近年、フィッシング詐欺が巧妙化し被害も急増しています。2024年4月のフィッシング報告件数(海外含む)は、前月97,163件より増加し106,757件となり、2023年10月ぶりにあらためて10万件台を突破しています。
大手企業だけでなく、中小企業もターゲットになり得ることが脅威です。今回は、フィッシング詐欺の現状と、中小企業が今すぐ取るべき対策について解説します。
■フィッシング詐欺の手口
フィッシング詐欺とは、企業や団体になりすまして、メールやSMSなどで偽のサイトに誘導し、個人情報や金銭を窃取する犯罪です。近年では、巧妙な偽サイトや、なりすましメールの文面など、被害者を騙す手口が進化しています。
具体的には、以下のような手口が挙げられます。
■中小企業が狙われる理由
近年、中小企業を狙ったフィッシング詐欺が増加しています。その理由は、以下の2点が考えられます。
⦿セキュリティ対策が脆弱
⦿従業員のセキュリティ意識が低い
■中小企業が取るべき対策
フィッシング詐欺の被害を防ぐためには、以下の対策が有効です。
⦿従業員への教育・啓蒙
・フィッシング詐欺の手口や危険性を、定期的に従業員に教育する
・不審なメールやSMSには絶対クリックしない、個人情報は絶対に開示しないなどの基本的なルールを徹底する
⦿セキュリティ対策ソフトの導入
・フィッシング詐欺対策機能を搭載したセキュリティ対策ソフトを導入する
⦿ネットワークのセキュリティ強化
・ファイアウォールやIDS/IPSなどのセキュリティ対策機器を導入する
・パスワードポリシーを強化し、定期的にパスワードを変更する
⦿被害発生時の対応
・フィッシング詐欺被害が発生した場合、速やかに警察や関係機関に通報する
・被害状況を記録し、証拠を保存する
■届いてしまった時の対処法
まずは、届いたメールアドレスをよく見ましょう。届いた会社の正式ドメインになっているかどうかをよく確認してください。
先日、弊社のお客様宛に、さくらインターネットを装って「件名: ドメイン名 xxxx.co.jp の更新のお願い【重要】」というフィッシングメールが届いています。
送り先のメアドを見ると「SAKURA Internet <xxxx@help.fiteccnc.de>」となっていました。さくらインターネットの正式ドメインは「sakura.ad.jp」ですので、届いたドメインとは違うのがわかります。
現在、内閣府、国税庁、銀行、クレジットカード会社、電力会社、ガス会社、JR東西日本、大手家電販売などを装って届きます。メール内のURLに誘導し、氏名 (漢字、カナ)、郵便番号、都道府県市区町村、番地、建物名、電話番号、カードに記載された名前、カード番号、有効期限、支払い方法、セキュリティコード、お客様ID・パスワード等を入力させる手口になっています。
もしドメインが正式ドメインと同じであっても安心してはいけません。
手口が巧妙になってきており、ドメイン偽装をして送られてきているケースも報告されています。
怪しいと思ったら、どこもクリックせずにそのメールは破棄してください。
日頃から個人情報やクレジットカード情報の入力を要求された場合は、入力する前に一度立ち止まり、似たようなフィッシングや詐欺事例がないかを、確認するようにしてください。
フィッシングサイトとして最近使われたURLは「.com」53.5 %、「.ru」13.5 %、「.cn」13.4 %、「.top」3.3%、「.ly」2.9 %、「.net」2.2 %、「.dev」2.1%など、.ruドメイン名の悪用が急増していいます。
■まとめ
フィッシング詐欺は、巧妙化しており、中小企業も被害を受けるリスクが高まっています。被害を防ぐためには、従業員への教育・啓蒙、セキュリティ対策ソフトの導入、ネットワークのセキュリティ強化、被害発生時の対応など、多角的な対策が必要です。
フィッシングメール対策には迷惑メールフィルターが有効です。
ほとんどのメールサービスでは迷惑メールフィルターが利用できるので、大量のフィッシングメールが届いている場合は、迷惑メールフィルターの設定が有効になっているか、確認して下さい。
中小企業経営者の方は、今回の記事を参考に、自社のセキュリティ対策を見直し、フィッシング詐欺の被害を防ぐための対策を講じてください。
どうしていいかわからないという方は、弊社 株式会社ドットアイまでお気軽にご相談ください。