「フィッシングとSNS乗っ取り」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本記事では、中小企業が特に知っておくべきセキュリティ用語について解説していきます。

今回のテーマは、「フィッシング」と「SNS乗っ取り」です。

フィッシング

フィッシング(phishing)とは、正規のサービス事業者を装って利用者を騙して、個人情報や決済情報などの様々な情報を盗み取るサイバー攻撃です。魚釣り(fishing)の“f”を“ph”に置き換えた造語で、主に個人情報を盗み出すために行われるインターネット上の詐欺の一種です。

※参考情報：“f”を“ph”で置き換えている理由については複数の説があり、洗練された(sophisticated)、1970年代のアメリカにおける無慮電話をする電話ハッキング(phone phreak)に加えて、パスワード収集釣り(password harvesting fishing)の略といったものがあります。

フィッシング攻撃は、実在する企業やサービス（例えば、銀行やクレジットカード会社など）を装ったメールやSMSを送り、攻撃者が用意した偽のウェブサイトに誘導するのが一般的な手法です。

誘導された偽のリンク先のWebページは、一見すると本物のページと見分けがつかないように作られています。このため、利用者は案内に従ってアカウントIDやパスワード、クレジットカード情報、銀行口座情報などの個人情報を入力してしまいます。そして、その入力された情報は攻撃者に送信される仕組みになっています。

攻撃者は、盗み取った情報を利用して、クレジットカードの不正利用、Webサービスなどへの不正アクセスを行います。また、盗み出した個人情報はダークサイト（違法または不正な活動を行うために設計されたウェブサイト）で売買されることもあります。

【フィッシングの事例】

警察庁ウェブサイトでは、フィッシングの注意喚起と対策方法を紹介しています。

そちらで紹介されている、フィッシングのよくある相談事例を一部抜粋して掲載します。
よくある相談（警察庁ウェブサイトより）

＜相談事例１＞
ネット口座を開設している銀行から「重要なお知らせ」という件名のメールが届いたので、記載されたＵＲＬにアクセスし、口座番号、暗証番号等を入力した。その後、知らない口座に対して、身に覚えのない多額の送金をされていることが分かった。

＜相談事例２＞
クレジットカード会社から「クレジットカード情報の確認」という件名のＳＭＳが届いたので、記載されたＵＲＬにアクセスし、カード情報を入力した。後日、クレジットカードの支払い明細を見ると、身に覚えのない支払いがあった。

SNS乗っ取り

フィッシングにより盗み出した情報を使って、様々な攻撃が行われます。その一つに「SNS乗っ取り」があります。

SNSアカウントが乗っ取られることにより、次のような被害が発生します。

• 個人情報の悪用：架空請求・不正オンラインショッピング、個人情報のダークサイトでの販売、乗っ取ったアカウントIDによるフィッシング行為
• なりすまし：誹謗中傷の書き込み、不適切な投稿や発言による人間関係トラブル、信用被害の発生　など

最も深刻なのが、「乗っ取られたIDによるフィッシング」です。
普段信用している友達からのフィッシングとなるため、被害発生の確率が高くなります。また、乗っ取られてしまった上に自身の信用が大きく傷つくことにもなります。

被害に遭わないために

フィッシングのメール本文や誘導されるリンク先は、少し前までは一見しておかしいと感じられるものがほとんどでした。しかし、近年届いているフィッシングメールは非常に精巧になっており、まったく本物と区別ができないものも出てきています。

信頼できる企業や個人からのメールやSNSの投稿であっても、本文のリンクではなく、いつもの公式ウェブサイトやアプリ、ブックマークなどから該当のサイトにアクセスして確認してください。

個人情報を要求するメールやウェブサイトには、特に注意が必要です。

また、フィッシング対策協議会のホームページには、「思い込んでいる時、急いでいる時、疲れている時に『ついうっかり』は起こりやすくなります。」との記載があります。

疲れている時にフィッシングメールが来ると、いつものブックマークではなくメール内のリンクをクリックしてしまいがちです。

メール内のリンクのクリックは、必ずいったん立ち止まって、確認する習慣を身に着けてください。

フィッシングは、インターネットを利用する全ての人々が直面しているリスクです。

自身の情報を守るために、常に警戒心を持って対応してください。

フィッシング詐欺の被害に遭ってしまった場合の対策については、参考文献2、3を参考にしてください。

警視庁ウェブサイトでは、フィッシング被害に関する情報提供を求めています（警視庁ウェブサイト：フィッシング110番）。もし、フィッシング被害に遭ってしまったら、次の被害を減らすための情報提供にご協力ください。

参考文献

1. フィッシングとは ｜ フィッシング対策協議会
   https://www.antiphishing.jp/consumer/abt_phishing.html
2. 利用者向けフィッシング詐欺対策ガイドライン｜ フィッシング対策協議会
   https://www.antiphishing.jp/report/consumer_antiphishing_guideline_2024.pdf
3. フィッシング対策｜警察庁Webサイト
   https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html