最終更新日2021年8月

今年はスパムメールが増えましたか?
あなただけではありません。
2020年、スパムメールは全世界のEメールトラフィックの平均50%強を占めるようになりました。
さらに、PhishLabsによると、フィッシング攻撃は2020年から2021年にかけて47%増加したことを確認しています。

個人情報や機密情報を知らぬ間に盗み出すために、受信箱に溢れかえる厄介なメールは、もはや当たり前のものとなっています。
検出しやすいものもあれば、そうでないものもあります。
例えば、ナイジェリアの王子から財産を保管する場所を探しているというメールを受け取ったら、削除した方がいいでしょう。
残念なことに、この 「ナイジェリア人」 詐欺師たちは、特にパンデミックに関連した内容で、大きな脅威となっていました。

しかし他のものはより巧妙で、より良く設計されており、検出するのが難しくなっています。
このようなデジタル詐欺師たちは、詐欺メールを本物そっくりに見せることに非常に長けています。
多くの場合、お客様がよく知っている、信頼できる企業や団体から送られてきます。
フィッシングメールは、PayPal、Apple、銀行などの企業になりすまし、アカウントのログイン情報などの個人情報を盗むのが一般的です。
しかしPhishLabsのレポートによると、多くのユーザーが安全性の確保に無頓着であることから、ソーシャルメディアのアカウントもトレンドのターゲットとなっています。
メールだけではありません。

では、被害者にならないためにはどうすればいいのでしょうか?
リスクを最小限に抑えるために、自分でできることがあります。
これらの10のヒントに従うことで、フィッシング詐欺対策のエキスパートになることができます。

フィッシングとは何ですか？

フィッシングとは、ウェブページ、テキストメッセージ、ソーシャルメディアのダイレクトメッセージ、電子メールなどのデザインを利用して、ユーザーに信頼できるサイトや個人との合法的で安全なウェブセッションを行っていると思わせるソーシャルエンジニアリング攻撃と定義されます。
フィッシングメールには、これらのフィッシングサイトへのリンクが含まれていることが多く、本物のように見えます。
実際には、フィッシングサイトは、悪意のあるソフトウェアをインストールしたり、クレジットカード番号、暗証番号（PIN）、社会保障番号、銀行口座番号、パスワードなどの個人情報を取得するように設定されています。
これらの情報は、フィッシャー（フィッシング詐欺を行う犯罪者）によって個人情報の盗難、金銭の窃盗、その他の詐欺の目的のために使用されます。

フィッシングのターゲットは誰ですか？

フィッシャーは誰でも狙いますが、CEOやCFO、法律事務所、人事部、金融機関などを狙う傾向があります。
また、近年では、オンラインストアやソーシャルネットワークへの攻撃が増加しています。
これらのグループは、攻撃者が狙う顧客データや機密情報を持っているため、フィッシング詐欺から身を守るために厳重な警戒が必要です。

フィッシングの報告方法

フィッシングメールは、reportphishing@apwg.orgに転送し、ReportFraud.ftc.gov.に報告するのが最善の方法です。

組織内でのフィッシングを防止する方法

組織は、DMARC（Domain-based Message Authentication, Reporting & Conformance）を有効にすることで、フィッシングから保護することができます。
DMARCとは、フィッシングやなりすましを防ぐために、メールの認証とレポート作成を指示するメールプロトコルです。

DMARCを有効にすると、メールマーケティングやコミュニケーションに自社のマークを付けることができる認証マーク証明書（VMC）を申請できます。
VMCを使用すると、メールクライアントの送信者欄にブランドロゴを表示して、ユーザーにメッセージが認証されたことを知らせることができます。
ソーシャルメディアで認証を受けるのと似ていますが、検証とDMARCによるフィッシング対策というセキュリティ上のメリットが加わります。

DMARCへの対応とVMCの取得は、今からでも始められます。

リモートワークが定着しつつある今日、電子メールの安全性を確保することは、組織がオンラインで信頼を築くために必要なことです。