企業を狙ったランサムウェア攻撃が昨年と比べて世界で32%増加したこと、ご存知でしょうか?
これらの攻撃は、多要素認証やVPNをしっかり設定していない企業が特に被害に遭うリスクが高くなっています。今日のサイバー犯罪者は、音声のディープフェイクなど高度な技術を駆使して、彼らにとってより価値のある標的を狙っています。また、個人情報を取得するための偽の宅配サービス、標的の心理や社会的地位につけ込むセクストーション詐欺、テクニカルサポート詐欺なども拡大しているサイバー犯罪の例として挙げられます。
これらの詐欺の多くは、「フィッシング詐欺」の一種です。「フィッシング」は「釣り」のように、あらゆる仕掛けで、標的から機密情報を引き出そうとします。犯罪者は標的の機密情報を販売して収入を得たり、より高度な詐欺手法に利用したりします。
フィッシング詐欺(とそれから派生した詐欺)についてしっかり認識し、知識を深めることで、被害を未然に防ぐことができます。あらゆるフィッシング詐欺に関する最新情報に加えて、詐欺を見分け、ユーザーが自分自身とデータを保護するためのアドバイスを紹介します。
フィッシング詐欺
多くの場合、攻撃者は大きな集団を狙い、1人でも「釣れる」と甚大な被害をおよぼす可能性があります。攻撃者は、悪質なファイルが添付されているメール、SNSやSMSに含まれているリンク、電話、企業の偽サイトなど、大きな「網」を張って標的を狙います。標的が悪質なファイルやリンクを開くと、攻撃者はその人の個人情報を取得したり、PCにマルウェアをインストールできてしまったりします。
スピアフィッシング詐欺
大きな網で標的を狙う従来の手法に対し、スピアフィッシングは特定の企業や個人に的を絞って攻撃をかけます。非常に現実的で巧妙な戦略が必要になるため、検出や阻止が難しいこともあります。
ホエーリング
ホエーリング(捕鯨)は主に政治的、経済的、社会的に影響力のある人物を狙います。影響力があるだけに、高度な手口も備えています。そこで、一般的な手法として、犯罪者は標的に偽の書類を記入させたりすることで、口座情報や住所などの個人情報を盗みます。
ビッシング
ビッシングは電話の音声案内を利用して、正規な企業や政府機関などを装い、標的から個人情報を聞き出したり、ギフトカードの購入や振り込みを行うよう誘導する手法です。
この種の詐欺は、主に高齢者や最新の技術に慣れていない人が被害に遭いやすく、短期(お金の搾取)から長期(個人情報の盗用)の目的に利用できるため、詐欺師にとって重要な手法です。
パパ活詐欺
主に裕福な男性が年下の人にお金を与え、一緒に食事やデートに行ってもらうことを「パパ活」と呼びますが、近年、パパ活に便乗して、経済的に困っている、あるいは豪華な生活を送りたい若い女性を狙った詐欺が確認されています。
パパ活詐欺は主にSNS上で行われており、犯罪者は交際してもらう対価として、週給や月給を提示します。ただし、お金を支払う前に、標的にPayPalなどのオンライン決済サービスの情報を共有させ、認証のために一度、「パパ」に前払金を送るよう求めます。自分がパパ活をしていたと公表したくない人にとっては、詐欺に遭ったと他人に相談しにくい現状もあります。
セクストーションメール詐欺
「セクストーション」とは一般的に、詐欺師が「あなたの性的な画像・動画を入手した、お金を支払わなければネット上に晒す」などのような脅迫メールを標的に送り、口止め料を支払わさせる行為を意味します。ほとんどの場合、詐欺師はそのような画像・動画を持っておらず、お金をだまし取るための偽の脅迫に過ぎません。しかし、ソーシャルエンジニアリングを使って標的の心理につけ込んだり、時間制限を設けたりすることで、被害者はプレッシャーに覆われて、お金を払ってしまいます。実社会への影響は大きく、自殺に追い込まれた被害者もいます。
暗号資産に関連した詐欺
詐欺師は、暗号資産の今後の動向について行くと思われます。代表的な暗号資産関連の詐欺には、Twitterなどで暗号資産業界の著名人になりすまして、その人のコミュニティーに侵入し、お金を搾取するといったケースもあります。
こうした詐欺に引っかからないためには、「うますぎる話は信じない」ことが大切です。また、暗号資産のウオレットアプリに多要素認証を設定することや、モバイルデバイスでは取引しないことをおすすめします。
フィッシング詐欺に騙されないためには?
アンチウイルスは継続的に改善されているものの、フィッシング詐欺もそれに負けじと巧妙化しています。詐欺師によって方法が異なりますが、よく使われる手口は以下の通りです。
- 正規の企業を装って、決済トラブルに関する虚偽のメールを送る
- 偽サイトにクリックさせるために、「パスワードをリセットしてください」のメールを送る
- 確定申告からお金が返ってきたなどの虚のメールを送り、悪質なファイルを添付する
- サービスを解約するために個人情報を要求
- 個人情報の入力を促す偽のフォーム、調査、請求書
- 高級品や高額サービスの無償提供やクーポン
これらを踏まえて、フィッシング詐欺に引っかからないためには以下を実践してみましょう。
- メールを受信した際は、スペルや文法にミスがないかをチェックしてください。ビジネスメールの場合は、あいさつ文があるか確認しましょう。
- デバイスのセキュリティが自動的に更新されていることをしっかり確認しましょう。
- 堅牢なアンチウイルスをダウンロードしましょう。
- 可能なサービスでは多要素認証を設定し、アカウントが乗っ取られないように管理しましょう。
- データのバックアップは外付けのハードドライブやクラウドサービスで保管しましょう。
- クレジットカードやマイナンバーなどの個人情報をメールやチャットで絶対に共有しないようにしましょう。
- 怪しいメール、リンク、添付ファイルは開けず、迷惑メールのフィルターを設定しましょう。
詐欺に遭ってしまったら
上記のような詐欺は脅迫と同様、被害者が恐怖や恥ずかしさのあまり声を上げられない場合に最も効果的です。しかし、勇気を持って自分の体験談を共有することで、ほかの人に同じようなことが起こらないようにすることができます。フィッシング詐欺に遭遇した、または被害に遭ってしまった場合は、警察や専門機関に相談しましょう。
この記事は、2022年5月11日に公開されたWhich phishing scams are trending in 2022?の抄訳です。