ESETは公式ブログで、フィッシングメールのリンクをクリックしてしまった場合に取るべき10の対処法を紹介した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
スロバキアのセキュリティ企業ESETは、2023年9月4日(現地時間)に公式ブログで、フィッシングメールのリンクをクリックしてしまった場合に取るべき10の対処法を紹介した。
ESETによると、米国だけでも毎年何十万人もフィッシング攻撃の被害に遭っており、被害者数は増加の一途をたどっている。
フィッシングメールは、本文の内容や表現の他、件名や送信者などヘッダ情報が明らかに不審なものもあるが、体裁が整っていて、一見何の変哲もないものもある。攻撃者が綿密な計画を立て、標的の過去のコミュニケーションを調査した上で、標的に合わせて巧妙に作り込んだフィッシングメールを送り付ける場合もある。
そのため、ITの専門家も含めて、誰もがフィッシングメールのリンクをうっかりクリックしてしまうことがあり得る。ESETは、リンクをクリックした後で詐欺に引っ掛かったと気付いたときに取るべき10の対処法を、以下のように紹介している。その中には、日頃から対策をしておく必要があるものも含まれる。
メールにあるリンクを開いて、一見正規のWebサイトに誘導されたものの、すぐに怪しいと感づいたら、最もシンプルな対処法は、認証情報や銀行口座の詳細など、情報を一切提供しないことだ。
攻撃者が標的のデータだけを狙っていて、標的のデバイスに対するマルウェアのインストールを試みていなかった場合は、これで難を逃れられる。
フィッシング攻撃の中には、攻撃者が標的のPCやスマートフォンなどのデバイスにアクセスできるようにしてしまうものもある。アクセスに成功した攻撃者は、マルウェアを感染させたり、標的や標的のデバイスに関する情報を収集したり、デバイスを遠隔操作したりする可能性がある。
こうした被害を軽減するには、まずデバイスをインターネットから切り離す必要がある。
デバイスをインターネットから切り離せば、悪意あるサーバにデータが送信される恐れはなくなる。だが、データが危険にさらされていることに変わりはないため、バックアップデータの復元が必要になる。
そのため、日頃から定期的に、外付けHDD、USBメモリ、クラウドストレージサービスなどにデータをバックアップしておく必要がある。そうすれば、フィッシングに引っ掛かってしまっても、即座にデータを復元できる。
信頼できるプロバイダーのマルウェア対策ソフトウェアを使って、デバイスを完全にスキャンするとよい。さらに、無料オンラインスキャナーなどを使って、もう1回スキャンを行うのが理想だ。
スキャンプロセスで潜在的な脅威が見つからなかったが、まだ不安が残る場合は、セキュリティベンダーに連絡する。
PCやスマートフォンを工場出荷時状態に戻せば、あらゆる脅威を除去できる可能性がある。ただし、工場出荷時状態へのリセットは不可逆的であり、ローカルに保存された全データが消去される。この対処法を取る上でも、定期的にバックアップを行っておく必要がある。
フィッシングメールにだまされると、認証情報や銀行口座、クレジッドカードの詳細などの機密データを提供してしまったり、マルウェアを仕込まれてこれらの情報を収集されてしまったりする恐れがある。
そのため、パスワードのリセットが必要になる。パスワードなどの認証情報を複数のオンラインサービスで使い回してはならないということでもある。
銀行口座やクレジッドカードの詳細、またはカードにアクセスできるWebサイトのログイン情報を提供してしまった場合は、すぐに銀行に連絡する。これにより、カードが凍結され、これらの悪用を防げる。連絡時には、詐欺被害者に対する返金制度も確認するとよい。
詐欺被害が広がらないように、治安当局にも連絡することが重要だ。
攻撃者は、標的のデバイスやアカウントへの侵入に成功すると、ログイン情報や電子メールアドレス、電話番号などを勝手に変えてしまうかもしれない。
そのため、ソーシャルメディアなどのアカウント、銀行情報、オンラインショッピングの注文履歴を確認し、身に覚えのない支払いなどを見つけたら、それを報告し、ログイン情報を変更し、返金を求める。
攻撃者は、標的のアカウント情報を盗んだ場合、自分のデバイスからログインしようとする可能性がある。ほとんどのソーシャルメディアプラットフォームは、プライバシー設定の中で、ログイン中のセッションを記録している。それをチェックし、見知らぬデバイスがあれば、強制ログアウトさせる。
攻撃者は、マルウェアに感染したアカウントの連絡先リストを使って、フィッシングリンクや迷惑メールを拡散することがある。そのため、他の人が同じ詐欺に遭わないように対策を講じる必要がある。
サイバー攻撃が仕事用のアカウントや、雇用主から支給されたデバイスに関連している場合は、会社の規則に従い、すぐに上司とIT部門に報告する。また「Gmail」や「Microsoft Outlook」など主要なメールサービスでは、受信トレイからフィッシングメールを直接報告するツールも用意されている。
Copyright © ITmedia, Inc. All Rights Reserved.
総合 記事ランキング