「フィッシング詐欺」という言葉を聞いた事がある人は多いでしょう。フィッシング詐欺とはインターネット上で発生する詐欺行為のことです。フィッシング詐欺に騙されてしまうと、クレジットカード情報やネットバンクのログイン情報などが窃取されることがあります。
フィッシング詐欺の被害に遭わないためにはどうしたらよいのでしょうか? そこで今回はフィッシング詐欺の手口と対策方法について紹介します。
フィッシング詐欺とは
フィ ッシング詐欺とは、ユーザーを偽装Webサイトに誘導して、金融機関情報を盗む手口です。クレジットカード不正利用などの被害に遭う恐れがあります。
2022年フィッシングメールの最新動向
フィッシング対策協議会の報告(※1)によると、2022年2月のフィッシング被害報告件数は4万8,611 件でした。前年同期の3万949件と比べると、約1万7,000件も増加しています。フィッシングに悪用された企業は87社にのぼり、クレジット・信販系が21社でした。また、SMSを使ったフィッシングについては、携帯電話会社や宅配の不在通知が多く確認されています。
フィッシングメールとスパムメールの違い
フィッシングメールとスパムメールは、迷惑メールの一種です。スパムメールは宣伝やマルウェア感染を目的として送られます。一方のフィッシングメールは、銀行の口座番号 などの情報を盗み、不正利用するために送られるメールです。どちらも受信者に被害をもたらすため、むやみにメール本文のURLや添付ファイルを開かないようにしましょう。
※1出典フィッシング対策協議会「2022/02 フィッシング報告状況」
フィッシング詐欺の仕組み
フィッシング詐欺を行う目的は、クレジットカードやWebサービス、ネットバンクのログイン情報などの搾取です。このように不正に入手された情報は闇市場で取引されます。大部分の攻撃者は、より多くの情報を得るために不特定多数をターゲットとします。しかしフィッシング詐欺の中には、特定の個人や企業をターゲットとすることもあり、これは「スピアフィッシング」と呼ばれます。
フィッシング詐欺の多くは「フィッシングメール」と呼ばれるメールを悪用して行われます。メールを受信したユーザーをフィッシングサイトに誘導し、クレジットカードやネットバンクなどの情報を入力させようとします。フィッシングメールの文章は今すぐ何とかしないといけないと思わせるような、人間の心理を利用した文面が使われています。
最近ではスマートフォンのメールに特化したものや、facebookやLINEなどのSNSのメッセージ機能を悪用したケースも確認されています。
フィッシングメールのよくある手口・種類
フィッシングメールには文面やリンク先のページの内容に応じていくつかの種類に分類されます。ここでは主な5種類を紹介します。
1. 設定確認
使用しているWebサービスなどから「情報漏洩事件が多発しているので、新しいセキュリティ対策を導入した」とメッセージが来て、メッセージ中に含まれているリンクからログインするように促されるものです。
また「あなたのパスワードは簡単すぎるので安全面で問題があります」とメッセージがきて、メッセージに含まれているリンク先からパスワードを変更するという名目でログインを促されるケースもあります。
2.ID・パスワード変更の催促
使用しているWebサービスにおいて「第三者からのアクセスを確認したので、パスワードを暫定的に変更した」とメッセージがきてリンクをクリックさせて、パスワードを再設定させるためにIDとパスワードを入力させようとします。パスワードは暫定的に変更させたのに、再設定のために古いIDとパスワードを入力させるのは、落ち着いて考えるとおかしな話です。
また「アカウント情報に不備がある」と指摘するメールが来て、登録情報を変更するためにリンク先からログインするように促されることもあります。「24時間以内に変更しないとロックされます」と脅迫するケースも確認されています。このようなメールには、不備のある情報が具体的に何なのか書かれていない点がポイントです。
マイクロソフトが販売している「Office」を使用するためのプロダクトキーが第三者に悪用されているということで、検証作業のためにリンク先からログインさせようとする手口もあります。このケースの場合も「24時間以内にログインしないとプロダクトキーが無効になる」とユーザーを不安にさせる文面が使われることがあります。
3. 購入確認
ECサイトで商品を購入した時に送信される購入確認のメールを騙るケースです。実際に購入した時と同様にHTMLメールで送信されます。受信したユーザーは当然心当たりがありませんので「キャンセルはこちら」のリンクをクリックしてしまいます。リンク先ではクレジットカード番号やパスワードなどの入力フォームが用意されており、入力を促されます。
4. 偽サイトへの誘導
受信したメールのリンクをクリックすると、本物とそっくりのWebサイトが表示されます。これは攻撃者向けに提供されている、Webページを丸ごとコピーできるツールを使用して作られています。しかしこれは実際には偽物のWebサイトです。本物と同じようなデザインで偽物のWebサイトをつくることで、ユーザーを騙してクレジットカードやログイン情報を不正に入手しようとしているのです。
5.宅配便の不在通知
スマートフォンのSMSでよく見られるのが、宅配便の不在通知のふりをしたスミッシングです。スミッシングとは、SMSを使ったフィッシング詐欺を意味します。
攻撃者は、実在の宅配業者を騙って「荷物をお届けしましたが、不在でしたので持ち帰りました。以下のURLから確認してください。」といった偽SMSを送りつけます。ユーザーにURLリンクをクリックさせ、偽物のWebサイトで個人情報の入力を求める手口です。もしくは、不正なアプリをインストールさせ、スミッシングの発信元として悪用するケースもあります。
フィッシングメールの被害事例
続いて、実際のフィッシングメールの被害事例を紹介します。以下4つの実例をご覧ください。
1.Amazonを装ったフィッシングメール
大手通販サイトAmazonを装ったフィッシング詐欺は、多くの事例があります。Amazonは注意喚起ページにて、以下の内容はフィッシングメールであると警告しています。
- 未納料金の請求
- 登録情報の更新依頼
- co.jpを装った偽サイトへのリンク
- 添付ファイルなどのダウンロードを求める文面
- 誤字や文法の間違いが多い本文
上記内容のメールが届いた場合は、本文のURLからではなく公式サイトのアカウントページから状況を確認しましょう。
2.楽天を装ったフィッシングメール
楽天を騙るフィッシングメールも、被害報告が後を絶ちません。主に、アカウント情報の更新を求める内容のメールが送られています。「【重要】カスタマーセンターからのご案内」や「楽天カードからのお知らせ」などのタイトルをつけ、受信者にメールを開かせようとする手口が多く確認されています。楽天の公式HTMLメールと全く同じフィッシングメールも報告されており、注意が必要です。
3.メルカリを装ったフィッシングメール
フリマアプリのメルカリも、フィッシングメールに悪用されています。登録情報更新のお願いや、ポイント還元キャンペーンのお知らせに偽装したメールが報告されています。さらに、メルカリに偽装した詐欺広告をSNSに掲載し、偽物のWebサイトに誘導する手口も確認されているようです。
4.宅配便を装ったSMS
宅配便を装うフィッシングは、主にSMSで多発しています。佐川急便やヤマト運輸、日本運輸といった大手運送業者を装い、不在通知に偽装したSMSを送るパターンが一般的です。いずれの運送業者も「SMSを利用して不在通知を送ることはない」と断言しています。SMSに送られてくる不在通知は、全て偽物だと考えましょう。
フィッシングメールとフィッシングサイトの共通点・見分け方
フィッシングサイトにアクセスするだけでは、不正アクセスなどの実害は発生しません。しかし、フィッシングサイトの中には、閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード攻撃」を仕掛けているサイトも存在します。そのため、フィッシングメールを見抜き、フィッシングサイトにアクセスしないことが重要です。
ここでは、フィッシングメールとフィッシングサイトの共通点・見分け方を5つ解説します。
1.メールの送信元・ドメインを確認
フィッシングメールを見抜く手段として、メールの送信元・ドメインの確認は重要です。ドメインとは、メールアドレスの「@」以下の部分を指します。たとえば、メルカリの正規ドメインは「@mercari.jp」です。多くの日本企業は、「.co.jp」や「.ne.jp」、「.jp」などのドメインを用いています。
対するフィッシングメールは、無料のフリーアドレスを用いるケースが多いです。「.online」や「.biz」、「.xyz」といったあまり見かけない海外ドメインの場合、フィッシングメールとして警戒してください。
2.件名・本文が不自然
メールの件名や本文が不自然であれば、フィッシングメールを疑いましょう。具体的には、以下のようなメールは不自然と言えます。
- Google翻訳にかけたような直訳の文章
- おかしな句読点の位置
- 無駄なスペース
- 句読点の代わりにピリオドを使用
- 中国語の簡体字を使用
日本企業が不自然な日本語を使うことはありませんので、このような特徴を持つメールは、フィッシングメールの確率が高いです。
3.不審なファイルが添付されている
企業の公式メールが一般消費者に対し、添付ファイルを送ることはほとんどありません。たとえ巧妙 に企業を装ったメールでも、添付ファイルは開かないようにしましょう。
また、添付ファイルがある場合は、フィッシングメールではなくスパムメールの恐れがあります。スパムメールの送信者は、マルウェア感染を狙って不正プログラムを添付します。企業宛てメールの場合、取引先からの返信を装う「Emotet(エモテット)」などのマルウエアが潜伏しているかもしれません。どのようなメールであれ、安全性を確認できないメールの添付ファイルは開いてはいけません。
4.「秘密の質問」などの入力を求められる
フィッシングサイトは正規のWebサイトとほとんど同じ内容が表示されますが、本来なら存在しないはずの「秘密の質問」なども入力させる仕様になっています。このような項目があるサイトは、まず正規のWebサイトではないので、フィッシングサイトであると判断できます。
5.暗号化通信になっていない
IDやパスワードを入力するWebサイトでは通常、アドレスバーに鍵マークのアイコンが付いていたり、組織名が表示されていたりします。これはSSLといって通信内容が暗号化される技術が使われていることを表しています。
本来IDやパスワードは通信内容が盗聴されても情報が漏洩しないようにSSLに対応していることがほとんどです。つまり入力フォームがあるにも関わらず、SSLに対応していない場合はフィッシングサイトである可能性があります。
しかし最近では無料でSSLに対応できるWebサーバーも普及しており、単純にSSLに対応しているから安心とも言えなくなっています。そのためアドレスバーの鍵アイコンをクリックして、証明書を表示させて表示されているWebサイトのドメインが正規のものであるかどうか確認することも重要です。
フィッシングメールへの対策方法
フィッシング詐欺被害を避けるためには、下記6つのフィッシングメール対策が大切です。
1.送信元・宛先・件名を確認する
フィッシングメール対策の基本として、必ず送信元や宛先、件名を確認しましょう。Webサービスの運営元からの正規メールであれば、受信者のログインIDやユーザー名などの会員情報が記載されているはずです。たとえば、登録情報変更を促す内容のメールであるのに会員情報がなければ、高い確率でフィッシングメールと言えます。
送信元はの確認はドメイン名に加え、受信ボックスの送信者アイコンをチェックしましょう。YahooメールやGmailは、認証した企業名のロゴを表示する仕様になっています。
2.リンクや添付ファイルをむやみに開かない
メール本文のURLリンクや、添付ファイルは基本的にすぐに開いてはいけません。メールのフィルタリング機能は万全ではなく、不正なメールがすり抜ける可能性は充分にあります。消費者の個人メールから企業間の取引メールまで、まずは疑って送信元や本文をよく確認することが大事です。不審な添付ファイルがある場合は、自社の情報システム担当者に相談しましょう。
3. 個人情報の入力を求められたら要注意
リンク先のページで名前や住所などの個人情報の入力が求められていたら要注意です。そもそも正規のWebサービスではメールを使って別ページにアクセスさせて個人情報の入力を求めるケースは非常にまれです。
また個人情報だけでなく、クレジットカードの番号やパスワードなどの入力が求められたら、まず怪しいと疑った方が良いでしょう。
4.二段階認証を利用する
Webサービスのログイン方法に、二段階認証を利用するのも有効な対策です。ID・パスワードでログインするWebサービスでも、ユーザー側で二段階認証を設定できる場合があります。たとえば、Twitterはログイン時の二段階認証をユーザーごとに設定できます。利用中のWebサービスが二段階認証に対応しているのであれば、追加設定しておきましょう。仮にフィッシングメールに騙されてログイン情報が流出しても、攻撃者の不正ログインを防げます。
5. 同様のフィッシングメールが報告されていないか確認する
受信したメールが怪しかったら、同じようなメールで報告されているフィッシングメールの実例を確認しましょう。フィッシング対策協議会のWebサイトでは、実際に行われているフィッシングメールが報告されています。
サイトフィッシング対策協議会
その他の確認方法としては、受信したメールのメッセージの文字列を利用してGoogleなどで検索して情報を得ることも有効です。
6.メールセキュリティ製品を導入する
根本的な対策としては、メールセキュリティ製品の導入がおすすめです。Webメールの標準フィルタリングよりも、フィッシングメールの高精度な検知・ブロックを期待できます。また、メールセキュリティシステムの中には、添付ファイルやURLの無害化や誤送信防止機能を持つ製品があります。システムごとに機能が異なるので、導入する際は製品の違いをよく比較しましょう。
フィッシングメール詐欺に遭ってしまったら
もしフィッシングサイトと気づかずにIDやパスワードを入力してフォームを送信してしまったらどうしたらよいのでしょうか。その場合、まずは正規のサービスを提供している企業へ連絡を取りましょう。誤ってIDやパスワードを入力しても、すぐに被害があるとは限りませんが、できるだけ早く連絡することが重要です。
1. 金融機関へ連絡
銀行やクレジットカードなどの金融機関では、フィッシングメールの被害に遭ってしまった場合の連絡先が用意されています。連絡先については「一般社団法人 全国銀行協会」のホームページで銀行別に調べることができます。
SNSやオンラインゲームなどWebサービスなどになりすましたフィッシングサイトでIDやパスワードを入力してしまった場合は、正規のサービスにログインしてパスワードを直ちに変更しましょう。もしパスワードが変更されてしまっていたら、「パスワードを忘れてしまった場合は」のページを使って、新しいパスワードを再発行しましょう。
2. クレジットカードの一時停止
フィッシングサイトにクレジットカード情報を送信してしまった場合は、クレジットカード事業者へ速やかに連絡をしてカードの利用を停止させ、再発行などの手続きを取ることが必要です。悪用される前に停止処置を取れば、金銭的な被害を防ぐことができます。
クレジットカードに関する相談窓口としては「一般社団法人 日本クレジット協会」に相談するとよいでしょう。
サイト一般社団法人 日本クレジット協会 クレジットに関する相談窓口
3. 通報
もしフィッシングメール詐欺に遭ったり、フィッシング詐欺と思われる不審なメールを受信したりしたら、被害の発生に関わらず、警察庁の「フィッシング110番」や「フィッシング対策協議会」に通報して情報提供しましょう。また、総務省 に委託された「迷惑メール相談センター」は、迷惑メールの情報収集をしています。余裕がある方は、こちらにも情報提供してみてください。
サイトフィッシング110番
サイトフィッシング対策協議会
サイト情報提供のお願い | 迷惑メール相談センター
4.SNSなどのID・パスワードを変更する
SNSのログイン情報が流出した場合は、ただちにパスワードを変更しましょう。IDも変更可能であれば、同じく変更します。Twitterの場合、普段使わない端末からのログインがあると、登録したメールアドレスに通知が届きます。万一、覚えのない端末によるログイン形跡があれば、連携しているアプリやWebサービスも一旦解除しておきましょう。流出したID・パスワードを使い回している場合、他のWebサービスのログイン情報も変更しておくと安全です。
まとめ
SNSやメッセージングツールが広く普及しましたが、メールを利用したコミュニケーションは現在でも多くの人に使われている重要なツールです。そのためメールを悪用したフィッシング詐欺はこれからもなくならないでしょうし、メール以外のLINEやfacebookを使ったフィッシング詐欺も増えてくるでしょう。
フィッシングメールはマルウェアとは違って、システムを使って機械的に防御しにくいという特徴があります。つまり不審なメールを受信した場合、メールの中身を把握して被害に遭わないようにするためには、自分自身で身を守る必要があります。
メールは便利な道具ですが、フィッシングメール詐欺のように悪用されて金銭的被害を受ける可能性もあります。被害に遭わないためには、不審なメールを受信しても鵜呑みにせずに、正しい知識を持って適切に対処することが必要だと言えるでしょう。