1. HOME
  2. ブログ
  3. Special Edition
  4. ゼロから学ぶサイバーセキュリティ
  5. フィッシングメールの見分け方は?企業が行うべき詐欺対策を徹底解説!

フィッシングメールの見分け方は?企業が行うべき詐欺対策を徹底解説!

ゼロから学ぶサイバーセキュリティ, 編集部

メールは、企業活動において欠かせないコミュニケーション手段です。

社内連絡はもちろん、顧客や取引先とのやりとりもメールを介して行われることが多く、業務の根幹を支えるツールとして活用されています。

しかし、その利便性の裏側には常にリスクが潜んでいます。

その代表例が「フィッシングメール」です。

今回は、そんなフィッシングメールの見分け方や、企業が行うべき詐欺対策を解説していきます。

フィッシングメールとは?

近年増加しているサイバー攻撃の中でも、特に多くの企業や個人が被害に遭っているのが「フィッシングメール」です。

以下、フィッシングメールの定義とスミッシングとの違いについて詳しく見ていきましょう。

定義

フィッシングメールとは、個人情報や認証情報を窃取する目的で受信者をだまし、偽のWebサイトなどに誘導するメールのことを指します。

内容は、

「アカウントに問題が発生しました」
「本人確認をお願いします」
「不審なログインがありました」

など、緊急性や不安を煽るものであることがほとんどです。

メールに記載されたファイルやリンクをクリックすると、正規のログイン画面に酷似したサイトに飛ばされ、情報を入力させられます。

被害に遭った場合、情報漏洩による信用失墜や金銭的損害、業務停止といった深刻な影響を及ぼすため注意が必要です。

スミッシングとの違い

フィッシングに酷似した手口に「スミッシング」というのがあります。

これは、SMSを利用して行われる詐欺の一種です。

内容や目的はフィッシングと同様ですが、アプローチがメールではなく携帯番号に送信されるSMSであるため、警戒心が薄れやすいです。

最近では、企業の宅配通知や本人確認を装ったスミッシングの被害も増加傾向にあるため、SMSについても徹底的に対策をしていかなければなりません。

フィッシングメール対策を怠るとどうなる?

企業がフィッシングメール対策を怠ると、以下のようなトラブルに繋がります。

・顧客や取引先からの信用を失う
・売上低下に繋がる
・社内が混乱する

それぞれについて、詳しく見ていきましょう。

顧客や取引先からの信用を失う

フィッシングメールによって顧客情報や取引先情報が漏洩すると、企業に対する信頼は一気に崩れます。

たとえ被害が一部で済んだとしても「この会社に任せて大丈夫なのか?」という不安が募り、顧客離れや契約解除に繋がりやすくなります。

近年では、SNSが一般化しており、情報漏洩の事実が一気に拡散されてしまう恐れもあるため、しっかりと対策しておかなければなりません。

売上低下に繋がる

信用の失墜は、結果的に売上低下を招きます。

既存顧客が離れていくだけでなく、新規顧客の獲得も困難になるため、業績回復に時間がかかります。

加えて、トラブル対応や再発防止策の実施には多大なコストがかかるため、経営を圧迫してしまう可能性が高いです。

場合によっては、フィッシングメールによる被害が原因で、倒産に追い込まれることもあるため注意してください。

社内が混乱する

フィッシング被害が発生すると、社内の対応に大きな負担がかかります。

CS部門や営業担当が謝罪対応に追われたり、被害の範囲調査や復旧対応、関係機関への報告に負われたりと、コア業務に支障が出る可能性が非常に高いです。

このようなイレギュラーな業務は、従業員の心理的ストレスの原因にもなり、雰囲気が悪化して生産性や効率が低下する恐れもあります。

フィッシングメールの見分け方

明らかに「詐欺だ」「怪しい」と分かるようなメールであれば、被害を未然に防げるでしょう。

しかし、フィッシングメールは非常に巧妙な手口でリンクをクリックさせたり、ファイルを開かせようとしたりするため、気づけないケースも多いです。

そこでここからは、フィッシングメールの見分け方を紹介していきます。

送信元のメールアドレスをチェックする

フィッシングメールは、正規の企業や組織を装っていることが多いため、まずは送信元のメールアドレスを確認しましょう。

一見それらしいドメインに見えても、実際は1文字違いや似た文字を使った偽ドメインである可能性が高いため、念入りにチェックしてください。

アルファベットの羅列など、明らかに不審なアドレスからメールが届いた場合は、内容を確認せずに破棄することをおすすめします。

添付されているURLを確認する

フィッシングメールによる被害を防ぐためには、添付されているリンクやファイルを確認する癖をつけることが大切です。

・SSL化がされていない
・見慣れないドメイン
・URLが異常に長い
・ランダムな文字列が含まれている

このような場合は、フィッシングメールの可能性が高いといえます。

パソコンの場合、リンクにカーソルを合わせるとURLを確認できるため、開く前にしっかりとチェックしましょう。

メール本文を確認する

フィッシングメールは、海外から送られてくることもあります。

この場合、日本人ではなく外国人が作成していたり、AIを使って作成していたりするケースもあり、日本語が不自然な場合が多いです。

日本では、ビジネスメールマナーが浸透しているため、どの企業も誤字脱字・敬語の使い方には気を付けています。

明らかに不自然な言い回しが多い場合や、誤字脱字が多すぎる場合、フィッシングメールの可能性が高いため、リンクやメールアドレスを再度確認しましょう。

添付ファイルに注意する

フィッシングメールには、ウイルスやマルウェアが仕込まれた添付ファイルが含まれていることもあります。

特にZIPファイルや実行形式、マクロ付きのofficeファイルは危険度が高いです。

心当たりのない相手や不審な文面のメールに添付されているファイルは、開かずに削除することをおすすめします。

ファイルやメールが本物かどうか判断できない場合は、念のため本人に確認を取りましょう。

企業が行うべきフィッシングメール対策5選

企業をターゲットとしたフィッシングメール攻撃が増加している昨今では、それぞれの従業員に対策を委ねるのではなく、企業として徹底的に対策を行うことが大切です。

以下、企業が行うべきフィッシングメール対策を5つ紹介します。

①自社を模倣したフィッシングサイトがないかを確認する

自社を装った偽サイトの存在は、顧客との信頼関係を一瞬で崩壊させます。

サイバー犯罪者は、企業ロゴやブランドカラーを模倣した偽サイトを作成し、ユーザーからIDやパスワードを盗み取ろうとします。

自社が被害に遭わずとも、自社の偽サイトの存在がイメージや信頼度を大きく低下させることがありますので、自社を模倣したフィッシングサイトがないかを定期的にチェックしましょう。

手動でチェックするのも1つの方法ですが、かなりの手間と時間がかかるため、Google Alertsなどのツールや外部の監視サービスの利用も検討しましょう。

②送信ドメイン認証を利用する

送信ドメイン認証(SPF・DKIM・DMARCなど)は、なりすましメールを防ぐのに役立つ技術です。

これにより、自社のドメインを使った偽メールが第三者から送られても受信側でブロックされる可能性が高まります。

特にDMARCは、SPFとDKIMの仕組みを統合し、なりすましメールの処理方針を細かく設定できるため、高度なセキュリティを実現できます。

これは、どちらかというとフィッシングメールの被害に遭わないための対策というより、自社のドメインを使ってフィッシングメールを送られないようにするための対策です。

とはいえ、企業イメージを守るためには欠かせない取り組みですので、ぜひ実施してみてください。

③システムをアップデートする

脆弱なシステムは、フィッシング攻撃の入り口になり得ます。

OSやメールソフト、ウイルス対策ソフトなど、日常的に使用しているあらゆるソフトウェアを常に最新の状態に保つことで、フィッシングメールによる被害を防ぎやすくなります。

特に、メールの閲覧や送信に使用するツールやブラウザは、攻撃者の標的になりやすいため、セキュリティパッチの適用漏れがないように注意を払いましょう。

④情報セキュリティ教育を徹底する

従業員がフィッシングメールのリスクを正しく理解していなければ、どれだけシステムを強化しても意味がありません。

フィッシングメールをどのように見分けるか、どう対応すべきかということを、研修などを活用しつつ定期的に伝えていくようにしましょう。

このときに、座学だけでなく、疑似メールを使った訓練やeラーニングなど、実践的な方法を取り入れることで、リスク感度を高められます。

⑤不正検知システムを導入する

高度化するフィッシング攻撃に対応するためには、AIや機械学習を活用した不正検知システムの導入も検討すべきです。

これにより、不審な送信元やメール内容を自動的にスキャンし、怪しいメールを即座に隔離および削除できるようになります。

また、ネットワーク内の通信挙動やアクセスログを常時監視することで、内部からの情報漏洩や不正アクセス防止にも繋げられます。

人的リソースに依存した監視や管理には限界がありますので、システムやツールを上手に活用しながらフィッシングを含むサイバー攻撃を防いでいきましょう。

自社を模倣したフィッシングサイトを見つけたら?

フィッシングメールによる被害を防ぐための対策も重要ですが、同時に「自社が加害者として認識されないような対策」も重要になってきます。

特に、知名度の高い企業や従業員数が多い企業は、フィッシングメールに活用されやすいため注意が必要です。

ここからは、自社を模倣したフィッシングサイトを見つけた場合の対処法について詳しく解説していきます。

すぐに注意喚起を行う

自社を装ったフィッシングサイトを発見した場合、まず優先すべきは被害の拡大防止です。

顧客や取引先に対して速やかにメールや電話で連絡を入れ、注意喚起を行いましょう。

また、公式サイトやSNSで状況を伝えるのもおすすめです。

URLに自社名が含まれている場合、信じてアクセスしてしまう方もいるため、該当サイトのURLやメールの特徴などを細かく伝えるようにしましょう。

サイトを削除する

自社を模倣したフィッシングサイトを見つけた場合は、注意喚起と並行して該当サイトをインターネット上から素早く削除する必要があります。

Whois情報などを用いてサイトの運営元やドメイン登録者を確認し、ドメインレジストラやホスティング会社に削除依頼を出しましょう。

また、GoogleやMicrosoftといった検索エンジンに対して「フィッシング警告」を行うことも大切です。

警察に相談する

フィッシング詐欺は紛れもなく「犯罪」であり、許される行為ではありません。

犯罪者を野放しにしておくと、さらに被害が広がる可能性が高まるため、できるだけ早く警察や都道府県のサイバー犯罪対策課に相談しましょう。

すでに被害が発生している場合は、警視庁の「サイバー犯罪に関する窓口」や「フィッシング対策協議会」への報告も有効です。

証拠として、該当サイトの画面キャプチャやURL、アクセス日時などのログを保存しておくとスムーズに対応してもらえます。

まとめ

テレワークの普及やテクノロジーの進化に伴い、近年では企業を狙ったフィッシングメール詐欺が横行しています。

フィッシングメールは、一見すると本物のように見えますが、いくつか不審な点が見つかるケースも多いです。

そのため、メールアドレスや文面などを細かく確認し、少しでも違和感があった場合は送信者本人に確認を取るようにしましょう。

また、フィッシングメールの被害に遭わないように対策することも大切ですが、自社が加害者として認識されないようにする工夫も重要です。

万が一、自社を模倣したフィッシングサイトを見つけた場合や、自社を名乗ったフィッシングメールが送られている事実を確認した際は、速やかに注意喚起や関係機関への相談を行うようにしましょう。

関連記事