企業の信頼を守るために。
実際の被害事例を知り、正しい知識と技術で「なりすましによる被害」を防ぎましょう。
2025年上半期、国内のフィッシング報告件数は119万6,314件に達し、インターネットバンキングに係る不正送金事犯の被害総額は約42億2,400万円に上りました。
警察庁は、不正送金の約9割がフィッシング起因であることを指摘しています。
過去にはSMS認証などを用いた二段階認証による安全性の向上が謳われていましたが、
現在はこれを突破するリアルタイム型フィッシング(ログインと同時にワンタイムパス等を詐取)の横行が指摘されています。
結果として、「メールやSMSに記載されたリンクを踏ませて認証情報を奪う → 即時に送金処理」の流れが固定化し、短時間で高額の被害に至るケースが目立ちます。
実際に2025年中に京都府警察に寄せられた相談事例の一部をご紹介します
ECサイトの運営者を名乗る者から同サイト内を利用する経営者に対して、メールにより、業務に関する書類の提出を求められた。
経営者は、実際に同サイトで販売業を営んでいるため、公式な調査と信じて、業務に関する書類データを添付し、メールを返信した。
経営者の個人情報を含む業務に関する情報の流出
社長を騙る者から社員に、新事業に関するメールが届き、その後チャットに誘導され、「新事業のため、これから先方の口座情報を送るので○千万円の振込を手配してください。」旨の指示を受けた。
社員は送金手続きを済ませたが、社長を名乗る者から更に送金指示があったため不審に思い、社長に電話で確認したところ、詐欺であることが発覚した。
数千万円の現金被害
証券会社を騙る者から、非営利法人の従業員に対して『ワンタイムパスワードの設定を促すメール』が送信され、従業員はメールに記載のURLにアクセス、パスワードを含む法人口座の情報を入力した。
後日、フィッシングによる口座の乗っ取り被害が発覚した。
証券口座のアカウント情報の流出
※不審な取引きを感知した証券会社により不正送金が阻止されたため、現金被害なし
法律関係者を騙る者から、企業の従業員に対して『著作権侵害のコンテンツがある』旨のメールが届き、添付されたZIPファイルを解凍したが、解凍後のファイルを開くことはできなかった。
その後、会社のSNSの内容が一部改変されており、アカウントが乗っ取られたことが判明した。
SNSアカウントの乗っ取り、PCのマルウェア感染及びPC内の個人情報流出の恐れ
上記の事例から分かるように、攻撃者は「取引先」「経営層」「公的機関や法律家」といった、
私たちが普段信用してしまう相手や、断りにくい権威ある立場になりすまして接触してきます。
手口は年々巧妙化しており、AIの発展もあり、不自然な日本語や怪しいアドレスばかりとは限りません。
「自分は大丈夫」と思い込まず、少しでも違和感を覚えたら、リンクや添付ファイルには触れずに事実確認を行うことが重要です。
なお、詳細な手口や被害状況、その他の事例につきましては無料で配布しております資料にてご確認いただけます。
まずは、自社のドメインが悪用されない、かつ他社からのなりすましを見抜くための「送信ドメイン認証」の導入が必要になります。
送信ドメイン認証にはSPF/DKIM/DMARCの3つがありますが、いずれもなりすましメール対策としては重要な認証となっています。
「ウイルス・スパムチェック」は、なりすまし対策の中でも外部からの侵入を水際で止めるための非常に重要な機能です。
なりすましメールの多くは、最終的に「ウイルス(マルウェア)に感染させる」か「フィッシングサイトへ誘導する」ことが目的なので、
ここを強化するのは特に法人として必須の防衛ラインとなります。
技術で防げなかった場合の「人間の心理を突く攻撃」への備えとして、社員向けのセキュリティ教育は必要です。
なりすましメールは、実際のところ人のミスを誘発させることを目的とした犯罪行為ですので、
普段から標的型攻撃メール訓練や不審なメールの見分け方、違和感があった際の速報の徹底など社員のセキュリティ意識を向上させる必要があります。
OSやソフトウェアの更新も、なりすましメール対策において致命的な被害を防ぐための必須条件となります。
万が一、技術的なフィルターをすり抜けてしまったメールから、いざウイルス(マルウェア)が実行された際、
「OSやソフトの隙」が放置されているかどうかで結果は大きく変わってきます。
※以下のサービスはカゴヤ・ジャパン株式会社様が展開するものであり、京都府警察が特定の事業者のサービスを推奨するものではありません。
ご新規の方も既に各サービスのアカウントをお持ちの方も、アカウントをまとめて管理できますので、是非ご利用ください。
各サービス ログイン
