メール・Webは誰もが日常的に利用するツールであるため、情報セキュリティ事故の発生頻度も非常に多く、大規模な情報セキュリティ事故発生のきっかけにもなっています。
メール・Web利用による情報セキュリティ事故
「ID・パスワードを窃取され、不正アクセスされて情報漏えい」や「PC等をマルウェア感染させ、システム破壊、情報漏えい」といった情報セキュリティ事故は、そのほとんどがメール・Web利用による以下のようなケースをきっかけに発生しています。
- メール本文内のURLをクリックさせ、偽のWebサイトでID・パスワードを入力させる
- メール本文内のURLをクリックさせ、不正プログラムに感染させる
- メールの添付ファイルを開封すると、不正プログラムが気付かないうちに実行される
上記のケースで用いられるサイバー攻撃手法のうち、特に本学園での被害件数が多いのが「フィッシング」によるものです。 「フィッシング」とは、実在する公的機関や金融機関、企業等を装い、偽のWebサイト(フィッシングサイト)にクレジットカード番号、ID、パスワードなどを入力させて窃取する不正行為であり、その特徴は以下の通りです。
- 危機感を煽る内容や緊急性を強調する内容で、支払請求や配送通知、エラー通知(メール受信エラー等のシステムメールを装ったもの)を装った内容のものが多い。
- 偽のWebサイトのURLが記載された「フィッシングメール」を拡散する。メール拡散には、窃取したアカウントを「踏み台利用」する攻撃手法を用いることも多く、「被害者が加害者に」なって連鎖的に被害が拡大してしまう。
- 特定組織を標的にした攻撃(標的型攻撃)に用いられる場合に、その組織の正規のWebサイトを模したフィッシングサイトが作成されることもある。
メール・Web利用時のセキュリティ対策
攻撃者は様々なパターンでメール・Web利用者の心理をついて誘導し、アカウントを窃取したり、マルウェア感染させたりします。
そのため、「利用者一人ひとりが日常的に不審なメール・Webサイトを見分ける」ことが求められます。
メール・Webを利用する際には、日常的に以下のチェック項目を意識するようにしてください。
①差出人の確認(メールアドレス、署名)
- 差出人に心当たりがあるか
- 差出人が普段使用しているメールアドレスから送られてきているか
フリーのメールアドレス(Gmail、Yahoo!メールなどのドメイン名から組織を判別できないアドレス)から送られてきている場合は要確認
メールに表示される差出人情報(差出人名、メールアドレス)の表記を偽り、差出人になりすましてメールを送る手法も横行しています。差出人情報だけで判断せず、後述の②~④の確認も合わせておこなってください。
② 文面の確認
- メール内容に心当たりがあるか
- 差出人の情報(署名等)が記載されているか、差出人のメールアドレスと本文の署名に記載されたメールアドレスは同じものか
- 日本語の言い回しが不自然であったり、日本語で通常使用されない漢字が使用されていたりしないか
- 本文だけで内容が完結せず、本文中にURLが記載されており、何らかの行動を促す内容となっていないか
- 危機感を煽る内容や緊急性を強調する内容となっていないか
- 支払請求や配送通知は正規のものか
- 本文中のURLは差出人と関係があるものか
- 本文中のURLのリンク先が偽装されていないか(URLの文字列の上にマウスを置いたときに表示されるリンク先と同一か)
③ 添付ファイルの確認
- 実行形式ファイル(拡張子がexe / scr / cplなど)が添付されていないか
- ショートカットファイル(拡張子がlnk / url)が添付されていないか
- 添付ファイルのアイコンが偽装されていないか(アイコンと拡張子が異なる 等)
- ファイル拡張子が不自然ではないか(拡張子が二重になっている、拡張子前に大量のスペース文字 等)
④ Webサイトの確認
- URLは正規のものか(立命館大学が運営する正規Webサイトの場合であれば、“ritsumei.ac.jp/~”または“ritsumei.jp/~”のドメインを使用)
- ID・パスワードやクレジットカード番号等の個人情報の入力を求めるものの場合、Webサイトが暗号化されているか(URLがhttps://~ではじまる、南京錠のアイコンが表示される )
RAINBOWユーザーIDおよびパスワードの窃取が疑われる場合、情報基盤課またはRAINBOWサービスデスクからメールで緊急連絡をする場合があります。
悪意のある者がなりすまして同様の内容のメールを送信してくる可能性がありますので、「RAINBOW ユーザーIDおよびパスワードの窃取の疑い」に関わるメールを受信された方は、各キャンパスのRAINBOWサービスデスクに電話でお確かめください。
また、RAINBOWユーザーIDおよびパスワードを不用意に入力しないようにしてください。
関連サイト
フィッシング対策協議会
IPA独立行政法人情報処理推進機構 「標的型サイバー攻撃対策」