フィッシング詐欺に注意！手口と対策

「【Yagiカード】重要：必ずお読みください
この度、YagiカードWebサービスに対し第三者による不正アクセスを確認いたしました。
セキュリティ対策としてお客様の登録ID・パスワードをリセットしましたので、お手数ですが12時間以内に下記URLへログインし、再登録をお願いいたします。

フィッシング詐欺とは

本物そっくりに作った偽のサイトを利用してアカウント情報やカード情報などを奪う犯罪手口のことを「フィッシング詐欺」といいます。

フィッシング対策協議会の月次報告書によると、2021年フィッシングサイトのURL数は52万6000件に上り、前年比10倍となっています。通販やネットバンキングなどでインターネット利用が一般化してきた現代では、増加傾向にある詐欺の1つです。

フィッシング詐欺の手口

不特定多数のネット利用者へ実在する企業の名を語ったメールやメッセージを送り、巧みにリンクをクリックさせて、フィッシングサイトへ誘導します。そこでアカウント情報（ユーザID、パスワード等）・クレジットカード情報（カード番号、暗証番号等）・個人情報（氏名、住所、電話番号等）などを入力するよう促し、入力された情報を盗み取るのです。

フィッシングサイトは本物のサイトと殆ど区別がつかないよう精巧に作られているものが多いので、情報を奪われたユーザーはすぐには気付かず、後日預金残高が減っていたり、ログインパスワードが勝手に変更されるなどの被害が出てからようやく判明することが多いといわれています。

メール経由の他、最近はスミッシングと言われるSMSを悪用したフィッシング詐欺も増加しています。また、SNS、オンラインゲーム、ブログ等を利用したフィッシング詐欺もあります。

このページでは、それぞれ経由別にフィッシング詐欺の手口についてご紹介します。

①メール経由

典型的な手口として、実在するクレジットカード会社やネット銀行、大手企業からのお知らせと称した「なりすましメール」により、フィッシングサイトへ誘導する方法があります。

8月5日に発表されたPhishers’ Favoritesレポートでは、フィッシング攻撃で最もなりすましが多かったブランドTOP25のランキングを紹介しています。金融機関やECサイトを名乗るケースが多く見られますが、Facebook・Twitterなどのソーシャルメディア、MicrosoftやGoogleなどクラウドも多くランクインしており、魅力的な標的となっているようです。

実在する企業の名を語った「なりすましメール」ですが、基本的に企業がメールでIDやパスワードなどの個人情報を求めることはありません。そういったメールを受け取った場合は、そのメールに書かれた連絡先ではなく、企業の公式ホームページから問い合わせるなどの慎重な対応が必要です。

▽以下記事では、なりすましメールの様々な手口と対策について紹介しています。
＞なりすましメールとは？手口と対策

②SMS経由

スミッシング（SMS Phishingから生まれた造語）といって、メール同様にSMS（ショートメッセージサービス）へ詐欺目的のメッセージを送り、フィッシングサイトへ誘導して個人情報を登録させ盗み取る手口です。特に多いのは以下のような手口です。

宅配業者など、普段利用している企業から連絡があるとつい焦ってリンクを押したくなるかもしれませんが、一呼吸おいて、詐欺の可能性を疑いましょう。各企業が公式にスミッシングの注意喚起をしていますので、 疑わしいSMSが届いたらURL先に飛ばず各企業の公式サイトで情報を確認してください。
覚えのない架空請求が来た際には、公式サイトやアプリから購入履歴を確認したり、カスタマーセンターに問い合わせるなど、冷静に対処しましょう。

基本的にSMSは画像やファイルの添付ができないため、正規の企業を装ってURLをタップさせようと誘導するケースがほとんどです。また、電話をかけるように誘導し、オペレーターと電話で話したうえで様々な理由を付けて金銭を詐取する手口もあります。

SMSに記載されているURLや電話番号はタップしないようにしましょう。

③SNS、オンラインゲーム、ブログ経由

TwitterやInstagramなどのアカウント情報を狙った手口もあります。

例えば、親しい友人からTwitterのDM（ダイレクトメッセージ）がきたが、実は乗っ取られたアカウントで詐欺メッセージだった、というパターンです。「この写真おもしろいよ！」などとURLが送られてきて、親しい友人だからと疑わずにリンクをタップすると、ログイン画面が表示されます。ログイン情報を入力しても、Twitter正規のNot Found画面が表示されるだけで、写真を見ることはできません。

この時点で、既にTwitterのログイン情報は盗み取られており、悪意ある攻撃者の元へと送られています。そして乗っ取られたログイン情報を用いてまた別のフォロワーへDMやツイートをするために悪用されたり、ダークウェブでログイン情報が売買されたりするのです。

そのメッセージは本物でしょうか？リンク先へ誘導するメッセージには警戒が必要です。

④Webサイト経由

ウイルス感染などを装って、偽のオペレーターへ電話をかけさせ、巧みにサポート契約やソフトのインストールをさせて、カード情報を盗んだり法外の支払いを要求する手口もあります。

Webサイトを閲覧中に、突如として大音量の警告音が流れ、画面に「ご利用中のデバイスがウイルスに感染したので至急以下の番号へ電話をかけてください」などといった、ウイルス感染を知らせるポップアップが表示されると、心理的に焦ってしまいます。
警告音を止めようと焦ったユーザーは、記載されている番号に電話をかけてしまい、片言の日本語を話すオペレーターに誘導されて、法外に高額なサポート契約費用やウイルス除去費用をカード決済してしまったり、偽のウイルスソフトを購入したりしてしまうのです。

警告メッセージが表示されても、すぐにウイルス感染を信じるのではなく、いったん冷静になって詐欺を疑いましょう。画面に表示されたメッセージをWebで検索すると、同じような被害の事例が見つかることがあります。

疑わしいメッセージに表示された電話番号には、絶対にかけないようにしましょう。

フィッシング詐欺に遭った時の対処法

フィッシング詐欺の被害に遭ったと判明したら、すぐに対処しましょう。

金融機関の情報を入力した場合は、銀行や専門の相談窓口へ連絡する

被害に遭ったと判明した時点で、不正送金を防ぐためすぐに銀行に電話連絡をして対応を仰ぎましょう。既に預金を引き出されてしまっていても、個人口座については（口座所有者自身に過失が無い場合）払い戻せますので、必ず連絡してください。

また被害にあったネットバンキングのパスワード、暗証番号の変更が必要かも確認し、ログイン情報が悪用されないようにしましょう。

クレジットカードの情報を入力した場合は、カード会社に連絡をする

被害に遭ったと判明した時点で、不正利用を防ぐためすぐにクレジットカード会社に連絡をして対応を仰ぎましょう。クレジットカードの裏に書いてある電話番号か、Webサイトに専用の連絡先が書いてあります。不正利用がされていなければ、口座の凍結やカードの利用停止などで事前に不正利用を防ぐことができます。

最近は不正使用の補償がついているカード会社が増えましたが、損失が補填されないカードもありますので、速やかな対応が重要です。

カード会社から請求金額が引き落とされてから不正利用に気づいた場合も、カード会社に連絡をしましょう。カード会社が不正と認めた場合に保険会社から損害が補償されます。

金銭被害があった場合や、相談したい時には

銀行やカード会社の他、金銭被害があった場合は、居住する地区の都道府県警察サイバー犯罪相談窓口にも連絡します。詐欺拡大を防ぐため、フィッシング詐欺対策協議会にも情報を提供しましょう。

フィッシング詐欺被害の相談が必要な場合は、国民生活センターまたは消費生活センターに連絡すると親身に相談に乗ってくれます。

各種サービスのログイン情報を入力した場合は、パスワードを変更する

フィッシングサイトでログイン情報を入力してしまった場合は、すぐにパスワードを変更しましょう。すぐに対処しないと、不正にログインされてしまい、住所、電話番号、カード番号などの重要な個人情報を盗まれる恐れがあります。
複数のサービスで同じパスワードを使用していた場合は、すべてのサービスでパスワードを変更しましょう。

SNSでフォロワーにスパムが送られていた場合は、別の手段で注意喚起する

フィッシングによりSNSのアカウントが乗っ取られてしまった場合には、メールやLINEなど別の連絡手段を使ってフォロワーである友人や知人に知らせて、スパムメッセージを開かないよう注意喚起をしましょう。

注意喚起をしなければ多くの人に被害が広がり、迷惑をかけてしまいます。

フィッシング詐欺に遭わないための基本対策

そもそもフィッシングの被害に遭わないために、以下の対処法をチェックしておきましょう。

①URLやメールアドレスが本物か確認する

不審なメールやメッセージを受け取っても、詐欺と気づくことができれば、被害にあう可能性を大幅に下げることができます。

「送信元メールアドレス」や「ヘッダー情報」は偽装することができますので全てを信用できるわけではありません。microsoft→microsfotなど、よく見ないと本物と見間違えてしまうような紛らわしいメールアドレスを使う場合もあります。
また、前述のようにSNSで知り合いからメッセージが届いたと思っても、実は乗っ取られたアカウントだったという可能性もあります。

送信元のアドレスのみで偽メールを完全に見分けることはできませんが、企業や知り合いを装った詐欺メールが届く可能性を常に意識し注意しておくことで、疑わしいメールに気づきやすくなります。

②URLを不用意にクリックしない

URLをクリックし偽サイトにアクセスしてしまうと、アクセスした瞬間にスマートフォンやパソコンの端末情報が抜き取られるほか、情報漏洩アプリが勝手にダウンロードされてしまう危険性も潜んでいます。
たとえ本物のメッセージでも、内容に違和感があったり、パスワードや個人情報の入力を求めるサイトに誘導するURLを不用意にクリックしないように注意しましょう。

③情報の真偽を確認する

企業の公式サイトや公式アプリなどで、メッセージに記載されている情報が本当に正しいかどうか確認する習慣をつけましょう。メッセージの内容をブラウザで検索すると、同じような詐欺の事例や注意喚起が出てくることもあります。メッセージに書いてある内容をすぐに信用しないことが大切です。

不安な場合は、企業の公式ページからカスタマーサポート窓口に問い合わせるのも解決策の1つです。ただし、間違ってもメッセージに記載されている電話番号にはかけないように注意しましょう。

④リンク先のURLを確認する

メールやSNSに書かれているURLをクリックして、アカウント情報などを入力する画面が出たとき、そのページのURLが本当にそのサービスが提供しているURLかどうか確認しましょう。

メッセージに書かれているURLと、リンク先のページのURLは必ずしも同一とは限りません。メッセージでは正規のURLを表示していても、実際にアクセスした先は詐欺サイトの可能性もありますので、注意が必要です。

⑤SSLサーバー証明書の導入を確認する

SSLサーバー証明書とは、Web サイト運営者の実在性を確認し、ブラウザとサーバーの間でやりとりされるデータの暗号化を行う電子証明書のことです。近年のフィッシングサイトもこのサービスを導入してきてはいますが、Webサイト所有者の身元確認を強化したEV SSL(Extended Validation証明書)をフィッシングサイトで導入することは難しいと思われるため、サイトにEV SSLが導入されているかを確認することも安全の一つの目安になります。

SSLサーバ証明書が導入されているWebサイトは、ブラウザのアドレスバーに鍵マークが入ります。鍵マークをクリックすることで、Webサイトを運営している組織の情報を確認することができます。EV SSLの場合は、そこに発行条件を満たした企業名が記載されています。

↓

⑥セキュリティソフトを導入する

100%安心というわけではありませんが、セキュリティソフトを検討することも有効な対策の一つです。多くのセキュリティソフトはフィッシング詐欺対策の機能を備えており、スパムやフィッシング詐欺の可能性のあるメールを検知し選り分けたり、多くの偽装されたサイトを判別しフィッシングサイトを表示する際にアクセスできないようにしたりと、被害の防止に役立ちます。

まとめ

もし詐欺にあってしまった場合は、すぐにパスワードを変更し、銀行、カード会社、警察のサイバー犯罪相談窓口、消費生活センターなどの窓口に相談しましょう。速やかに対応することが、詐欺被害を最小限に留める可能性を高めます。

また、フィッシング詐欺にあわないよう普段から対策し、情報の真偽を確認する習慣を身につけておきましょう。インターネットを利用する私たちが、デジタルリテラシーを高めていくことが、一番の詐欺被害減少につながります。