フィッシング詐欺(フィッシングメール詐欺)とは?手口や見分け方、相談先を紹介|サイバーセキュリティ.com

フィッシング詐欺(フィッシングメール詐欺)とは?手口や見分け方、相談先を紹介

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。



「フィッシング詐欺」という言葉を聞いた事がある人は多いでしょう。フィッシング詐欺とはインターネット上で発生する詐欺行為のことです。有名サイトとそっくりに作られたWebサイトが使われることが多いため、注意していてもフィッシング詐欺に騙されてしまうことがあり、総務省など国をあげて注意喚起しています。

なお、フィッシングメールを受け取り、遷移先の偽サイトに個人情報を入力して送信してしまうと、クレジットカード情報やネットバンクのログイン情報などが窃取されることがあります

フィッシング詐欺の被害に遭わないためにはどうしたらよいのでしょうか? そこで今回はフィッシング詐欺の手口と対策方法について紹介します。

フィッシング詐欺とは

フィ ッシング詐欺とは、ユーザーを偽装Webサイトに誘導して、金融機関情報を盗む手口です。クレジットカード不正利用や不正アプリインストールによる情報漏えいなどの被害に遭う恐れがあります。

総務省もWebサイト上で注意喚起するなど、国をあげて対策をすすめています。

出典総務省「国民のためのサイバーセキュリティサイト

2023年フィッシングメールの最新動向

フィッシング対策協議会の報告(※1)によると、2023年8月のフィッシング被害報告件数は9万9,585 件でした。2023年1月の3万8,269件と比べると、約6万件も増加しています。フィッシングに悪用された企業は92社にのぼり、クレジット・信販系が21社、金融系が15社でした。フィッシングメールの報告件数では、大手通販会社、クレジットカード会社、宅配会社の不在通知を装ったフィッシングだけで約7割以上を占めています。

出典フィッシング対策協議会「2023/08 フィッシング報告状況

フィッシングメールとスパムメールの違い

フィッシングメールとスパムメールは、迷惑メールの一種です。スパムメールは宣伝やマルウェア感染を目的として送られます。一方のフィッシングメールは、銀行の口座番号 などの情報を盗み、不正利用するために送られるメールです。どちらも受信者に被害をもたらすため、むやみにメール本文のURLや添付ファイルを開かないようにしましょう。

フィッシング詐欺の仕組み

フィッシング詐欺を行う目的は、クレジットカードやWebサービス、ネットバンクのログイン情報などの搾取です。このように不正に入手された情報は闇市場で取引されます。大部分の攻撃者は、より多くの情報を得るために不特定多数をターゲットとします。しかしフィッシング詐欺の中には、特定の個人や企業をターゲットとすることもあり、これは「スピアフィッシング」と呼ばれます。

フィッシング詐欺の多くは「フィッシングメール」と呼ばれるメールを悪用して行われます。メールを受信したユーザーをフィッシングサイトに誘導し、クレジットカードやネットバンクなどの情報を入力させようとします。フィッシングメールの文章は今すぐ何とかしないといけないと思わせるような、人間の心理を利用した文面が使われています。

最近ではスマートフォンのメールに特化したものや、facebookやLINEなどのSNSのメッセージ機能を悪用したケースも確認されています。

フィッシングメールのよくある手口・種類

フィッシングメールには文面やリンク先のページの内容に応じていくつかの種類に分類されます。ここでは主な5種類を紹介します。

1. 設定確認

使用しているWebサービスなどから「情報漏洩事件が多発しているので、新しいセキュリティ対策を導入した」とメッセージが来て、メッセージ中に含まれているリンクからログインするように促されるものです。

また「あなたのパスワードは簡単すぎるので安全面で問題があります」とメッセージがきて、メッセージに含まれているリンク先からパスワードを変更するという名目でログインを促されるケースもあります。

2.ID・パスワード変更の催促

使用しているWebサービスにおいて「第三者からのアクセスを確認したので、パスワードを暫定的に変更した」とメッセージがきてリンクをクリックさせて、パスワードを再設定させるためにIDとパスワードを入力させようとします。パスワードは暫定的に変更させたのに、再設定のために古いIDとパスワードを入力させるのは、落ち着いて考えるとおかしな話です。

また「アカウント情報に不備がある」と指摘するメールが来て、登録情報を変更するためにリンク先からログインするように促されることもあります。「24時間以内に変更しないとロックされます」と脅迫するケースも確認されています。このようなメールには、不備のある情報が具体的に何なのか書かれていない点がポイントです。

マイクロソフトが販売している「Office」を使用するためのプロダクトキーが第三者に悪用されているということで、検証作業のためにリンク先からログインさせようとする手口もあります。このケースの場合も「24時間以内にログインしないとプロダクトキーが無効になる」とユーザーを不安にさせる文面が使われることがあります。

3. 購入確認

ECサイトで商品を購入した時に送信される購入確認のメールを騙るケースです。実際に購入した時と同様にHTMLメールで送信されます。受信したユーザーは当然心当たりがありませんので「キャンセルはこちら」のリンクをクリックしてしまいます。リンク先ではクレジットカード番号やパスワードなどの入力フォームが用意されており、入力を促されます。

4. 偽サイトへの誘導

受信したメールのリンクをクリックすると、本物とそっくりのWebサイトが表示されます。これは攻撃者向けに提供されている、Webページを丸ごとコピーできるツールを使用して作られています。しかしこれは実際には偽物のWebサイトです。本物と同じようなデザインで偽物のWebサイトをつくることで、ユーザーを騙してクレジットカードやログイン情報を不正に入手しようとしているのです。

5.宅配便の不在通知

スマートフォンのSMSでよく見られるのが、宅配便の不在通知のふりをしたスミッシングです。スミッシングとは、SMSを使ったフィッシング詐欺を意味します。

攻撃者は、実在の宅配業者を騙って「荷物をお届けしましたが、不在でしたので持ち帰りました。以下のURLから確認してください。」といった偽SMSを送りつけます。ユーザーにURLリンクをクリックさせ、偽物のWebサイトで個人情報の入力を求める手口です。もしくは、不正なアプリをインストールさせ、スミッシングの発信元として悪用するケースもあります。

フィッシング詐欺被害のおすすめ相談先はこちら→

フィッシングメールの被害事例

続いて、実際のフィッシングメールの被害事例を紹介します。以下5つの実例をご覧ください。

1.Amazonを装ったフィッシングメール

大手通販サイトAmazonを装ったフィッシング詐欺は、多くの事例があります。Amazonは注意喚起ページにて、以下の内容はフィッシングメールであると警告しています。

  • 未納料金の請求
  • 登録情報の更新依頼
  • co.jpを装った偽サイトへのリンク
  • 添付ファイルなどのダウンロードを求める文面
  • 誤字や文法の間違いが多い本文

上記内容のメールが届いた場合は、本文のURLからではなく公式サイトのアカウントページから状況を確認しましょう。

2.楽天を装ったフィッシングメール

楽天を騙るフィッシングメールも、被害報告が後を絶ちません。主に、アカウント情報の更新を求める内容のメールが送られています。「【重要】カスタマーセンターからのご案内」や「楽天カードからのお知らせ」などのタイトルをつけ、受信者にメールを開かせようとする手口が多く確認されています。楽天の公式HTMLメールと全く同じフィッシングメールも報告されており、注意が必要です。

3.メルカリを装ったフィッシングメール

フリマアプリのメルカリも、フィッシングメールに悪用されています。登録情報更新のお願いや、ポイント還元キャンペーンのお知らせに偽装したメールが報告されています。さらに、メルカリに偽装した詐欺広告をSNSに掲載し、偽物のWebサイトに誘導する手口も確認されているようです。

4.宅配便を装ったSMS

宅配便を装うフィッシングは、主にSMSで多発しています。佐川急便やヤマト運輸、日本運輸といった大手運送業者を装い、不在通知に偽装したSMSを送るパターンが一般的です。いずれの運送業者も「SMSを利用して不在通知を送ることはない」と断言しています。SMSに送られてくる不在通知は、全て偽物だと考えましょう。

5.当選やウイルス感染を装ったメール

「ウイルスに感染しています」「スマートフォンが当選しました!」といった表示やメールが届いた場合も注意しましょう。それぞれ「サポ―ト詐欺」や「当選詐欺」と呼ばれる詐欺の手口です。

前者のウイルス感染を通知するメールや、ポップアップが表示されても、実際にはウイルスに感染しておらず、高い確率で偽物です。新しくアプリやセキュリティソフトをダウンロードさせるリンクやボタン、連絡先の電話番号がついていたら偽の通知だと考えましょう。

また申し込んでいない懸賞の当選メールも注意が必要です。金銭が当選したと見せかけて、偽サイトに遷移させます。ここでは送金のためと偽り、銀行の口座番号や名前などを入力させられます。

メールの指示に従い、個人情報の入力、電話でのお問合せ、アプリのダウンロードを行うと、金銭被害やウイルス感染、端末の遠隔操作といった被害に遭う可能性があります。

フィッシングメールとフィッシングサイトの共通点・見分け方

フィッシングサイトにアクセスするだけでは、不正アクセスなどの実害は発生しません。しかし、フィッシングサイトの中には、閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード攻撃」を仕掛けているサイトも存在します。そのため、フィッシングメールを見抜き、フィッシングサイトにアクセスしないことが重要です。

ここでは、フィッシングメールとフィッシングサイトの共通点・見分け方を5つ解説します。

1.メールの送信元・ドメインを確認

フィッシングメールを見抜く手段として、メールの送信元・ドメインの確認は重要です。ドメインとは、メールアドレスの「@」以下の部分を指します。たとえば、メルカリの正規ドメインは「@mercari.jp」です。多くの日本企業は、「.co.jp」や「.ne.jp」、「.jp」などのドメインを用いています。

対するフィッシングメールは、無料のフリーアドレスを用いるケースが多いです。「.online」や「.biz」、「.xyz」といったあまり見かけない海外ドメインの場合、フィッシングメールとして警戒してください。

2.件名・本文が不自然

メールの件名や本文が不自然であれば、フィッシングメールを疑いましょう。具体的には、以下のようなメールは不自然と言えます。

  • Google翻訳にかけたような直訳の文章
  • おかしな句読点の位置
  • 無駄なスペース
  • 句読点の代わりにピリオドを使用
  • 中国語の簡体字を使用

日本企業が不自然な日本語を使うことはありませんので、このような特徴を持つメールは、フィッシングメールの確率が高いです。

3.不審なファイルが添付されている

企業の公式メールが一般消費者に対し、添付ファイルを送ることはほとんどありません。たとえ巧妙 に企業を装ったメールでも、添付ファイルは開かないようにしましょう。

また、添付ファイルがある場合は、フィッシングメールではなくスパムメールの恐れがあります。スパムメールの送信者は、マルウェア感染を狙って不正プログラムを添付します。企業宛てメールの場合、取引先からの返信を装う「Emotet(エモテット)」などのマルウエアが潜伏しているかもしれません。どのようなメールであれ、安全性を確認できないメールの添付ファイルは開いてはいけません。

4.「秘密の質問」などの入力を求められる

フィッシングサイトは正規のWebサイトとほとんど同じ内容が表示されますが、本来なら存在しないはずの「秘密の質問」なども入力させる仕様になっています。このような項目があるサイトは、まず正規のWebサイトではないので、フィッシングサイトであると判断できます。

5.暗号化通信になっていない

IDやパスワードを入力するWebサイトでは通常、アドレスバーに鍵マークのアイコンが付いていたり、組織名が表示されていたりします。これはSSLといって通信内容が暗号化される技術が使われていることを表しています。

本来IDやパスワードは通信内容が盗聴されても情報が漏洩しないようにSSLに対応していることがほとんどです。つまり入力フォームがあるにも関わらず、SSLに対応していない場合はフィッシングサイトである可能性があります。

しかし最近では無料でSSLに対応できるWebサーバーも普及しており、単純にSSLに対応しているから安心とも言えなくなっています。そのためアドレスバーの鍵アイコンをクリックして、証明書を表示させて表示されているWebサイトのドメインが正規のものであるかどうか確認することも重要です。

フィッシング詐欺被害のおすすめ相談先はこちら→

フィッシングメール詐欺に遭ってしまったときの対処の流れ

もしフィッシングサイトと気づかずにIDやパスワードを入力してフォームを送信してしまったらどうしたらよいのでしょうか。その場合、まずは正規のサービスを提供している企業へ連絡を取りましょう。誤ってIDやパスワードを入力しても、すぐに被害があるとは限りませんが、できるだけ早く連絡することが重要です。

  1. 金融機関へ連絡
  2. クレジットカードの一時停止
  3. フィッシング詐欺相談窓口に通報
  4. SNSなどのID・パスワードを変更する
  5. フォレンジック調査会社に被害を相談する

1. 金融機関へ連絡

銀行やクレジットカードなどの金融機関では、フィッシングメールの被害に遭ってしまった場合の連絡先が用意されています。連絡先については「一般社団法人 全国銀行協会」のホームページで銀行別に調べることができます。

サイト金融犯罪に遭った場合のご相談・連絡先

SNSやオンラインゲームなどWebサービスなどになりすましたフィッシングサイトでIDやパスワードを入力してしまった場合は、正規のサービスにログインしてパスワードを直ちに変更しましょう。もしパスワードが変更されてしまっていたら、「パスワードを忘れてしまった場合は」のページを使って、新しいパスワードを再発行しましょう。

2. クレジットカードの一時停止

フィッシングサイトにクレジットカード情報を送信してしまった場合は、クレジットカード事業者へ速やかに連絡をしてカードの利用を停止させ、再発行などの手続きを取ることが必要です。悪用される前に停止処置を取れば、金銭的な被害を防ぐことができます。

クレジットカードに関する相談窓口としては「一般社団法人 日本クレジット協会」に相談するとよいでしょう。

サイト一般社団法人 日本クレジット協会 クレジットに関する相談窓口

3. フィッシング詐欺相談窓口に通報

もしフィッシングメール詐欺に遭ったり、フィッシング詐欺と思われる不審なメールを受信したりしたら、被害の発生に関わらず、警察庁の「フィッシング110番」や「フィッシング対策協議会」に通報して情報提供しましょう。また、総務省 に委託された「迷惑メール相談センター」は、迷惑メールの情報収集をしています。余裕がある方は、こちらにも情報提供してみてください。

サイトフィッシング110番
サイトフィッシング対策協議会
サイト情報提供のお願い | 迷惑メール相談センター

4.SNSなどのID・パスワードを変更する

SNSのログイン情報が流出した場合は、ただちにパスワードを変更しましょう。IDも変更可能であれば、同じく変更します。Twitterの場合、普段使わない端末からのログインがあると、登録したメールアドレスに通知が届きます。万一、覚えのない端末によるログイン形跡があれば、連携しているアプリやWebサービスも一旦解除しておきましょう。流出したID・パスワードを使い回している場合、他のWebサービスのログイン情報も変更しておくと安全です。

5.フォレンジック調査会社に被害を相談する

フィッシング詐欺に遭い、偽サイトに個人情報を入力して送信した場合、電話番号やメールアドレスなどが流出することがあります。流出した個人情報は通常の方法で検索できないダークウェブ上に流出することがあります。ダークウェブに流出した個人情報は、犯罪性が高いサイト群で売買されることがあり、サイバー犯罪者の手に渡ってしまうことがあります。

したがって、フィッシング詐欺に遭った後にパスワード変更などを行っても、流出したメールアドレスなどを利用して、サポート詐欺やウイルス感染といった別の犯罪に巻き込まれてしまう可能性があります。

このような事態を防ぐためにも、個人情報が流出したか調査する必要があります。フォレンジック調査会社と呼ばれる調査会社では、「デジタル・フォレンジック」と呼ばれる電子端末を解析してハッキングや不正アクセス、情報漏えいの有無などを調査しています。

公的機関に提出可能な調査報告書に作成も可能なため、法的利用や適切なセキュリティの強化にも役立ちます。

フォレンジック調査とは

フォレンジック調査とは、直訳すると「鑑識」という意味ですが、ITやセキュリティの分野では、デジタル機器から「法的証拠」に関わる情報を抽出する技術である「デジタル・フォレンジック」を用いた調査のことを指します。

フォレンジック調査では、証拠保全をしたうえで、ウイルス感染や不正アクセスなどが発生しているネットワークや端末を調査・解析し、被害状況の把握や迅速な対応サポートすることが可能です。

フィッシング詐欺の場合は以下のような調査を行います。

  • マルウェア感染調査
  • 不正アプリ調査
  • 情報漏えい調査

その他にもパソコンやスマートフォンの症状や、ユーザーの目的に応じて調査内容をカスタマイズできます。フォレンジック調査については以下の記事で詳しく解説しているので、あわせてご確認ください。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

公式サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。

一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。

運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等
サービス ●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、フィッシング詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能
特長 官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
基本情報 運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階
受付時間 24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料)

>フォレンジック調査会社の一覧リストはこちら

フィッシングメールへの対策方法

フィッシング詐欺被害を避けるためには、下記6つのフィッシングメール対策が大切です。

1.送信元・宛先・件名を確認する

フィッシングメール対策の基本として、必ず送信元や宛先、件名を確認しましょう。Webサービスの運営元からの正規メールであれば、受信者のログインIDやユーザー名などの会員情報が記載されているはずです。たとえば、登録情報変更を促す内容のメールであるのに会員情報がなければ、高い確率でフィッシングメールと言えます。

送信元はの確認はドメイン名に加え、受信ボックスの送信者アイコンをチェックしましょう。YahooメールやGmailは、認証した企業名のロゴを表示する仕様になっています。

2.リンクや添付ファイルをむやみに開かない

メール本文のURLリンクや、添付ファイルは基本的にすぐに開いてはいけません。メールのフィルタリング機能は万全ではなく、不正なメールがすり抜ける可能性は充分にあります。消費者の個人メールから企業間の取引メールまで、まずは疑って送信元や本文をよく確認することが大事です。不審な添付ファイルがある場合は、自社の情報システム担当者に相談しましょう。

3. 個人情報の入力を求められたら要注意

リンク先のページで名前や住所などの個人情報の入力が求められていたら要注意です。そもそも正規のWebサービスではメールを使って別ページにアクセスさせて個人情報の入力を求めるケースは非常にまれです。

また個人情報だけでなく、クレジットカードの番号やパスワードなどの入力が求められたら、まず怪しいと疑った方が良いでしょう。

4.二段階認証を利用する

Webサービスのログイン方法に、二段階認証を利用するのも有効な対策です。ID・パスワードでログインするWebサービスでも、ユーザー側で二段階認証を設定できる場合があります。たとえば、Twitterはログイン時の二段階認証をユーザーごとに設定できます。利用中のWebサービスが二段階認証に対応しているのであれば、追加設定しておきましょう。仮にフィッシングメールに騙されてログイン情報が流出しても、攻撃者の不正ログインを防げます。

5. 同様のフィッシングメールが報告されていないか確認する

受信したメールが怪しかったら、同じようなメールで報告されているフィッシングメールの実例を確認しましょう。フィッシング対策協議会のWebサイトでは、実際に行われているフィッシングメールが報告されています。

サイトフィッシング対策協議会

その他の確認方法としては、受信したメールのメッセージの文字列を利用してGoogleなどで検索して情報を得ることも有効です。

6.メールセキュリティ製品を導入する

根本的な対策としては、メールセキュリティ製品の導入がおすすめです。Webメールの標準フィルタリングよりも、フィッシングメールの高精度な検知・ブロックを期待できます。また、メールセキュリティシステムの中には、添付ファイルやURLの無害化や誤送信防止機能を持つ製品があります。システムごとに機能が異なるので、導入する際は製品の違いをよく比較しましょう。

まとめ

SNSやメッセージングツールが広く普及しましたが、メールを利用したコミュニケーションは現在でも多くの人に使われている重要なツールです。そのためメールを悪用したフィッシング詐欺はこれからもなくならないでしょうし、メール以外のLINEやfacebookを使ったフィッシング詐欺も増えてくるでしょう。

フィッシングメールはマルウェアとは違って、システムを使って機械的に防御しにくいという特徴があります。つまり不審なメールを受信した場合、メールの中身を把握して被害に遭わないようにするためには、自分自身で身を守る必要があります。

メールは便利な道具ですが、フィッシングメール詐欺のように悪用されて金銭的被害を受ける可能性もあります。被害に遭わないためには、不審なメールを受信しても鵜呑みにせずに、正しい知識を持って適切に対処することが必要だと言えるでしょう。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。