「フィッシング詐欺」という言葉を聞いた事がある人は多いでしょう。フィッシング詐欺とはインターネット上で発生する詐欺行為のことです。フィッシング詐欺に騙されてしまうと、クレジットカード情報やネットバンクのログイン情報などが窃取されることがあります。

フィッシング詐欺の被害に遭わないためにはどうしたらよいのでしょうか? そこで今回はフィッシング詐欺の手口と対策方法について紹介します。

フィッシング詐欺とは

フィッシング詐欺とはインターネット上で行われる詐欺行為です。クレジットカードやネットバンクなどの正規のサービスになりすまして、ユーザーからログイン情報などを盗み出します。

フィッシングは英語では「phishing」と綴ります。よく「fishing」と間違われるのですが、フィッシング詐欺では「魚釣り(fishing)」と洗練された「sophisticated」の2つを組み合わせて作られた造語であると言われています。

フィッシング詐欺の被害にあうことで、クレジットカードを不正に利用されて買い物されたり、ログインが必要なサービスも悪用されたりします。さらにユーザーが気づかないうちにパスワードを変更されてしまうと、サービスの解約もできなくなるでしょう。

フィッシング詐欺の仕組み

フィッシング詐欺を行う目的は、クレジットカードやWebサービス、ネットバンクのログイン情報などの搾取です。このように不正に入手された情報は闇市場で取引されます。大部分の攻撃者は、より多くの情報を得るために不特定多数をターゲットとします。しかしフィッシング詐欺の中には、特定の個人や企業をターゲットとすることもあり、これは「スピアフィッシング」と呼ばれます。

フィッシング詐欺の多くは「フィッシングメール」と呼ばれるメールを悪用して行われます。メールを受信したユーザーをフィッシングサイトに誘導し、クレジットカードやネットバンクなどの情報を入力させようとします。フィッシングメールの文章は今すぐ何とかしないといけないと思わせるような、人間の心理を利用した文面が使われています。

最近ではスマートフォンのメールに特化したものや、facebookやLINEなどのSNSのメッセージ機能を悪用したケースも確認されています。

フィッシングメールの種類

フィッシングメールには文面やリンク先のページの内容に応じていくつかの種類に分類されます。主なもの4種類を紹介します。

1. 設定確認系

使用しているWebサービスなどから「情報漏洩事件が多発しているので、新しいセキュリティ対策を導入した」とメッセージが来て、メッセージ中に含まれているリンクからログインするように促されるものです。

また「あなたのパスワードは簡単すぎるので安全面で問題があります」とメッセージがきて、メッセージに含まれているリンク先からパスワードを変更するという名目でログインを促されるケースもあります。

2. アカウントロック系

使用しているWebサービスにおいて「第三者からのアクセスを確認したので、パスワードを暫定的に変更した」とメッセージがきてリンクをクリックさせて、パスワードを再設定させるためにIDとパスワードを入力させようとします。パスワードは暫定的に変更させたのに、再設定のために古いIDとパスワードを入力させるのは、落ち着いて考えるとおかしな話です。

また「アカウント情報に不備がある」と指摘するメールが来て、登録情報を変更するためにリンク先からログインするように促されることもあります。「24時間以内に変更しないとロックされます」と脅迫するケースも確認されています。このようなメールには、不備のある情報が具体的に何なのか書かれていない点がポイントです。

マイクロソフトが販売している「Office」を使用するためのプロダクトキーが第三者に悪用されているということで、検証作業のためにリンク先からログインさせようとする手口もあります。このケースの場合も「24時間以内にログインしないとプロダクトキーが無効になる」とユーザーを不安にさせる文面が使われることがあります。

3. 購入確認系

ECサイトで商品を購入した時に送信される購入確認のメールを騙るケースです。実際に購入した時と同様にHTMLメールで送信されます。受信したユーザーは当然心当たりがありませんので「キャンセルはこちら」のリンクをクリックしてしまいます。リンク先ではクレジットカード番号やパスワードなどの入力フォームが用意されており、入力を促されます。

4. 偽サイト誘導系

受信したメールのリンクをクリックすると、本物とそっくりのWebサイトが表示されます。これは攻撃者向けに提供されている、Webページを丸ごとコピーできるツールを使用して作られています。しかしこれは実際には偽物のWebサイトです。本物と同じようなデザインで偽物のWebサイトをつくることで、ユーザーを騙してクレジットカードやログイン情報を不正に入手しようとしているのです。

フィッシング詐欺への対策

フィッシング詐欺を見抜くポイントは受信した不審なメールをよく確認することです。フィッシングメールを読むと「このままではサービスが使えなくなる」「お金を支払わされる」とユーザーに思い込ませるようになっています。このようなメールを受信した時は、まずは落ち着いてメールの中身やリンク先をよく見てみましょう。そこでフィッシングメールに騙されないための、具体的な対策方法についていくつか紹介します。

1. 宛先や件名を確認する

受信したメールにWebサービスの設定変更が必要になるような重要なメールが来たら、まずメールの宛先や本文を確認しましょう。本物のサービスの設定変更が必要となるメールには、ユーザーの氏名や会員番号などが記載されているケースが多いです。受信したメールにそれらの情報が含まれていない場合は、フィッシングメールであることを疑った方がよいでしょう。なぜなら攻撃者はそれらの情報を知らないからです。

2. 送信元を確認する

怪しいメールを受信したら、受信したメールの送信元を確認しましょう。しかしメールの送信元は自由に書き換えることができ、正規の送信元が記録されていても、そのまま信じるのは危険です。あくまでも参考です。

パソコンで受信したメールの場合、メールソフトの機能を使ってメールのヘッダ情報を確認できます。ヘッダ情報には受信したメールがどのような経路を経て送信されてきたのかが記録されています。ヘッダ情報の「Received」の項目数が多い場合は若干怪しいかもしれません。

Gmailの場合、受信したメールからヘッダ情報を確認できます。

受信したメールの右上にあるメニューをクリックします。

メニューから「メッセージのソースを表示」をクリックします。

そうすると受信したメールのヘッダ情報を確認できます。ヘッダ情報からだけでは、受信したメールがフィッシングメールであることはわかりませんが、メールがどのようなサーバーを経て送信されてきたのか、簡易的なチェックが可能です。

3. リンク先のURLアドレスを確認する

メール中に含まれているリンクのURLを確認しましょう。フィッシングメールではリンク先に罠を仕掛けているので、リンク先のURLも正規のWebサービスの物とは異なっているはずです。正しいWebサービスのURLに近い文字列でも、ドメインの箇所が少し違っていることもあります。リンクをクリックする前に、リンク先に設定されているURLをよく見て確認することが重要です。

4. 個人情報の入力を求められたら要注意

リンク先のページで名前や住所などの個人情報の入力が求められていたら要注意です。そもそも正規のWebサービスではメールを使って別ページにアクセスさせて個人情報の入力を求めるケースは非常にまれです。

また個人情報だけでなく、クレジットカードの番号やパスワードなどの入力が求められたら、まず怪しいと疑った方が良いでしょう。

5. 同様のフィッシングメールが報告されていないか確認する

受信したメールが怪しかったら、同じようなメールで報告されているフィッシング詐欺の実例を確認しましょう。フィッシング対策協議会のWebサイトでは、実際に行われているフィッシング詐欺が報告されています。

サイトフィッシング対策協議会

その他の確認方法としては、受信したメールのメッセージの文字列を利用してGoogleなどで検索して情報を得ることも有効です。

フィッシングサイトの共通点

フィッシングサイトはクレジットカードやパスワード、個人情報を入力させて、ユーザーの情報を盗み出すことを目的としています。そのためページにアクセスするだけで実害が発生することは少ないです。しかしドライブバイダウンロードの攻撃を使って、マルウェアに感染させられることもあるので注意が必要です。

多くのフィッシングサイトは特有の共通点を持つことがあります。その中でも主なものを2点紹介します。

「秘密の質問」などの入力を求められる

フィッシングサイトは正規のWebサイトとほとんど同じ内容が表示されますが、本来なら存在しないはずの「秘密の質問」なども入力させる仕様になっています。このような項目があるサイトは、まず正規のWebサイトではないので、フィッシングサイトであると判断できます。

暗号化通信になっていない

IDやパスワードを入力するWebサイトでは通常、アドレスバーに鍵マークのアイコンが付いていたり、組織名が表示されていたりします。これはSSLといって通信内容が暗号化される技術が使われていることを表しています。

本来IDやパスワードは通信内容が盗聴されても情報が漏洩しないようにSSLに対応していることがほとんどです。つまり入力フォームがあるにも関わらず、SSLに対応していない場合はフィッシングサイトである可能性があります。

しかし最近では無料でSSLに対応できるWebサーバーも普及しており、単純にSSLに対応しているから安心とも言えなくなっています。そのためアドレスバーの鍵アイコンをクリックして、証明書を表示させて表示されているWebサイトのドメインが正規のものであるかどうか確認することも重要です。

フィッシング詐欺に遭ってしまったら

もしフィッシングサイトと気づかずにIDやパスワードを入力してフォームを送信してしまったらどうしたらよいのでしょうか。その場合、まずは正規のサービスを提供している企業へ連絡を取りましょう。誤ってIDやパスワードを入力しても、すぐに被害があるとは限りませんが、できるだけ早く連絡することが重要です。

1. 金融機関へ連絡

銀行やクレジットカードなどの金融機関では、フィッシング詐欺の被害に遭ってしまった場合の連絡先が用意されています。連絡先については「一般社団法人 全国銀行協会」のホームページで銀行別に調べることができます。

サイト金融犯罪に遭った場合のご相談・連絡先

SNSやオンラインゲームなどWebサービスなどになりすましたフィッシングサイトでIDやパスワードを入力してしまった場合は、正規のサービスにログインしてパスワードを直ちに変更しましょう。もしパスワードが変更されてしまっていたら、「パスワードを忘れてしまった場合は」のページを使って、新しいパスワードを再発行しましょう。

2. クレジットカードの一時停止

フィッシングサイトにクレジットカード情報を送信してしまった場合は、クレジットカード事業者へ速やかに連絡をしてカードの利用を停止させ、再発行などの手続きを取ることが必要です。悪用される前に停止処置を取れば、金銭的な被害を防ぐことができます。

クレジットカードに関する相談窓口としては「一般社団法人 日本クレジット協会」に相談するとよいでしょう。

サイト一般社団法人 日本クレジット協会 クレジットに関する相談窓口

3. 通報

もしフィッシング詐欺に遭ったり、フィッシング詐欺と思われる不審なメールを受信したりしたら、被害の発生に関わらず、警察庁の「フィッシング110番」や「フィッシング対策協議会」に通報して情報提供しましょう。

サイトフィッシング110番
サイトフィッシング対策協議会

まとめ

SNSやメッセージングツールが広く普及しましたが、メールを利用したコミュニケーションは現在でも多くの人に使われている重要なツールです。そのためメールを悪用したフィッシング詐欺はこれからもなくならないでしょうし、メール以外のLINEやfacebookを使ったフィッシング詐欺も増えてくるでしょう。

フィッシングメールはマルウェアとは違って、システムを使って機械的に防御しにくいという特徴があります。つまり不審なメールを受信した場合、メールの中身を把握して被害に遭わないようにするためには、自分自身で身を守る必要があります。

メールは便利な道具ですが、フィッシング詐欺のように悪用されて金銭的被害を受ける可能性もあります。被害に遭わないためには、不審なメールを受信しても鵜呑みにせずに、正しい知識を持って適切に対処することが必要だと言えるでしょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?