フィッシング攻撃は知っていても、実際はどのようなケースがあるのかは、当事者ではないので知らない。過去のフィッシング攻撃を紐解いてみよう。
2013年、米国ターゲット社に対するフィッシング攻撃があった。米国の小売業者ターゲット社は、高度なフィッシング攻撃の被害を受けました。攻撃者は、従業員の認証情報を盗み出し、顧客のクレジットカード情報約4000万件を窃取しました。この事件は、大規模小売業者に対するフィッシング攻撃の代表的な事例として知られています。
その攻撃の手口とは、まず攻撃者は、ターゲット社の従業員を標的とした巧妙なフィッシングメールを送信します。メールには、ターゲット社のロゴやデザインが巧妙に模倣されており、あたかも本物であるかのように見せかけられていました。
メールには、従業員ポータルへのリンクが含まれており、従業員がクリックすると、偽のログインページに誘導されます。従業員がIDとパスワードを入力すると、その情報が攻撃者に送信されます。
そして、その被害は、攻撃により、ターゲット社は顧客情報の大規模な漏洩に加え、巨額の損害賠償金を支払うことになりました。また、同社の評判も大きく損なわれました。これを機に教訓とした対策が必要です。
この事件は、従業員に対するフィッシング攻撃が、企業に甚大な被害を与える可能性があることを示しています。企業は、従業員に対してフィッシング攻撃に関する教育を実施し、適切なセキュリティ対策を導入することが重要になりました。
また、2016年、ソーシャルフィッシング攻撃によるビットコイン窃取事件がありました。複数の投資家が、ソーシャルフィッシング攻撃の被害を受け、ビットコインを盗まれました。
攻撃者は、投資家を装った偽のTwitterアカウントを作成し、ビットコインの投資案件を持ちかけました。投資家が偽のアカウントに連絡すると、攻撃者は巧妙な話術で投資家をだまし、ビットコインを送金させました。
攻撃の手口としては、攻撃者は、実在する投資家の名前や写真を無断で使用して、偽のTwitterアカウントを作成しました。また、投資案件に関する詳細な情報を公開することで、あたかも本物の案件であるかのように見せかけました。偽のアカウントは、投資家に対して積極的にコンタクトを取り、ビットコインの送金を促しました。
被害は、この攻撃により、複数の投資家が数十億円相当のビットコインを盗まれました。この事件は、ソーシャルフィッシング攻撃が、巧妙な手口で被害者をだまし、金銭を窃取するものであることを示しています。投資家をはじめ、個人情報の取り扱いには十分注意する必要があります。
2019年、マルウェア封入型フィッシング攻撃による被害が起こりました。日本国内において、マルウェアが封入されたフィッシングメールが送信されました。メールには、偽の請求書が添付されており、受信者が添付ファイルを開くと、マルウェアに感染します。感染した端末は、情報が窃取される被害を受けました。
攻撃の手口としては、攻撃者は、あたかも正規の企業から送信されたかのように見せかけたフィッシングメールを作成しました。メールには、偽の請求書が添付されており、受信者が添付ファイルを開くと、マルウェアに感染してしまいます。マルウェアは、感染した端末の情報を窃取し、攻撃者に送信します。
この攻撃により、被害を受けた企業は顧客情報や取引情報などを漏洩しました。この事件は、マルウェアが封入されたフィッシングメールが、巧妙な手口で被害者をだまし、情報を窃取するものであることを示しています。企業は、従業員に対してフィッシングメールに関する教育を実施し、適切なセキュリティ対策を導入することが重要となりました。
他に、フィッシング攻撃を受けた金融機関の事例があります。2021年、日本の金融機関がフィッシング攻撃を受け、被害が発生しました。攻撃者は、あたかも金融機関から送信されたかのように見せかけたフィッシングメールを作成し、顧客に偽のログインページへ誘導しました。
攻撃の手口として、顧客がIDとパスワードを入力すると、その情報が攻撃者に送信され、不正な預金引き出しが行われます。攻撃者は、金融機関のロゴやデザインを巧みに模倣したフィッシングメールを作成しました。メールには、ログインページへのリンクが含まれており、顧客がクリックすると、偽のログインページに誘導されます。
偽のログインページには、金融機関のロゴやデザインが表示されており、あたかも本物のログインページであるかのように見せかけられています。顧客がIDとパスワードを入力すると、その情報が攻撃者に送信される仕組みになっていました。
このようにフィッシング攻撃者は、巧妙にターゲットに近づき行動を実行してしまいます。他人事のように思っていた被害者は、攻撃されて当事者になって、初めてその重要性を知ることになります。他人の教訓は活かされないことが多い。
フィッシング攻撃に対する対策はいくつかあります。転ばぬ先の杖にして覚えておきましょう。例えば、不審なメールやSMSには注意することです。金融機関やショッピングサイトなどから、不審なメールやSMSが届いた場合は、すぐにアクセスせず、内容をよく確認しましょう。不審な点があれば、直接金融機関やショッピングサイトに問い合わせて確認するようにします。
また、URLに注意することも大切です。メールやSMSに記載されているURLをクリックする前に、URLが本物かどうか確認しましょう。URLに誤字脱字があったり、正規のドメイン名と異なっていたりする場合は、偽のサイトである可能性があります。
当たり前ですが、安易に個人情報は入力しないようにします。偽のウェブサイトでは、個人情報を入力するよう要求してきますが、絶対に情報を入力しないようにしましょう。セキュリティソフトを導入する対策も重要です。セキュリティソフトを導入することで、フィッシングサイトをブロックしたり、偽のメールを検知したりすることができます。
ここまで言っても、フィッシング攻撃の手口は、常に変化しています。いたちごっこのようになりますが、最新の情報に注意し、新しい手口にも気を配りましょう。新しい手口に遭遇しても、日ごろから意識していると、「何だか怪しい」と、直感が働くことがあります。
怪しいときは、一人で解決せず、誰かに相談することで、新しい視点で怪しい別の側面が見えてくることがあります。時々【重要】メールや、【緊急】メールが届くことがある。重要なのにフリーメールで送って来る。URLもでたらめだ。フィッシング詐欺者にとって重要なメールとなっている。
【重要】なら、そんなに簡単に送らない。ある意味重要でないメールの証拠となる。機密文書を盗みに入ったスパイがいる。机に「機密文書」とのタイトルの文書がある。ラッキーと盗んだら、偽の情報をつかまされた間抜けなスパイ。
大事な文書に「機密文書」では、誰にも一目で機密文書だとばれてしまう。本当の機密文書は、かく乱するタイトル名で誰にも見つからない場所に保管している。机の上に無造作に置いておくわけがない。それにしてもフィッシングメールの巧妙さ、被害者に光明がさすのはいつだろう。