フィッシング対策ガイド

「重要書類の確認依頼」を装うフィッシング：見分け方と被害時の対処法

近年、フィッシング詐欺は巧妙化しており、ビジネスシーンで日常的にやり取りされるメールやメッセージを悪用する手口が増加しています。特に注意が必要なものの一つに、「重要書類の確認依頼」などを装うフィッシング詐欺があります。本記事では、この手口の特徴と見分け方、そして万が一被害に遭ってしまった場合の適切な対処法について解説します。

「重要書類の確認依頼」を装うフィッシング詐欺とは

この種のフィッシング詐欺は、取引先や社内の担当者、あるいは公的機関などを装い、「重要な書類をご確認ください」「請求書を共有しました」「契約書に同意が必要です」といった件名や本文でメールやメッセージを送りつけてくるのが特徴です。

内容は、添付ファイルを開かせる、あるいは本文中のリンクをクリックさせて偽のログインページやファイル閲覧ページに誘導するものが一般的です。目的は、ログイン情報（ID、パスワード）、個人情報、クレジットカード情報などを窃取することにあります。

ビジネスの現場では日々多くの書類や情報がやり取りされるため、こうした通知が届いても不自然に感じにくいという点が、この手口の危険な点です。

見分け方のポイント

「重要書類の確認依頼」を装った不審なメールやメッセージを見分けるためには、以下の点に注意して確認することが重要です。

• 差出人のメールアドレスを確認する
  • 見た目が取引先や知人の名前でも、表示されているメールアドレスが正規のものであるかを確認します。ドメイン名（@以降の部分）がわずかに異なっている、フリーメールアドレスが使われている、といった場合は詐欺の可能性が高いです。
• 本文の表現に不自然な点はないか
  • 日本語の表現がおかしい、誤字脱字が多い、敬称が不自然、唐突な言い回しがあるなどの場合は疑う必要があります。
  • 業務内容や文脈に合わない依頼内容である場合も要注意です。
• 誘導先のURLを安易にクリックしない
  • 本文中のリンクにマウスカーソルを合わせる（クリックはしない）と、画面下などに実際のリンク先URLが表示されます。これが正規のサイトのURLであるかを慎重に確認してください。偽サイトのURLは、正規のURLと非常によく似ていることが多いですが、よく見ると異なる点があります。
  • 短縮URLが使われている場合も、安易にクリックせず、信頼できるツールで安全性を確認するか、メール自体を無視してください。
• 添付ファイルの注意点
  • 見慣れないファイル形式や拡張子（.exe, .scr, .jsなど）の添付ファイルは絶対に開かないでください。WordやExcel、PDFファイルに見えても、実は実行ファイルである場合や、ファイルを開くことで悪意のあるプログラムが実行される仕掛けが施されていることがあります。
  • パスワード付きZipファイルで送られてくる場合も注意が必要です。パスワードがメール本文や別のメールで送られてくる場合、セキュリティ対策ソフトをすり抜ける目的で行われている可能性があります。ファイルを開く前に、必ず差出人に正規の手段（電話など）で確認を取るようにしてください。
• 心当たりがない、またはいつもと違う流れである
  • そもそもその書類の確認依頼を受ける心当たりがない場合や、普段の業務の流れと違う方法（いつもは別のシステムを使うのにメールで送られてきた、など）で依頼が来ている場合は、特に慎重な確認が必要です。
  • 急かされている内容である場合も、冷静な判断力を奪うための手口と考えられます。

最新の手口とその対策

最近のフィッシング詐欺では、正規のクラウドストレージサービス（例：Google Drive, OneDrive, Dropboxなど）の共有機能を悪用する手口が増えています。これらのサービスからの正規の通知メールに偽装し、「〇〇さんがあなたとファイルを共有しました」といった件名でメールを送ります。

メール内のリンクは正規のサービスのものに見えますが、クリックすると偽のログインページに誘導されたり、ファイルを開こうとすると偽のプレビュー画面が表示され、そこでアカウント情報を入力させられたりします。

対策としては、共有通知が届いた際も、以下の点を徹底することです。

• 差出人（共有者）に心当たりがあるか確認する。
• メール本文中のリンクをクリックする前に、共有されたファイル名や内容に不審な点がないか確認する。
• 最も安全なのは、メールや通知のリンクからではなく、日頃からアクセスしている正規のサービスサイトやアプリからログインし、共有されているファイルを確認しに行く方法です。

万が一、被害に遭ってしまった場合の具体的な対処法

フィッシング詐欺に気づかず、偽サイトでログイン情報などを入力してしまったり、危険なファイルを開いてしまったりした場合、被害を最小限に抑えるためには迅速かつ正確な対応が必要です。

1. 冷静になり、状況を把握する: パニックにならず、何が起こったのか（どの情報を入力したか、どのリンクをクリックしたか、どのファイルを開いたかなど）を整理します。
2. 関連するアカウントのパスワードを即座に変更する:
   • 情報を入力してしまったサービス（偽装されていたサービス）の正規サイトにアクセスし、すぐにパスワードを変更してください。
   • 同じパスワードを他のサービスでも利用している場合は、それらのパスワードもすべて変更してください。
3. 企業や組織のシステムに関する情報であれば、社内のIT部門やセキュリティ担当者に速やかに報告する:
   • 被害状況を正確に伝え、指示を仰ぎます。情報漏洩やシステム侵害のリスクがあるため、迅速な報告が不可欠です。
4. クレジットカード情報を入力してしまった場合:
   • 利用しているカード会社の緊急連絡先（裏面に記載されています）にすぐに連絡し、カードの利用停止と不正利用がないか確認を依頼してください。
5. フィッシングメールや偽サイトに関する証拠を保全する:
   • 受信したフィッシングメール（ヘッダー情報を含む）、アクセスしてしまった偽サイトのURL、表示されていた画面のスクリーンショットなどを保存しておきます。これらは、警察などに相談する際に重要な証拠となります。
6. 利用しているサービスのサポート窓口に相談する:
   • なりすまされたサービス（例：実在するクラウドサービス、ECサイトなど）の公式サポート窓口に連絡し、フィッシング詐欺に自社/自社のサービスが悪用されている可能性がある旨を報告します。
7. 公的な相談窓口に連絡する:
   • 消費者ホットライン（電話番号：188）: 消費者庁などが運営する相談窓口です。フィッシング詐欺を含む消費者トラブル全般について相談できます。
   • 警察相談専用電話（電話番号：#9110）: 警察の相談窓口です。犯罪の可能性がある被害について相談できます。被害届の提出が必要になる場合もあります。
   • 情報処理推進機構（IPA）セキュリティセンター: フィッシング報告を受け付けています。
   • ※これらの窓口は一般的な相談先であり、個別の被害回復や補償を保証するものではありません。また、相談内容によっては専門の窓口を案内されることがあります。
8. 被害状況を継続的に監視する:
   • 不正なアカウント利用がないか、身に覚えのない請求がないかなどを定期的に確認してください。

日頃からできる対策

フィッシング詐欺から身を守るためには、日頃からの心構えと対策が重要です。

• 二段階認証/多要素認証（MFA）を設定する: アカウントのセキュリティを強化し、パスワードが漏洩しても不正ログインを防ぐのに非常に有効です。
• OSやソフトウェアを常に最新の状態に保つ: 脆弱性を修正し、マルウェア感染のリスクを減らします。
• 信頼できるセキュリティ対策ソフトを導入し、常に最新の状態に保つ: 不審なファイルやサイトへのアクセスを検知・防御するのに役立ちます。
• 不審なメールやメッセージは安易に信用せず、必ず正規の手段で確認する習慣をつける: 電話や公式ウェブサイトなど、普段から利用している信頼できる連絡手段で相手に確認を取ることが最も確実です。

まとめ

「重要書類の確認依頼」を装うフィッシング詐欺は、ビジネスシーンに潜む危険な手口です。常に「もしかしたら詐欺かもしれない」という疑いの目を持つこと、そして不審な点がないか冷静に確認することが被害を防ぐ第一歩です。万が一、被害に遭ってしまった場合も、迅速な対応と関係各所への連絡により、被害の拡大を防ぐことができます。本記事でご紹介した見分け方や対処法を参考に、フィッシング詐欺からご自身と所属する組織を守るための対策を講じてください。