大手ECなどかたるフィッシングメール、1年で5倍に 被害に遭わないためには?
大手ECサイトなどをかたるフィッシングメールが1年で5倍近く急増している。被害に遭わないためには何ができるのか、専門家に聞いた。
Amazonや楽天などをかたるフィッシングメールが急増している。フィッシング詐欺に関する情報を収集・発信している「フィッシング対策協議会」によると、報告数は2020年1月が6653件だったのに対し、12月には3万2171件と1年で5倍近く増加しているという。同協議会の吉岡道明さん(シニアアナリスト)は、原因としてコロナ禍に伴う在宅勤務の広まりやECサイトの利用増が考えられると話す。
「報告のあったメールはユーザー規模の多いAmazon.comやAmazon.co.jpをかたるものが最多。楽天も含めるとECサイト絡みの報告件数のほとんどを占める」
フィッシングメールを送る側も、送信数を増やすために新たな手口を採用した可能性がある。吉岡さんはメールの報告件数が増えた背景をこう分析する。
「フィッシングメールの種類はあまり増えていないが、(1種類あたりの)送信の頻度が以前よりも増えている。送信者たちの間でフィッシングサイトの制作やメール送信を自動化するツールが出回り、作業が効率化されている可能性がある」
新たな手口で数を増やすフィッシングメール。では、被害にあわないためにはどんな点に注意すればいいのだろうか。
フィッシング詐欺に遭わないためには
吉岡さんはまず、アドレスバーの「鍵マーク」に注意を配るべきと話す。通信の暗号化に対応し、サーバ証明書を取得しているサイトは、アドレスバーに鍵のマークを表示している。そのため、ネット上ではかつて「鍵マークがあれば安心」といわれていた。
しかし、昨今はフィッシングサイトがサーバ証明書を取得している例もみられるという。つまり、鍵マークがあるからといって安全な保証はない。正規の組織が運営しているサイトかどうかを確認するためには、鍵マークを実際にクリックし、サーバ証明書の内容を確認する必要がある。
吉岡さんは「個人情報やクレジットカード情報や口座番号等の入力を促すメールやサイトは疑ってほしい」とも話す。正規のECサイトや金融機関が、本人確認と称して個人情報の入力を促すことは基本的にないという。
SMSを使ったフィッシング「スミッシング」にも注意が必要だ。「070」「080」「090」がついた見知らぬ電話番号から届く不在通知や料金請求などのメッセージは、プリペイド携帯電話や、不正なアプリをインストールして踏み台になった携帯から送られたメッセージの可能性があるという。
ただし海外の携帯事業者の中には、SMSの送信者名に文字列を指定できるサービスを提供している企業もある。このサービスを悪用し、送信者名を「Amazon」などと偽るフィッシングメールもあるという。そういった場合は、文面を見て判断するしかないと吉岡さんは話す。
一方でAmazon.comをかたるメールの真贋は、Amazonの公式サイトを使って確認できるという。Amazonは、ユーザーに送信したメールを公式サイト上でも提供する「メッセージセンター」というサービスを提供している。
万が一Amazon.comをかたるメールを受信し、本物かどうか区別がつかない場合、メッセージセンターを確認することで見分けやすくなる。ただし少しでも不審な点があれば、油断せずメールを削除するなどの対応を取る必要がある。
手を変え品を変え送り続けられるフィッシングメール。吉岡さんは「フィッシング詐欺は今後も行われ続ける。しかしどんな会社やブランドをかたるフィッシングが行われるかの予測は難しい」と話す。そのためフィッシングメールや偽サイトを見つけた場合は、正規の事業者やフィッシング対策協議会の窓口に連絡して欲しいとしている。
関連記事
- コロナ禍で増加する不正ログイン 2021年に狙われる業界は?
2020年に公表されたサイバー被害の傾向などから、世界と国内で起きたWeb攻撃からその背景や狙いを読み取り、2021年に取るべき重点対策を考えていく。今回は、その中でも昨年顕著な伸びを見せた、成り済ましによる不正ログイン攻撃について取り上げる。 - SMSで届く詐欺メッセージ「スミッシング」被害が右肩上がりに その巧妙な手口とは
SMSを使ったフィッシング詐欺「スミッシング」の被害が右肩上がりで増えている。セキュリティ対策がほぼないSMSの弱みとマルウェアなどによる攻撃が組み合わさり、手口が巧妙化しているという。 - 「セキュリティと利便性はトレードオフ」はウソ? 生体認証とゼロトラストセキュリティ
例えばClubhouseでは連絡先へのアクセスが求められますが、それでいいのでしょうか? - パスワード使い回しは危険、ならば「今日からできること」を考えよう
ITセキュリティについて、今できることを考える連載、第2回は「パスワードの使い回し」問題について。 - Amazonを装ったフィッシング詐欺に注意 1億円以上だまし取られたケースも……カスペルスキーが手口をまとめたレポートを公開
カスペルスキーはECサイト「Amazon」で発生した詐欺の手口をまとめたレポートを発表した。通知メールを受け取った際は記載のリンク先にアクセスせず、自分のアカウントに直接ログインして確認するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.