フィッシング対策ガイド

「パスワード入力が必要です」は危険？暗号化ファイルなりすましフィッシングの見分け方と対処法

私たちの日常業務において、機密情報を含むファイルを安全にやり取りするために、パスワード付きの圧縮ファイルや暗号化ファイルが利用される機会は少なくありません。しかし、このセキュリティ対策として一般的な手法が、フィッシング詐欺に悪用されるケースが増加しています。

「パスワードを入力しないとファイルが開けない」という状況を作り出し、巧妙に情報を盗み取ろうとする手口について、その見分け方と、万が一被害に遭ってしまった場合の対処法を解説します。

パスワード付きファイル・暗号化ファイルなりすましフィッシングの手口

この種のフィッシング詐欺は、主にメールを介して行われます。攻撃者は、取引先や社内の関係者など、あなたが普段からパスワード付きファイルをやり取りする相手になりすまします。

メールには、以下のような内容が記載されていることが一般的です。

• 「パスワード付きファイルをお送りします」
• 「セキュリティ保護のため、ファイルは暗号化されています」
• 「ファイルを開くには、本文中のリンクからパスワード入力画面にお進みください」
• 「パスワードは添付のPDFファイルに記載されています」
• 「万が一開けない場合は、こちらのリンクから認証してください」

特に巧妙な手口では、以前にやり取りした正規のメールの内容を引用したり、添付ファイル名も業務に関係ありそうな名称にしたりします。

添付されたファイルは、偽のパスワード情報が書かれたものだったり、開くとマルウェアに感染するようなものだったりします。また、本文中のリンクをクリックすると、本物そっくりに作られた偽のログインページや、ファイル解凍ツールを装った偽サイトに誘導され、そこでIDやパスワード、個人情報などをだまし取られます。

多忙な業務中に、心当たりがあるような件名や添付ファイル名で送られてくると、深く考えずに開いてしまったり、要求されるままにパスワードを入力してしまったりする危険性があります。

見分け方のポイント

このようなフィッシング詐欺メールや、それに伴う不審なファイルを見分けるためには、いくつかのポイントに注意が必要です。

1. 送信元メールアドレスを確認する 差出人名が知っている相手でも、メールアドレス自体が正規のものであるかを確認してください。よく見ると、一文字だけ違う、見慣れないドメイン名になっているなど、不審な点が見つかることがあります。
2. 件名や本文に不自然な点がないか 急に「重要」「緊急」といった文言でパスワード付きファイルが送られてきた、日本語や言い回しに不自然さがある、会社の正規のパスワード通知ルールと異なる手順が指示されている、といった場合は警戒が必要です。
3. パスワード入力を要求するリンクのURLを確認する 本文中のリンクをクリックする前に、マウスカーソルをリンクの上に重ねて、表示されるURLを確認してください。正規のサービスのURLと異なっていないか、見慣れないドメインではないかを確認しましょう。SSL証明書（URLがhttps://で始まっているか、鍵マークが表示されているか）がある場合でも、それが本物のサイトである保証はありません。
4. 添付ファイルの拡張子を確認する 添付ファイルの拡張子が、想定されるもの（.zip, .lzhなど）と異なる場合や、実行ファイル（.exe, .scrなど）やOfficeファイルのマクロ有効形式（.docm, .xlsmなど）である場合は特に注意が必要です。ただし、正規のファイルでもこれらの拡張子を使用することはあるため、他の見分け方と組み合わせて判断してください。
5. 本来のやり取りとの整合性を考える そのパスワード付きファイルが送られてくることに心当たりがあるか、事前にパスワードについて連絡を受けていたか、など、これまでのやり取りと整合性が取れているかを確認しましょう。急に、何の予告もなくパスワード付きファイルが送られてきて、すぐにパスワード入力を求められる場合は不審です。
6. パスワードの受け渡し方法が正規の手順と異なるか 社内や取引先との間でパスワード付きファイルをやり取りする際に、正規のルールがある場合は、それに沿っているかを確認してください。例えば、「パスワードは別のメールで送る」「電話で伝える」「社内共有ツールで知らせる」といったルールがあるにも関わらず、「本文中のリンクをクリックして入力」を求められた場合は、フィッシングの可能性が高いです。

これらのポイントを複数確認し、一つでも不審な点があれば、安易にファイルを開いたり、リンクをクリックしたりせず、差出人に別の手段（電話など）で確認を取ることが重要です。

万が一被害に遭ってしまった場合の対処法

もし、不審なパスワード付きファイルを開いてしまった、あるいは偽サイトでパスワードを入力してしまったなど、フィッシング詐欺の被害に遭った可能性がある場合は、落ち着いて迅速に対処することが二次被害を防ぐ上で非常に重要です。

1. ネットワークから切断する もし不審なファイルを開いてしまった場合は、すぐにインターネット回線を切断してください。Wi-Fiを切る、LANケーブルを抜くなどの方法があります。これはマルウェアの感染拡大や外部への情報送信を防ぐためです。
2. 入力してしまったパスワードを変更する もし偽サイトでパスワードを入力してしまった場合は、速やかに正規のサイトにアクセスし、そのパスワードを使用している全てのアカウント（特に入力してしまったサービス、同じパスワードを使い回している他のサービス）のパスワードを変更してください。不正ログインを防ぐため、複雑で推測されにくい新たなパスワードを設定しましょう。
3. 関係各所に速やかに連絡する
   • 所属する組織のIT担当者やセキュリティ担当者: 会社のPCやメールアカウントで被害に遭った場合は、すぐに報告し、指示を仰いでください。情報漏洩やシステムへの影響が懸念されます。
   • 利用しているサービスの運営元: パスワードを入力してしまったサービスがある場合は、不正利用の可能性があることを連絡し、アカウントの停止や調査を依頼してください。
   • 家族や同僚に注意喚起する: あなたのアカウントが乗っ取られた場合、知人に対してフィッシングメールが送られる可能性があります。被害が拡大しないよう、注意喚起を検討してください。
4. 証拠を保全する 被害状況を正確に伝えるために、受信したメールのヘッダー情報、不審なサイトのURL、表示されたエラーメッセージなどをスクリーンショットなどで記録しておくと役立ちます。ただし、不審なファイル自体を安易に再度開いたり、リンクをクリックしたりしないように注意してください。
5. 公的機関に相談する どこに相談すれば良いか分からない場合や、金銭的な被害が発生した場合は、以下の公的機関に相談することができます。
   • 警察相談専用電話「#9110」: サイバー犯罪に関する相談も受け付けています。
   • 消費者ホットライン「188」: 消費者トラブル全般に関する相談窓口です。
   • 独立行政法人情報処理推進機構（IPA）セキュリティ相談窓口: 技術的な相談や情報提供を受け付けています。 （これらの連絡先は一般的なものであり、個別のケースに対応するものではない場合があります。）

日頃からできる対策

フィッシング詐欺を防ぐためには、日頃からの対策が重要です。

• 不審なメールやメッセージは安易に開かない、リンクをクリックしない。 送信元を必ず確認し、少しでもおかしいと感じたら無視しましょう。
• 添付ファイルを安易に開かない。 特に、心当たりがない場合や、拡張子に不審な点がある場合は注意が必要です。
• 多要素認証を設定する。 アカウントにログインする際に、パスワードだけでなく、スマートフォンのアプリやSMSコードなど、複数の認証要素を組み合わせることで、パスワードが漏洩しても不正ログインを防ぐ確率が高まります。
• OSやソフトウェアを常に最新の状態に保つ。 セキュリティの脆弱性を解消し、マルウェア感染のリスクを低減します。
• 組織内のセキュリティルールを遵守する。 会社などで定められているファイルの受け渡し方法やパスワード管理のルールに従いましょう。

まとめ

パスワード付きファイルや暗号化ファイルのやり取りは一般的ですが、それを悪用するフィッシング詐欺は巧妙化しています。「パスワードが必要です」という表示や案内があっても、すぐに信用せず、今回解説した見分け方のポイントを確認することが重要です。

万が一被害に遭った場合は、冷静に判断し、ネットワークからの切断、パスワード変更、関係各所への連絡といった初期対応を迅速に行ってください。そして、被害の拡大を防ぎ、解決に向けて公的機関など専門家の支援を求めることも検討しましょう。

日頃からセキュリティ意識を持ち、不審な兆候を見逃さないことが、フィッシング詐欺から身を守るための最良の防御策となります。