個人向け詐欺は人ごとじゃない？ “組織の中の個人”を狙う攻撃：宮田健の「セキュリティの道も一歩から」（121）（1/2 ページ）

「モノづくりに携わる人」だからこそ、もはや無関心ではいられない情報セキュリティ対策。今回は、個人向けフィッシング詐欺から企業版振り込め詐欺まで、“組織の中の個人”を狙う最近の攻撃と、その対策について考えます。

[宮田健，TechFactory]

本記事は「TechFactory」に掲載された会員限定コンテンツをMONOist向けに再編集した転載記事となります。［全文を読む］には、会員登録（無料） およびログインが必要になります。

　先日、筆者のところにこんなメールが来ました（図1）。クレジットカード会社からのメールで、どうやら自動引き落としができていないため、急いでスマートフォンから支払いを行え、というものです。

　ただ問題なのは、筆者自身、このメールに書かれていた楽天カードを持っていないことです。もちろん、これはフィッシングメールにほかなりません。個人に向けて最近広くばらまかれているタイプのもので、楽天カードだけでなく、ちょうど時期的にぴったりな国税や市民税を装い、詐欺行為を行うものもあります。

図1　筆者のところに届いたフィッシングメール［クリックで拡大］

　今回のフィッシングが巧妙なのは、個人向けでよく使われている「PayPay」のリンクが使われていることです。リンク文字列をタップすると、正しくPayPayが開かれ、ほんの1、2タップで送金まで完了できてしまいます。標準機能を悪用したもので、送金を実行したのはほかでもない“あなた自身”になるため、成功率も高くなっているようです。

　送金先のアカウントは比較的すぐに特定できるため、支払い手続きとして指示されているURLはそこまで長く有効ではないものの、メールをばらまいて短期間で詐欺を行う手法としては、かなり効率の良いものになっています。皆さんのところにも届いているタイプのフィッシングだと思いますが、ぜひ、しっかりと「無視」していただき、できればフィッシング報告も行ってください。

関連リンク：

⇒ 不正やトラブルへの対策｜PayPay

「組織の中の個人」も狙われる