手口を知ることが、防御の第一歩
| Spear Phishing スピアフィッシング |
Smishing スミッシング |
Business Email Compromise (BEC) | Vishing ビッシング |
| 標的型フィッシング | SMS フィッシング | ビジネスメール詐欺 | 音声フィッシング |
| 特定の個人・組織を狙い、実名・部署名・業務内容を盛り込んだ高精度な偽メールを送付する手口。 | SMS で偽リンクを送りつけ、宅配不在通知・銀行通知などに見せかけてクリックを誘導する。 | 取引先や経営幹部になりすまし、送金・口座変更・機密情報の提供を要求するビジネスメール詐欺。 | 電話で金融機関・IT 部門などになりすまし、口頭でパスワードや個人情報を聞き出す手口。 |
| 💰 経理・財務部門 | 偽の請求書・銀行口座変更依頼・振込指示メールが騙されやすい。BEC(ビーイーシー)の主要標的。 |
| 📊 営業部門 | 取引先を装った見積依頼・提案書・ファイル共有リンクを悪用した攻撃に騙されやすい。 |
| 🖥️ 情報システム部門 | パスワードリセット・セキュリティ警告・クラウド管理コンソールを模した偽メールに騙されやすい。 |
| 👥 人事部門 | 履歴書・採用応募ファイルに見せかけたマルウェア添付ファイルに騙されやすい。採用活動が活発な時期は特に注意。 |
| 👔 経営幹部 | Whaling(ホエーリング)と呼ばれる、経営判断・M&A・機密情報を狙った高度標的型攻撃の対象になりやすい。 |
| 《Step1》 送信元を確認する |
表示名ではなく、実際のメールアドレスを確認。メールのドメイン(アットマーク以降)が正しい送信元か確認する。 |
| 《Step2》 URL をクリック前に確認する |
リンクにカーソルを合わせた状態でクリックせず、ステータスバーに表示されるURLを確認。開こうとしているURLが正しいか確認する。 |
| 《Step3》 ファイル拡張子を確認する |
.exe .bat .vbs .js .docm .xlsm など実行・マクロ有効ファイル形式は特に注意。PDFに見せかけた実行ファイルにも注意する。 |
| 《Step4》 別の手段で送信元に確認する |
疑わしい場合は、そのメールへの返信ではなく、電話や別のメールアドレスで送信者本人に確認を取る。 |
| 情報システム部門 | 不審メール・ファイルの技術的検証・報告窓口 |
| 管理職・上司 | 判断の相談相手、「報告してよかった」という文化の醸成 |
| 周囲の仲間 | 同じようなメールを受け取っていないか横断確認 |
| セキュリティ担当 | インシデント対応・ポリシー整備・訓練の実施 |