フィッシングとその特徴
正式なサービス等を騙って個人情報等を奪う詐欺手法です。たとえば,大手企業や銀行,システム管理者などになりすましてメールやSMSを送りつけ,偽のウェブページに接続させることで,クレジットカード番号,ログインID,パスワードなどの認証情報等を盗み出そうとするものです。
クレジットカード番号,ログインID,パスワードなどの認証情報等が盗まれると,あなたの銀行口座から勝手にお金を引き落とされたり,勝手にメールアカウントが利用されてスパムメールのばら撒きなどに悪用されたり,情報漏洩を引き起したりする可能性があります。
フィッシング詐欺は年々巧妙化しており,一見すると公式なサービスからのメールやSMSと見分けがつかない上,偽のウェブページも公式のウェブページと見分けがつかない精度で作成されているため,誰もが騙される可能性がある非常に危険な詐欺手法です。
フィッシング被害に遭わないために
フィッシングメールは誰にでも届くものであることを理解する
パソコンやスマホを利用していれば,誰もがフィッシングメールを受信する可能性があります。「自分にはフィッシングメールなんて来ない」などという神話は通用しません。
また,プリンタと紙があれば誰でも偽の名刺が作れるように,メールやSMSでもメールアドレスや送信者名などの情報は簡単に偽装(詐称)できます。メールやSMSは送信者(相手)の顔が見えない分,慎重に見定めるようにしましょう。
メールやSMSのURLはクリックしない
メールやSMSの本文にURL(ウェブサイトのリンク)が記載されていると「無意識にクリックする人」や「メールの内容を確認せずクリックする人」は,攻撃者にとって最も狙いやすい(フィッシング詐欺に遭いやすい)対象です。
クレジットカード番号,ログインID,パスワードなどの認証情報等,重要な情報を入力する場合は,メール等のリンクをクリックせずに,正規のウェブサイトから接続するようにしましょう。
また,<不審なメールや添付ファイルを確認する方法>を参照し,不審なメールを受信した場合は即座に削除しましょう。
少しでも怪しいと思ったら正規のウェブサイトなどに問い合わせる
メールやSMSに不審な点が見つけられなかったとしても,アクセスした先で普段と異なる入力内容を求められるなど,怪しいと思ったら即座に操作を中止し,正規のウェブサイトに問い合わせましょう。その際,誘導されたウェブサイトに記載された問い合わせ先ではなく,ご自身でインターネット検索などから正規の連絡先を見つけ,そちらから問い合わせるようにしてください。
万が一,フィッシング被害に遭ってしまったら。。。
認証情報(メールアドレスやパスワード)を入力してしまった場合
自分の認証情報を入力してしまった場合,認証情報を窃取されることにより第三者から不正アクセスされ,内部情報や個人情報が流出するだけでなく,メールアドレスが不正利用されて,さらなるサイバー犯罪に悪用される場合があります。一刻を争う事態ですので,1秒でも早く以下の対処を行ってください。
大学の認証情報(メールアドレスやパスワード)を入力してしまった場合
大至急,最寄りの総合情報基盤センターへ連絡してください。
管理者権限によりアカウントのロック(無効化)やパスワードの強制変更など二次被害を防ぐ対策を行います。
本学情報システム(システム管理者)からのメール通知について
メールの容量超過など,システム管理者を騙ったフィッシングメールが学内に届いています。
本学ではメールの容量超過等のシステム的な問題が発生した場合に,システムから自動配信メールで案内するようなことはありません。
Active!Mail管理者やメール管理者からの通知メールが届いた場合は,すべてフィッシングメールと判断して下さい。
☆ 連絡先
CSIRT事務担当: 総務部 情報推進課
TEL:076-445-6058(五福)
Mail: security@adm.u-toyama.ac.jp
認証情報(メールアドレスやパスワード)を使い回している場合
認証情報(メールアドレスやパスワード)を他のサービス等で使い回している場合,攻撃者が漏洩した認証情報を悪用して,他のサービスへの不正アクセスを試みるのは時間の問題です。
漏洩した認証情報(特にパスワード)を使い回していた場合は,大至急,該当するサービスのパスワードを変更してください。
SNSやウェブサービスの認証情報(メールアドレスやパスワード)を入力してしまった場合
アカウントが乗っ取られる可能性があるので,至急パスワードの変更を行ってください。
多くのサービスでは,「アクティビティログ」等で不審な投稿や利用形跡がないか確認することが出来ます。各サービスによってアカウントの確認方法や修正方法が異なりますので,以下に参考サイトを紹介します。
- Twitterの場合:不安解消!Twitterのセキュリティ対策と予防4ステップ
- Facebookの場合:プライバシー完全防衛!facebookのセキュリティ3ステップ
- Googleアカウントの場合:Gmailセキュリティを完璧に!不正アクセス対策決定版
銀行などの金融機関の口座情報,暗証番号などを入力してしまった場合
不正送金や不正利用などに悪用される場合がありますので,所定の連絡先へ相談してください。
なお,フィッシング詐欺などによる損失に関しては,所定の期間内に適切に対応すれば補償される可能性があります。
銀行などの金融機関の情報を入力してしまった場合
該当口座の銀行に連絡してください。
各銀行のウェブサイトにアクセスすると,ヘルプデスクや相談ダイヤルが記載されています。
クレジットカード番号を入力してしまった場合
クレジット会社に連絡し,カードを利用停止にしてください。
各クレジット会社のウェブサイトにアクセスすると,ヘルプデスクや相談ダイヤルが記載されています。
金銭被害が発生してしまった場合
銀行やクレジット会社に相談した上で,警察に連絡してください。
フィッシング110番に各都道府県警警察サイバー犯罪相談窓口の連絡先が記載されています。
最後に
インターネットなどのIT業界は,皆さんの想像を超えるスピードで技術革新が進んでいます。同時に,サイバー犯罪もまた同じスピードで新たな手法が確立され,手口はより高度かつ巧妙化しています。
ITの世界では「便利なこと=セキュリティレベルの低下」と定義される場合があります。言い換えれば,「不便(面倒)なこと=セキュリティレベルが高い」ということになります。
二段階認証,複雑なパスワード,正規のウェブサイトを調べてアクセス・・・etc,面倒に感じる操作でもその一手間をかけることで,情報セキュリティのレベルは格段にUP(セキュリティリスクが軽減)しますので,日頃から心がけて実践してください。
情報セキュリティの最後の砦は,皆さんの意識の持ち様次第であるということを改めてご留意願います。
