDやパスワードを入力、第二段階で別の手段を使って本人確認する認証方法のことをいいます。
万が一、IDやパスワードが攻撃者に把握されていたとしても、二段階認証を利用していればログインできません。

OSのアップデート

OSやソフト、アプリケーションのアップデートをし、脆弱性を放置しないようにしましょう。脆弱性が残された状態でデバイスを利用すると、フィッシングメールの被害だけでなく、不正アクセスに利用されたり、ウイルスに感染する恐れもあります。
日頃から脆弱性情報を確認し、OS、ソフト、アプリケーションのアップデート、開発元が提供するセキュリティパッチの適用を行うようにしてください。

セキュリティソフトやシステムの導入

フィッシングメールに対応したセキュリティソフトやシステムの導入も対策のひとつです。
こういった製品では、フィッシングメールをはじめとした迷惑メールをブロックしたり、データベースに蓄積された情報や正規サイトを比較して、フィッシングサイトかどうかを判断し、ブロックする機能などを備えています。

返信しない

フィッシングメールに返信するのは絶対にやめましょう。住所や電話番号、クレジットカード情報などの重要な情報を安易にメールで返信してしまえば、攻撃者の格好の餌食となってしまいます。
また、「ソーシャルエンジニアリング」と呼ばれるサイバー攻撃では、知人や関係者になりすまして、特定のターゲットから重要情報を聞き出すといった手口もあります。この攻撃では、情報漏えいのリスクが非常に高いので、十分な注意が必要です。

フィッシングメール対策の相談はNECフィールディングへ

NECフィールディングには、「標的型攻撃メール対応訓練サービス」があります。
このサービスでは、メールを偽装した標的型攻撃メールを従業員に送信する疑似体験訓練を実施し、ファイルメール開封状況と標的型攻撃メールへの対応のポイントについて報告します。
訓練を実施することで、従業員の方々へ注意喚起を行っていただき、セキュリティ意識の向上が図れるサービスです。「従業員が標的型攻撃メールの脅威を理解してくれない」「危険な添付ファイルかどうか識別できない」という課題を抱えているのであれば、NECフィールディングにぜひご相談ください。

「標的型攻撃メール対応訓練サービス」はこちら