FTC、なりすまし詐欺の人気媒体は電子メールであると報告

ブログ

詐欺師が企業や政府になりすましてメールを送り、あなたの情報を盗みます。FTCの新ルールとなりすましメール詐欺に対抗するためのヒントをご覧ください。

byユネス・タラダ

読書時間 7
FTC、なりすまし詐欺の人気媒体は電子メールであると報告
目次-

なりすまし攻撃は過去10年間に増加の一途をたどっており、大手企業や政府機関もその標的になっている。連邦取引委員会 連邦取引委員会のConsumer Sentinel Networkは、これらの企業や政府機関を狙った何千件ものなりすまし詐欺の報告を常に警戒している。

こうした攻撃の問題点は、人間の心理を利用しているため、発見や阻止が非常に難しいことだ。さらに、詐欺師のなりすましテクニックはますます技術的に洗練されてきている。その結果、詐欺の成功率が高まっているのだ。 

なりすまし詐欺を成功に導く一般的な理由は、組織におけるセキュリティ対策の不備と従業員の認識不足である。FTCによれば、2023年だけでも33万件のビジネスなりすまし詐欺と16万件の政府機関なりすまし詐欺が報告されている!FTCの 消費者保護データ・スポットライトにおいて、FTCは、過去1年間にこれらの攻撃に関連した総費用が10億ドルを超えたことを明らかにした。

主なポイント

  1. なりすまし詐欺の増加は、詐欺師の手口が巧妙化していることと、組織内のセキュリティ対策が不十分であることが主な原因である。
  2. 2020年以降、電子メールとSMSがなりすまし詐欺の主要な媒体となっており、従来の電話詐欺を上回っている。
  3. よくあるなりすまし詐欺には、偽のアカウントアラート、更新通知、信じられないような割引、荷物の配送問題、法執行機関になりすました脅迫などがある。
  4. SPF、DKIM、DMARCなどの電子メール認証プロトコルを導入することは、組織がなりすまし詐欺を効果的に防止するために不可欠です。
  5. 電子メールの赤信号に注意し、送信者のアドレスを確認することは、なりすまし詐欺の被害を避けるのに大いに役立つ。

なりすまし詐欺とは? 

なりすまし詐欺とは、攻撃者が組織や機関、個人になりすまし、被害者を騙して機密情報を開示させるサイバー脅威です。なりすまし詐欺は通常、金銭的な動機、または組織の内部システムや情報へのアクセスを目的としています。 

誰がターゲットなのか?

現実には、誰もがネット上でなりすますことができる。しかし、サイバー攻撃者は、収益性という動機を念頭に置き、一般的に以下のような人気のあるターゲットになりすまして詐欺を行います: 

  1. 有名民間企業 
  2. 政府機関
  3. 銀行および金融機関 
  4. 大学、その他の教育機関 
  5. 企業の高級幹部(CEO、CTO、CFO)
  6. 友人と家族 

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

どのような方法が用いられるのか?  

なりすまし詐欺を実行するために、攻撃者は次のような方法を使うことがある: 

1.電子メールによるフィッシング: フィッシングメールは通常、偽造またはなりすましのドメイン名から送信され、実在の組織になりすまして既存顧客や潜在顧客をだます。

2.ビッシング/スミッシング:フィッシングと似ているが、電話やSMSを使って行われ、攻撃者は正当な情報源になりすまして機密情報を引き出す。

3.ソーシャルメディア:ソーシャルメディアでは、詐欺師が既存のユーザーの偽プロフィールを作って、誤った情報を流したり、友人や家族を騙したりする、なりすまし詐欺が横行している。アカウントの乗っ取りも、ソーシャルメディアのなりすまし詐欺の手口です。

目標は何か? 

なりすまし詐欺の最終的な目的は、こうだ: 

  1. ログイン情報、アカウントパスワード、クレジットカードやデビットカードの詳細などの機密情報を盗む。 
  2. 被害者や組織から金銭を盗んだり送金したりする 
  3. 被害者を操り、ランサムウェアやマルウェアをシステムにダウンロードさせる。
  4. 個人情報の盗難 

2023年に消費者からFTCに報告されたなりすまし詐欺トップ5 

FTCはデータ・スポットライト・レポートの中で、2023年に消費者から最も多く報告された詐欺を以下のように列挙している: 

1.偽アカウント・セキュリティ・アラート 

銀行から「○○万円を送金しました。これは、銀行が取引を行う際に、セキュリティのために送信するごく普通のメッセージです。ただ、このメッセージは銀行からのものではありません。今回は、銀行になりすました攻撃者が、あなたを騙して送金させようとするものなのだ。 

2.偽アカウント更新アラート

Netflixのアカウントをしばらく更新していなかったのに、突然Netflixからアラートが届き、自動更新が実行され、アカウントからお金が引き落とされることを知らされた。これには驚かされ、すぐに行動を起こすよう促されることだろう。このNetflixになりすました詐欺師の偽アラートは、消費者からFTCに報告された同様のなりすまし詐欺に端を発しています。 

3.信じられないほどの割引オファー、セール、ギフトクーポン 

岩の下で暮らしているのでなければ、この詐欺は目新しいものではないだろう。Eコマース企業から、最新のセールや割引に関するメッセージやEメールが届くことはよくある。中には本物のものもあるが、こうしたメッセージのほとんどは詐欺である!用心深く、不審なリンクや添付ファイルなどの警告サインを探すことが大切です。また、文章が稚拙であったり、文法に誤りがあったり、お得すぎるオファーであったりする場合もあります! 

4.荷物の配送に関する問題 

2023年から2024年にかけて、荷物の配達問題詐欺が急増した。この詐欺は無害に見える。あなたの名前で配達された荷物が配達に間に合わなかったので、最寄りの郵便局で手動で受け取るよう通知される。メッセージには通常、荷物の詳細が記載されたリンクが添付されている。しかし、実際には荷物はなく、リンクからフィッシング・ウェブサイトに誘導され、認証情報を盗まれたり、システムにマルウェアをダウンロードされたりする可能性がある! 

5.法律の怖さ

ストレスや強迫は、しばしば判断力の低下や欠如につながる。これが、今回のなりすまし詐欺の動機である。法執行機関になりすました詐欺師は、無実の個人が何らかの形で法律に巻き込まれたとして請求する。混乱した被害者は、トラブルに巻き込まれないため、また身を守るために詐欺師の言うことを何でも聞いてしまう。 

FTC、政府および企業へのなりすましに関する新規則を導入

2024年4月1日 2024年4月1日FTCはついに、政府および企業へのなりすましに関する新ルールを導入した。なりすまし詐欺を防止し、消費者が被る金銭的損失を最小限に抑えるための厳格な措置が導入された。以下は、その要点である:

  1. FTCは、詐欺を働いた消費者から盗んだ金銭の払い戻しを受けるために、犯人に対して法的措置を取ることができる。 
  2. FTCは、様々なタイプのなりすまし詐欺について消費者を保護し、教育することで、消費者がより良い情報を得ることができるよう、努力を続けている。
  3. FTCも4月30日までパブリックコメントを受け付けている。 取引規制規則なりすましに関する消費者インサイト

電子メールなりすまし詐欺の主な媒体

FTCは、2020年以降のなりすまし詐欺の2大媒体として、電子メールとテキスト・メッセージを挙げている。以前は電話による詐欺が人気だったが、その頻度は確実に減少しており、電子メールとSMSによる詐欺が増加している!

しかし、なぜ攻撃者は電子メールを選ぶのだろうか?電子メールは、個人でも仕事でも頻繁に使用されるため、サイバー攻撃の有力な媒体です。1日あたり3,000億通以上の電子メールが送信され、世界中で40億人以上の電子メールユーザーが活動しています!このため、詐欺師が潜在的な被害者を選別するのに、Eメールがよく使われる媒体となっているのです。Eメールがよく使われるその他の要因としては、以下のようなものがある: 

  1. 電子メール詐欺に対する認識不足 
  2. 組織や政府機関における電子メール・セキュリティの不備 
  3. 高度なドメイン認証プロトコルのサポート不足 

なりすましメール詐欺を防ぐには?

メールのなりすましを防ぐには、受信するメールに注意することと、詐欺師が正当な送信者になりすますことを難しくすることです(これは組織により多く当てはまります)。

個人の場合は、以下のようなヒントがある:

  • 赤信号に注意すること:詐欺師は、緊急性やプレッシャーを煽り、何も考えずにすぐに行動できるように騙すことがよくあります。間違った文法やスペルミス、予期せぬ金銭や個人情報の要求があるメールに注意しましょう。
  • 差出人のアドレスを確認すること:送信者名だけを頼りにしてはいけません。Eメールアドレスの全文をよく見ましょう。詐欺師は簡単に送信者名を詐称し、合法的に見せかけることができます。
  • 不審なリンクや添付ファイルはクリックしない:クリックする前にリンクにカーソルを合わせると、本当のリンク先のURLが表示されます。不明な送信者からの添付ファイルは絶対にダウンロードしないでください。
  • 迷惑メールに注意しましょう:知らない人からメールを受け取ったら、特に用心すること。 

なりすまし詐欺の急増に伴い、クラウドメールセキュリティソリューションの導入が極めて重要になっています。なりすまし詐欺を防止し、機密情報を保護し、サイバー脅威が増大する中で業務の完全性を維持する上で、電子メール通信を保護するこの包括的なアプローチは極めて重要な役割を果たします。

組織の場合は、さらに技術的な対策がある:

  • SPF認証: SPFは、お客様のドメインからのメールであることを主張するメールが、お客様の承認されたサーバーから送信されたものであることを確認するのに役立ちます。
  • DKIM認証: DKIMは、トランザクション中に電子メールが改ざんされていないこと、およびメッセージの内容がそのまま維持されていることを確認するのに役立ちます。
  • DMARC DMARCDMARCは、SPFおよび/またはDKIMを基に構築され、メール受信者があなたのドメインからの認証されていないメールをどのように処理するかを指定することができます。
  • 従業員を教育する:なりすましメール詐欺に注意し、見破る方法を従業員に教育する。

技術的なプロトコルを設定するには、知識と専門知識とともに、時間、労力、リソースが必要になりますが、組織は、DMARCアナライザを使用することで、プロセスを容易にすることができます。 DMARCアナライザー.このツールは、単一ドメインまたは複数ドメインのメール認証を簡単に設定、監視、管理するのに役立ちます。さらに、非エンフォースメントポリシーからエンフォースメントポリシーへの移行をより迅速に、コスト効率よく、安全に行うことができます。これにより、なりすましメール詐欺からある程度保護されます。

最後の言葉

FTCは、なりすまし詐欺の被害者を支援し、サイバー脅威に対する認識を広める努力を続けています。FTCが金銭を要求したり、恐喝したり、武力を行使したり、報酬を提供したりすることは決してないことを覚えておくことが重要です。したがって、FTCを名乗り、不審な行動をとる人物からSMS、電子メール、電話を受けた場合は、注意してください!すぐに公式ウェブサイトに記載されているFTCのヘルプライン番号に連絡し、助けを求めてください。 

最後に、常に安全なデジタル・コミュニケーションを説き、実践し、常に注意を払い、優れたサイバーセキュリティ・ツールに投資することを忘れないでください。予防は常に治療に勝るものであり、今、適切な対策を講じることで、将来、修復にかかる費用を節約することができる!

最新記事 by Yunes Tarada(全て見る)
電子メールコミュニケーションにおけるデータプライバシー:コンプライアンス、リスク、ベストプラクティスクロップ・ランサムウェアClop ランサムウェアとは?