This is the Trace Id: 9bd030d43169c300e0c8a469b0cd3711
メイン コンテンツへスキップ
Microsoft Security
タブを持っている女性

フィッシング メールとは?

フィッシング メールとは何か、そしてこの種のオンライン詐欺から身を守る方法について説明します。
フィッシングを防ぐ

フィッシング メールの定義

フィッシングは、パスワード、クレジット カード番号、個人情報などの機密情報を開示するようにユーザーに誘導しようとするオンライン詐欺の一種です。これを達成するために、犯罪者は、銀行、政府機関、人気のある Web サイトなどの信頼できる人物や会社のふりをします。

フィッシング メールは、本物に見えるように設計された不正なメッセージです。通常、重要な情報を盗むために、リンクをクリックしたり、添付ファイルをダウンロードしたり、個人情報を提供したりするように求められます。これらのメールは、多くの場合、アカウントが危険にさらされていることを警告したり、時間制限のある報酬を提供したりして、迅速な行動を促すために緊急性があるような圧力を生み出します。

重要なポイント

  • フィッシング メールは、正当なソースからのものであるふりをして個人情報を盗むために設計されています。
  • フィッシング メールの一般的な兆候には、疑わしい送信者、緊急の要求、一般的なあいさつ、予期しない添付ファイル、機密情報の要求が含まれます。
  • フィッシング メールに関与した場合は、パスワードの変更、関係者への通知、メールの報告によって迅速に対処します。
  • 警戒を怠らず、強力なセキュリティ対策を使用し、ソフトウェアを最新の状態に保ち、ウイルス対策とメール フィルターを使用することでフィッシング攻撃を防ぎましょう。
  • AI 搭載のフィルタリング、リアルタイムの脅威検出、Microsoft Security の多要素認証ツールを使用して、フィッシングの検出と防止しましょう。

フィッシング メールを理解することが重要な理由

世界はかつてないほどデジタル化されており、フィッシング メールはオンライン上の最大の脅威の 1 つです。サイバー犯罪者は、個人、企業、さらには政府機関を対象とする何百万ものフィッシングメールを毎日送信しています。フィッシング メールなどのサイバー攻撃に引っかかると、ID の盗難、金銭的損失、アカウントのハッキングにつながる可能性があります。職場では、1 回の間違ったクリックでネットワーク全体が侵害され、データ侵害や高額な損害が発生する可能性があります。

フィッシング メールを認識することは、自分自身と自分の情報を守るための重要なスキルです。攻撃者は詐欺を本物のように見せるのが上手くなっていますが、危険の兆候を知っておくと、詐欺を回避するのに役立ちます。

フィッシングを理解することは、単に役に立つだけでなく、職場、家族、友人の安全を守るのにも役立ちます。これらの詐欺を見抜ける人が増えれば増えるほど、サイバー犯罪者が成功するのは難しくなります。

フィッシング メールの進化

フィッシングは 1990 年代に、詐欺師がユーザーを騙して AOL パスワードを明らかにさせることから始まりました。インターネットの成長に伴い、フィッシング攻撃はより高度になりました。犯罪者は、ログイン資格情報を盗むために、本物の Web サイトの外観をコピーし始めました。時が経つにつれて、フィッシングはメールを超えてテキスト メッセージ (スミッシング) や電話 (ビッシング) に広がりました。現在、攻撃者は AI によって生成されたメッセージやソーシャル エンジニアリングの戦術を使用して、詐欺をさらに説得力のあるものにしています。

 サイバーセキュリティの進歩にもかかわらず、フィッシングは依然として最も一般的なオンライン脅威の 1 つです。フィッシング メールを認識することは、オンラインで安全を保つための重要なスキルです。

フィッシング メールのしくみ

フィッシング メールは、信頼できる企業やユーザーからのメッセージを装うように設計されています。目的は、詐欺と心理的トリックを使用して特定のアクションを実行するように誘導することです。

サイバー犯罪者は、次のような方法でフィッシング メールを慎重に設計し、本物のように見せかけます:

  • 正当なブランドを模倣する。公式のロゴ、似たようなメール アドレス、プロフェッショナルな外観が見られることがあります。
  • 個人情報を使用する。一部の詐欺メールには、メッセージの信頼性を高めるために、あなたの名前、メール アドレス、またはその他の情報が含まれていることがあります。
  • 偽のリンクを埋め込む。メールには、本物に見えるが、実際には情報を盗むために構築された偽の Web サイトにつながるリンクが含まれている場合があります。
  • 悪意のある添付ファイルを追加する。フィッシング メールには、開くとランサムウェアや、その他の種類のマルウェアをインストールするファイルが含まれていることがあります。
フィッシング メールで使用される心理的トリック

フィッシング メールは、人々の感情を利用して、詐欺を成功させる可能性を高めようとします。一般的な手口は次のとおりです:
 
  • 緊急性。たとえば、特定のアクションを実行しない限り、アカウントをロックすると脅すことがあります。
  • 恐怖。たとえば、あなたのアカウントが侵害されたと伝えることがあります。
  • 好奇心。たとえば、購入していない製品の領収書や請求書を送信することがあります。
  • 金銭的なインセンティブ。たとえば、景品やギフト カードを獲得したと言うことがあります。
  • 権威。たとえば、職場の IT 部門の人になりすまします。

フィッシング メールを識別する方法

フィッシング メールは説得力があるように見えることがありますが、多くの場合、見分けるための兆候があります。注意すべき点は次のとおりです:

  • 疑わしいリンク。(クリックせずに) リンクの上にマウス ポインターを置くと、リンクの本当の誘導先が表示されます。フィッシング リンクには、スペルミス、余分な文字、または見慣れないドメイン ("microsoft.com" ではなく "micros0ft-support.com" など) が含まれていることがあります。リンクが怪しく見える場合は、クリックしないでください。
  • 予期しない添付ファイル。特に、マクロを有効にしたりソフトウェアをインストールしたりするように求められるような電子メールの添付ファイルには特に注意してください。正当な企業が、要求していない添付ファイルを送信することはほとんどありません。
  • 緊急のありそうな、または脅迫的な言葉づかい。すぐに行動しなければアカウントの停止措置に直面するというな言葉づかいは、恐れから行動を起こさせる圧力をかけます。詐欺師は、迅速な対応を得るためにパニックに頼ります。
  • 個人情報や財務情報の要求。正当な会社は、パスワード、クレジット カード番号、または社会保障番号を電子メールで提供するよう求めるメッセージを送信しません。疑わしい場合は、メール内のリンクをクリックするのではなく、公式のチャネルを通じて直接企業に連絡してください。
  • 一般的な挨拶と個別化の欠如。フィッシング メールでは、あなたの名前ではなく、「親愛なるお客様」や「親愛なるユーザー」などの一般的な呼称を使用することがあります。本物のビジネスでは、通常、メールを個別化します。
  • 文法の誤りやスペルのミス。多くのフィッシング メールには、ぎこちない言い回し、入力ミス、または不自然な言い回しが含まれています。プロフェッショナルな組織はメールの文章校正を行います。そのため、このような類のエラーは注意すべき兆候です。
  • 送信者アドレスが一致しない。送信者のメール アドレスを詳しく確認します。詐欺師は、本物のアドレスに似ていますが小さな違いがあるアドレス (たとえば "support@microsoft.com" ではなく "support@micr0soft.com") を使用します。

5 つのフィッシング メールの例

一般的なフィッシングの例を見て、どのようなものかをより深く理解してください。

1. 偽のセキュリティ アラート

件名: 不審なサインインの試行が検出されました- アクションが必要です!

銀行やメール プロバイダーなど、有名なサービスのなりすましのフィッシング メールは、誰かがアカウントにアクセスしようとしたことを警告します。アカウントを"保護する"ためのリンクが含まれていますが、そのリンクは資格情報を盗むために設計された偽のログイン ページにつながります。

注意すべき兆候:
  • このメールには、サインインが試行された場所は記載されていません (場所やデバイスに関する詳細はありません)。
  • "アカウントを保護する"ためのリンクは、会社の本物の Web サイトとは少し異なるドメインにつながります。
  • 送信者のアドレスは、会社の公式ドメインではなく「security-alerts@accounts-support.com」のようなものです。
2. 偽の請求書または支払い要求

件名: Invoice #38491 添付 — 直ちに支払いが必要です

この種のフィッシング メールは、使用したことがないサービスに対して支払い義務を負っていると主張します。添付された請求書を開いたり、リンクをクリックして料金を確認したりするように要求されます。添付ファイルにマルウェアが含まれていたり、リンクが偽の支払いページにつながったりする可能性があります。

注意すべき兆候:
  • そのメールは予期しないものである。正当な企業は、突然請求書を送信しません。
  • 請求書は、.ZIP ファイルやマクロを有効にするように求めるドキュメントなど、疑わしいフォーマットです。
  • 請求書の送信者に関する明確な情報がありません。会社名や連絡先の詳細はありません。
3. "賞品を獲得しました!" 詐欺

件名: おめでとうございます! USD $500 のギフト カードが当たりました

このフィッシング メールは、景品を獲得し、それを取得するために"個人情報を確認"するだけで済むという内容です。個人情報を要求したり、データを盗むフォームに誘導したりします。

注意すべき兆候:
  • コンテストに参加したことがなく、当選は疑わしいものです。
  • このメールは、住所、電話番号、クレジット カード情報など、個人情報の入力を求められます。
  • 送信者のメール アドレスが会社のドメインではなく、一般的な Gmail や Yahoo アカウントです。
     
4. CEO 詐欺 (法人メールの侵害)

件名: 簡単なリクエスト - 至急のご協力が必要です

この職場におけるフィッシングの試みは、上司、上級役員、人事担当者になりすまして、企業の従業員をターゲットにしています。このメールは、ギフト カードの購入、送金、または会社の機密データの提供を受信者に求めます。攻撃者は通常、マネージャーのメール アドレスになりすましたり、少し違いのある似たようなメール アドレスを使用したりします。

注意すべき兆候:
  • 電子メールは緊急かつあいまいであり、事前のコンテキストはありません。
  • 送信者のアドレスが実際の役員のアドレスと若干異なります (たとえば、"ceo@companyname.com" ではなく "ceo@companyname.co")。
  • リクエストが異常です。ほとんどの企業には、金銭的取引のための正式なプロセスがあります。
5. 偽の IT 部門のパスワード リセット

件名: IT に関するお知らせ: メールのパスワードが本日期限切れになります

このメールは、会社の IT チームから送信された装います。パスワードをすぐにリセットするように指示されています。提供されたリンクは、資格情報を盗む偽のログイン ページにつながります。

注意すべき兆候:
  • メールは、会社の通常の IT コミュニケーション スタイルに従っていません。 
  • 送信者のメールは、公式の会社のドメインからのメールではありません。 
  • IT サポートは通常、従業員にメール リンクを通じてパスワードをリセットするよう求めることはありません。企業は、内部ポータルを使用することが多いです。

フィッシング メールを受け取った場合の対処方法

フィッシング メールを受信した場合は、パニックに陥らず、やり取りもしないでください。自分と他のユーザーを守るには、次の手順に従ってください。

1. リンクをクリックしない、または添付ファイルを開かない
 
  • リンクをクリックしたり、添付ファイルをダウンロードしたり、メールに返信したりしないでください。
  • メールに説得力のあるように見えても、メールとやり取りすると、マルウェアや情報が盗まれる可能性があります。
2. 送信者を確認する
 
  • 送信者のメール アドレスを詳しく確認します。少しのスペルミスやなじみのないドメインなど、何か不自然な点がある場合は、詐欺である可能性が高くなります。
  • メールが企業から送信されたと主張している場合は、提供されたリンクを使用せずに、会社の公式 Web サイトに直接アクセスしてください。
3. フィッシング メールを報告する
 
4. メールをスパムとしてマークして削除する
 
  • 多くのメール サービスには、スパム フィルターの改善に役立つ "フィッシングを報告する" オプションがあります。そのオプションが表示されない場合は、スパムとして報告します。
  • メール プロバイダーがフラグ付けした後もメールをごみ箱に自動的に移動しない場合は、後で誤って開かないように削除します。

フィッシング メールに関与してしまった場合に実行する手順

リンクをクリックしたり、添付ファイルをダウンロードしたり、個人情報を提供したりするなど、フィッシング メールとやりとりしてしまった場合は、損害を最小限に抑えるために迅速な対応を行う必要があります。実行すべき手順は次のとおりです。

1. 共有した内容をメモする
 
  • パスワード、銀行の詳細、または個人情報を入力した場合は、共有した内容を書き留めます。
  • これは、セキュリティで保護する必要がある内容と通知すべき人を決定するのに役立ちます。
     
2. パスワードをすぐに変更する
 
  • 特に銀行、メール、職場アカウントのパスワードを共有してしまった場合は、共有したパスワードを更新してください。
  • 他のサイトで同じパスワードを使用している場合は、そこでもパスワードを変更します。
  • 強力で一意のパスワードを使用し、セキュリティを強化するために多要素認証を有効にします。
     
3. 知る必要がある人に通知する
 
  • フィッシング メールがあなたの仕事用アカウントをターゲットとした場合は、IT またはセキュリティ チームに知らせてください。
  • 財務情報を提供した場合は、銀行またはクレジット カード会社に連絡して取引を監視し、必要に応じてアカウントを凍結してください。
  • 友人、家族、同僚に、詐欺が影響を受ける可能性がある場合には何が起こったかを知らせます (たとえば、攻撃者が侵害されたあなたのアカウントを使用してフィッシング メールを送信する可能性がある場合)。
     
4. フィッシング攻撃を報告する
 
  • お金を失った場合、または機密データが盗まれた場合は、FTC に攻撃を報告してください。
  • 金銭的詐欺が発生した場合は、現地の法執行機関に問い合わせてください。
  • 同様の攻撃をブロックできるように、メール プロバイダーを通じてメッセージをフィッシング詐欺の試みまたはスパムとしてマークします。
     
5. フォローアップ フィッシングの試みを想定する
 
  • 詐欺師は、多くの場合、盗まれたデータを使用して新しいフィッシング メール、テキスト、または通話を送信して、再び標的にします。
  • アカウントの回復に役立つメッセージや、より多くの個人情報を要求するメッセージには、特に注意が必要です。

フィッシングを受けた場合はどうなりますか?

フィッシング攻撃の被害を受けた場合、個人と組織の両方に影響を与える深刻な事態が生じる可能性があります。考えられる影響をいくつか次に示します。

ID の盗難

フィッシングの犯人は、社会保障番号、住所、生年月日などの個人情報を盗んで、被害者になりすまします。これにより、クレジット アカウントを開いたり、被害者の名前で犯罪を行ったりする可能性があります。

金銭的な損失

銀行口座の詳細やクレジット カード番号などのプライベートな金融データにアクセスされると、不正な取引や重大な金銭的損失が発生する可能性があります。たとえば、2013 年から 2015 年の間に Google と Facebook を標的にした高度な請求書フィッシングでは、USD$1 億の損失を招きました。

機密情報の侵害

フィッシングは、ビジネス上の機密情報や個人通信などの機密データを公開する可能性があります。2021 年には、フィッシングメールが原因で、Colonial Pipeline 攻撃が発生し、米国の燃料供給に大きな混乱が生じました。

風評被害

フィッシング攻撃の被害を受けた組織は、評判に長期的な損害を被る可能性があります。特にデータが侵害された場合、顧客やパートナーからの信頼を失う可能性があります。この信頼関係の喪失は、ビジネス上の関係、財務、および一般の認識に持続的な影響を与える可能性があります。

フィッシング メール攻撃の防止

フィッシング メールは説得力があるように見える場合がありますが、常に注意を払い、 メールのセキュリティに関するベスト プラクティスに従うことで、自分を守る方法はまだあります。

関与を求めるすべてのメールに注意する
 
  • リンクをクリックしたり添付ファイルをダウンロードしたりする前に、常にメールを慎重に分析してください。
  • やり取りをする前に、次の質問を自分自身に問いかけてください:
    • このメールは納得できますか? 予期していたものですか?
    • 送信者のメール アドレスは正しいですか?
    • 迅速な行動を求める緊急の要求や脅迫はありますか?
    • 文法やトーンはプロフェッショナルに聞こえますか?
  • 違和感がある場合は、信頼できる連絡方法を使用して、送信者にメールの内容を確認します。
     
メールのセキュリティを強化する
 
  • メール フィルターを使用して、既知のフィッシング メッセージをブロックします。
  • 疑わしいメールをスパムとしてマークして、フィルター処理を改善します。
  • リンクをクリックしたり、不明なソースや予期しないソースから添付ファイルをダウンロードしたりしないでください。
     
ソフトウェアとセキュリティ ツールを最新の状態に保つ
 
  • ウイルス対策ソフトウェアをインストールし、フィッシングの脅威を検出できるように更新されていることを確認します。
  • オペレーティング システム、Web ブラウザー、電子メール アプリの自動更新を有効にして、セキュリティの弱点に修正プログラムを適用します。
     
多要素認証を使用する
 
  • オンライン アカウントの多要素認証を有効にすると、ログインする前に 2 つ目の手順 (電話に送信されたコードなど) が必要になり、セキュリティのレイヤーが強化されます。
  • 攻撃者がパスワードを盗んだとしても、2 つ目の要素がないとアカウントにアクセスできません。

Microsoft Security を使用してフィッシングの一歩先を行く 

フィッシングメールが AI 生成のメール、ソーシャル エンジニアリング、さらにはディープ フェイク技術を使用してますます高度化する中、幸いにも、Microsoft Security ソリューションもそれに対応して検出と防止を行っています。

危機意識と堅牢なセキュリティ ツールを組み合わせることで、フィッシング メールを回避し、個人データとビジネス データを保護することができます。
リソース

Microsoft Security の詳細情報

タブを操作する女性と男性
ソリューション

AI 搭載の統合 SecOps

AI 搭載のプラットフォームを使用して、防止、検出、対応全体でセキュリティ運用 (SecOps) を組み合わせます。
詳細情報
タブで作業している男性

脅威に対する保護ポータルへのアクセスを取得する

組織が統合された拡張検出と応答 (XDR) とセキュリティ情報イベント管理 (SIEM) を使用して、攻撃に対する回復性を高める方法について説明します。
詳細情報

よく寄せられる質問

  • フィッシング メールは、パスワードや財務情報などの個人情報の共有を誘導するように設計された不正なメッセージです。フィッシング メールは、多くの場合、銀行や会社などの信頼できるソースから送信されたように見えるものであり、緊急性の高い言葉づかい、偽のリンク、悪意のある添付ファイルを使用してユーザーを騙そうとします。
  • メールがフィッシングされた場合、詐欺師はあなたの個人情報にアクセスしたり、あなたの身分を盗んだり、あなたのアカウントを使用してさらにフィッシング メールを送信したりする可能性があります。また、財務アカウントにアクセスしたり、機密データを侵害したり、マルウェアを拡散させたりすることもできます。パスワードを変更し、多要素認証を有効にし、攻撃を報告するなど、迅速に対応すると、損害を最小限に抑えることができます。
  • フィッシング メールを見つける 5 つの方法を次に示します:
     
    1. 疑わしい送信者— メール アドレスのスペルが少し間違っていたり、見慣れないものである可能性があります。
    2. 緊急または脅迫的な言葉づかい- 詐欺師は、迅速な行動を起こさせるためにパニックを生み出そうとします。
    3. 一般的なあいさつ— あなたの名前ではなく、「親愛なるお客様」のような語句には特に注意を払ってください。
    4. 疑わしいリンクや添付ファイル — リンクにカーソルを合わせて、クリックする前に URL を確認してください。予期しない添付ファイルにはマルウェアが含まれている可能性があります。
    5. 個人または財務情報に関する要求 — ビジネスを行う本物の企業は、メールでこの種の個人情報を要求しません。
  • フィッシング メールを報告するには、次の手順に従います:
     
    1. メールを開いた状態で、[フィッシングを報告する] または [スパムとしてマークする] オプションを選択して、今後の攻撃をフィルター処理します。
    2. 職場または学校のアカウントを使用している場合は、フィッシング メールを IT 部門に転送します。
    3. 米国では、フィッシング メールを phishing-report@us-cert.gov に転送するか、FTC に報告してください。
       
    報告したら、誤ってクリックしないようにメールを削除します。

Microsoft Security をフォロー