情報セキュリティ

大学におけるウェブメールサービスを狙ったフィッシングメールに注意

公開日:2018年10月31日

独立行政法人情報処理推進機構
セキュリティセンター

  • 安心相談窓口だより

大学におけるウェブメールサービスを狙ったフィッシングメールに注意
ー フィッシングの基本の手口を知って、継続的な対策を ー

今年4月から6月にかけて、大学のウェブメールサービスを狙ったフィッシング被害が相次ぎました。同時期に、当機構へも数件届出がありました。7月、8月にも被害を確認しており、今後も引き続き注意が必要であると考えます。

被害のあった大学による公開情報、および当機構への届出内容をもとに、今回の手口と被害、および利用者とシステム管理者における対策について解説します。

1.手口

フィッシングの手口は、主に次のような流れでした。

  • 図1.ウェブメールサービスを狙ったフィッシングの例

(1) ウェブメールサービスのシステム管理者を装ったメールが届く

大学で利用しているウェブメールサービスのシステム管理者を装い、送信エラーやメールボックスがいっぱいであるなどと記載されたメールが、大学の学生や教職員あてに送られてきます。

当機構で確認した範囲では、被害にあった大学で利用されていたウェブメールサービスの種類は、複数ありました(Office365、Active!Mail、DeepMail、Gmailなど)。

(2) メール内のURLからウェブメールサービスの偽ログインページに誘導され、ID・パスワードを入力

メールに記載されているURLをクリックすると、ウェブメールサービスの正規のログインページを模した偽ログインページに誘導されます。そのページで利用者がIDとパスワードを入力してしまうと、それらが詐取されます。

当機構への届出情報では、偽ログインページは、ウェブメールサービスの英語版の標準デザインに酷似していた事例や、校章やロゴを使用した大学独自のデザインに模してある事例など、本物のログインページに似せて作られていました。

2.被害

ID・パスワードを詐取されたことで、ウェブメールサービスのアカウントに不正ログインされ、その結果発生した被害には、次のような事例がありました。

  • 当該アカウントの設定を変更され、受信メールが外部転送された
  • 当該アカウントが踏み台にされ、他大学などへのフィッシングメールが送信された

3.対策

本手口の対策は、一般的なフィッシング対策と同様、次のとおりです。

なお、フィッシングの手口・事例の詳細や、システム対応などの具体的な内容については、フィッシング対策協議会にて提供されているガイドライン(脚注1)を、参考にしてください。

(1) 利用者

フィッシングの手口の基本を知る

フィッシングは、フィッシングメールが送られてくることから始まります。典型的なフィッシングの手口や、フィッシングメールの特徴といった基本を知ることで、多くの場合でフィッシングメールかどうか判断することが可能です。

  • 図2.典型的なフィッシングメールの特徴の例

なお、従来の方法では見分けられない事例が出現することも予想されますので、システム管理者からの注意喚起など、最新情報も継続的にチェックしてください。

メール内のリンクを安易にクリックしない

メールのリンク機能は便利ですが、不審なサイトへの誘導にも使われます。そのため、メール内のリンクを安易にクリックしない習慣をつけてください。

  • よく利用するサイトは、正しいと確認できているURLをあらかじめお気に入りに登録しておき、それを使用してアクセスしてください。
  • URLが正規のものであるか、確認してください。自身の行為にもとづき送られてきたメール(例:パスワードの変更申請をして直後に届いた連絡メール、など)ではなく、何もしていないのに突然送られてきたメールのリンクは、特に警戒してください。

メールの真偽は確かな情報源で確認

昨今では、送信元や文面が本物らしく、とても巧妙で判別が難しい場合もあります。そのため、これまで届いたことのない内容のメールやリンクのクリックを誘う内容のメールなどが届いた際に、それが本物かどうか判断に迷った場合は、確かな情報源を使って確認することを推奨します。

メール本文に記載されている連絡先に連絡をしたり、届いたメールへ返信して問い合わせたりすることは、避けてください。

(2) システム管理者

システム的なセキュリティ対策の実施

手口や対策を知っていても、誰もが・いつでも・すべてのメールを正しく見分けることは容易ではなく、以前より注意喚起を行っていたという大学でも被害が出ています。

そのため、利用者啓発のみならず、2段階認証の利用、不審サイトへのアクセスの遮断、フィッシング対策機能を持つセキュリティソフトの導入など、利用の目的や環境に応じたシステム的なセキュリティ対策の実施を検討してください。

具体的、継続的な利用者啓発

誰しも、知らない危険を避けることは困難です。そのため、利用者啓発が必要です。

  • 手口・対策・事例などメールの真偽を判断するために必要な情報を、具体的に・継続的に・最新の情報で、利用者に提供してください。
  • 伝えた情報が、広く・正しく伝わっているかどうか、模擬のフィッシングメールを使った訓練などで確認することも有効と考えられます。

(脚注1)フィッシング対策協議会 ガイドライン一覧

お問い合わせ先

IPAセキュリティセンター 情報セキュリティ安心相談窓口

記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

更新履歴

  • 2018年10月31日

    掲載