気づかないうちにWebサイトのアカウントが乗っ取られたり、クレジットカード番号を盗まれたりする・・・それがフィッシング詐欺です。
「個人情報が流出しました」などとメールが届いて、アクセスしたことはありませんか?
じつはそのメール、差出人が詐欺師でリンク先がフィッシング詐欺サイトかもしれません。
詐欺サイトは銀行や各種サービスの本物そっくりにつくられており、そこにID・パスワードを入力させて情報を盗むものです。より手口が巧妙化し、被害が増えるフィッシング詐欺について解説します。
【目次】
1. フィッシング詐欺とは?
攻撃者がネット銀行やクレジットカード会社、その他会員サイトをよそおったメールを送信し、本物そっくりの金融機関サイトなどに誘導するというものです。
本物そっくりのサイトにはID・パスワードの入力フォームが用意されており、騙されて自分のID・パスワードを入力してしまうと、犯人側に教えることになってしまいます。
“フィッシング(phishing)の”語源は、魚釣り(fishing)と洗練(sophisticated)の単語から作られた造語であると言われています。
1-1. フィッシング詐欺でどんな被害が起きる?
金銭被害
パスワードや実際に銀行やサイトに登録されている情報(クレジットカード番号やオンラインバンキングのID、住所氏名など)が盗まれると、お金を引き出される、勝手に買い物をされる、オークション詐欺に使われるなどの恐れがあります。
個人情報の売買
住所や氏名などの個人情報は犯罪者のあいだで取引され、ちがう攻撃に利用されてしまいます。
ウイルス感染
フィッシングサイトに不正プログラムが仕込まれていると、ウイルス感染しパソコン内のデータを盗まれる恐れがあります。
なりすましによる悪用
SNSなどへ勝手にログインされ、誹謗中傷やフィッシングサイトの拡散に使われてしまいます。
ストーカーなどのいやがらせ被害
直接個人を狙った攻撃につながる恐れもあります。
1-2. よくあるフィッシング詐欺のケース
ゲームのアカウントを盗まれてしまった
いつも使っているゲームサイトから「不正利用防止のため、本人確認のログインをお願いします」というメールがAさんの元へ届きました。
送信者のアドレスはゲームサイト運営者と同じものだったので、Aさんは疑うことなくメールのURLを開きました。開いたページもいつも見るサイトと同じように見えたので、そのままIDとパスワードを入力。
しかし後日、ゲームサイトにアクセスするとパスワードが変更されていてログインできません。慌てて問い合わせたところ、アカウントを乗っ取られ、課金アイテムなどをすべて盗まれたことがわかりました。
1-3. 日本国内におけるフィッシング詐欺の被害データ
2013年~2016年における、フィッシング詐欺の被害件数などのデータをご紹介します。件数は増減がありますが、確実にいえることは年々手口が巧妙化しているということです。
フィッシング詐欺届け出件数
2013年度:15,171 件
2014年度:22,411 件
2015年度:11,408 件
2015年11月~2016年10月:
フィッシングサイトの件数
2013年度:2,522 件
2014年度:4,146件
2015年度:2,995件
2015年11月~2016年10月:
ブランド名を悪用された企業の件数(フィッシング対策協議会調べ)
2013年度:136 件
2014年度:172件
2015年度:164件
2015年11月~2016年10月:
インターネットバンキングでの不正送金の被害額と件数(警察庁発表)
| 件数 | 被害額 | |
| 平成24年 | 64件 | 約4800万円 |
| 平成25年 | 1315件 | 約14億600万円 |
| 平成26年 | 1876件 | 約29億1000万円 |
フィッシング詐欺などが原因となる、インターネットバンキングでの不正送金被害は2013(平成25)年から被害が急激に増えています。このほかにも、詐欺で盗まれた個人情報などの悪用が多発しています。
2. フィッシング詐欺の代表的な手口・仕組み
突然ですが質問です。Aさんに届いたメールの中に、1つだけフィッシングメールがあります。それはどれだと思いますか?
- その1
- 送信者:ヤフーオークション
- 件名:オススメの最新出品情報
- その2
- 送信者:三井住友銀行
- 件名:ユーザー情報再確認のお願い
- その3
- 送信者:田中株式会社 営業部
- 件名:新商品発売のご案内
- その4
- 送信者:芸能ニュースメールマガジン
- 件名:SMAP解散騒動の真実とは?
三井住友銀行からの「ユーザー情報再確認のお願い」がフィッシングメールです。
一見、本物のメールのように見えますよね。メールの件名や送信者名はいくらでも偽ることができるので、見た目だけでは詐欺メールと判断できません。
しかしメールを開くと、個人情報を入力させるためのログイン画面へ誘導するURLが書かれています。
- 銀行やカード会社が個人情報をメールで確認することはない
- 銀行からの本物のメールには、電子署名がついていることがある(改ざんされていないことを証明するため)
2-1. フィッシング詐欺の流れ
- 攻撃者はフィッシングサイト(偽サイト)へ誘導するためのメールの送信や、SNSや掲示板への投稿をおこなう
- 騙された人はリンクをクリックし、フィッシングサイトでログイン情報や個人情報を入力してしまう
- 入力した情報は攻撃者へ送信され、盗まれる
- 盗まれた情報が悪用され、なりすましや金銭被害を受けてしまう
フィッシング詐欺の代表的な手口には、3種類あります。いずれもIDやパスワード、氏名、銀行口座番号、クレジットカード番号などの個人情報を入力させ、盗みだそうとします。
2-2. メールを送りつける手口
偽サイトへの誘導型
実在する銀行やクレジットカード会社、オンラインショップサイトなどをよそおったフィッシングメールを送りつける手口です。
メールには偽WebサイトへのURLリンクがあり、偽サイトへ誘導して個人情報を入力させ、盗もうとします。偽サイトへの誘導は、メール以外でもおこなわれます。
悪意あるURLは、掲示板、SNS、ブログなどに書き込まれることもあります。怪しいリンクは絶対にクリックしないでください。
「ユーザーアカウントの有効期限が近づいています」
「新規サービスへの移行のため、登録内容の再入力をお願いします」
「セキュリティ強化のため、ログインをお願いします」
送信プログラム添付型
ウイルスファイルが添付されたメールを送りつける手口です。
ファイルを開くと、ネットバンキングなどをよそおった、送金手続きの際に必要な契約者番号やパスワード、乱数表を入力するよううながす画面が現れ、個人情報を盗もうとします。
[ウイルスファイル添付メールの例]
HTMLメール送信型
HTMLを使って本物のサイトのような情報の入力画面をメール本文に表示し、送金手続きの際に必要な個人情報などを入力させようとする手口です。
[HTMLメールの例]
2-3. 検索サイトから誘導する手口
アクセスしたいサービス名でGoogleやYahoo!から検索をし、上位に表示されたページがフィッシングサイトという場合があります。
またURLを直接入力してアクセスしようとしたとき、スペルミスをしてしまうと、それを利用した詐欺サイトへアクセスしてしまう場合もあります。
2-4. ウイルス感染で誘導する手口
ウイルスに感染した端末で銀行などのサイトにアクセスすると、偽のログイン画面を表示します。これはブックマークなどから正規サイトを開いたときでも表示されるので、見抜くのは困難です。
2-5. フィッシングアプリから誘導する手口
これに加え、最近では偽のスマートフォンアプリにも注意する必要があります。本物そっくりの偽アプリや、実在するアプリの便利機能などをよそおったアプリが出現してきています。SNSへのログインや、個人情報を入力させようとして情報を盗みます。
3. 実際にあったフィッシング詐欺の被害事例
実際に存在したフィッシング詐欺サイトの事例をいくつか紹介します。これを見れば「いかに本物とそっくり」につくってあるかがお分かりになるはずです。
3-1. 実際のサービスを装った手口
実在するログイン画面と、まったく同じ見た目のフィッシングサイトにアクセスさせる手口です。ロゴなども盗用し巧妙に似せて作られているので、偽サイトと判断しにくいです。
りそな銀行の詐欺サイト
こんなメールが届き、偽サイトへ誘導されます。
「新サービス移行のため、再ログインをお願いします」
「再入力手続きを完了しないと、カードの利用ができなくなる恐れがあります」
偽のポップアップウィンドウを表示
PCがウイルス感染している場合、表示される手口です。
この手口のやっかいな点は、「本物のサイトを表示した上に、かぶせるように偽の入力画面を出す」ところです。入力画面にアドレス表示はなく、見分けるのは困難です。
下の図は、楽天銀行で表示された偽画面の例です。
Twitterの詐欺サイト
twitter.comに似せたフィッシングサイトをつくり、ダイレクトメッセージやお知らせメールからフィッシングサイトにログインさせる手口です。ログインさせることでログイン情報を盗み、本人になりすまして勝手に投稿されるなどの被害につながります。
Appleの詐欺サイト
Appleもフィッシング詐欺サイトがあります。これにログインしてしまうと、ID・パスワードがバレてAppleストアで悪用されたり、メールアドレスを乗っ取られる可能性があるようです。
2016年の5月頃から、Appleを装った新たなフィッシング詐欺が流行しています。内容は上記のようなもので、「アカウント情報を確認しないとApple IDが使用できなくなる」と不安を煽ります。
メール本文の「マイアカウント確認」にアクセスすると、つぎのようなフィッシング詐欺サイトに飛ばされます。
本物のような見た目をしていますが、絶対にサインインをしないでください。サインインしてしまうと、Apple IDが悪用されかねません。
フィッシング詐欺メールのタイトルは以下のようなものが多く報告されています。もし上記のようなメールが届いたら、相手にしないよう注意してください。
お使いのApple ID (●●●●@●●●●) がロッ
お使いのApple IDがロックされま
参考サイト:フィッシング対策協議会
三井住友銀行の詐欺サイト
三井住友銀行でもフィッシング詐欺が発生しています。公式ページには「暗証カード上のすべての数字を入力いただくご依頼をすることは、絶対にありません」とあるので、暗証番号を求められたら詐欺サイトであると考えてよいでしょう。
Amazonの詐欺サイト
見た目は完全に一緒なので、ぱっと見たところは判断がつきにくいでしょう。しかし、フィッシング詐欺メールが迷惑メールフォルダに入ったり、URLが違うなどの部分で見分けることは可能です。
楽天銀行の詐欺サイト
「他のサイトと同じID・パスワードを当行で設定している方は、直ちにご変更ください。」と、不正アクセスへの注意を促しているところが、本物のように感じさせます。
その他、警察になりすました偽サイトも海外で出現しています。最近増えている詐欺には、オンラインゲームをよそおったものがあり、フィッシング報告件数の8割以上にもなっています。
3-2. SNSや掲示板で偽サイトを拡散する手口
FacebookやTwitter、その他色々な掲示板に、偽サイトへアクセスさせる書き込みをする手口です。『いいね!』や『シェア』をつのり、友人の友人などへ広まりやすいです。自動的に表示される広告が、詐欺サイトであるケースもあります。
こんな投稿で偽サイトへ誘導されます。
- 感動のエピソードを書いて同情を誘い、募金をさせようとする
- かわいい女の子の写真を投稿し「いいね」をクリックすると、Facebookのログイン情報を求める偽ページが表示される
3-3. おいしい話やキャンペーンを装った手口
ダイレクトメールをよそおったメールが届き、偽サイトで買い物をさせようとします。ここで買い物をしてしまうと、入力したカード番号や住所は悪用され、商品が届かなかったり、違う商品が届いたりします。
実在するイベントへの参加申込みをよそおったページで、個人情報を入力させる場合もあります。
こんな誘い文句で偽サイトへ誘導されます。
「10万円分の商品券プレゼントのチャンス!くわしくはこちらのページをご覧ください」
「おめでとうございます!商品が当選しました」
「期間限定♪今このページから購入すると半額になります」
4. こんな場合はフィッシング詐欺かも!見分け方
フィッシング詐欺の特徴や、もし引っかかったときに気づくタイミングを紹介します。
銀行やクレジット会社からメールで口座番号や暗証番号をたずねられた
銀行やカード会社が、個人情報をメールで確認することはありません。
パスワードや情報を入力した後、いつもとちがう動きをした
- 入力してもエラーになる、またはわざと間違ったパスワードを入力してもログインできてしまう
- ログイン後、トップページに移動した
- ちがうサイトに飛んでしまう
- いつもとちがうタイミングで乱数表の入力を求められた
「重要」「緊急」「セキュリティ」などを強調し、情報を入力させようとする
急いで確認してください、などと書かれていても、いちど冷静になってチェックしましょう。
文章や言葉づかい、言い回しがおかしい
海外からの詐欺メールの場合、不自然な日本語の場合があります。
ネットショップで売られている商品が安すぎる
あまりにも安い値段を表示したり、「期間限定」などと急かすことで購入させようとし、情報を入力させる方法です。ショップの情報(所在地、連絡先など)がしっかりしているか?確認してから利用してください。
メールに電子署名がついているか確認する
銀行などからのメールには、改ざん防止のため電子署名(デジタル署名)がついていることがあります。通常、フィッシングメールに電子署名はついていません。
SSLのホームページかどうか確認する
通常、インターネットバンキングへのログインやクレジットカード番号などの重要な情報の入力画面では、「SSL」という盗聴防止のセキュリティ技術が使用されています。
しかし詐欺サイトではこのSSLを使っていないことが多いため、毎回チェックしてください。
SSLありの安全なサイトの判断方法
- URLが「http://」からではなく「https://」からはじまる
- WebブラウザのURL表示部分(アドレスバー)や運営組織名が緑色の表示になっている、鍵マークが表示されている
リンク先のURLを確認する
メールでは、表示するURLと実際のリンク先を偽って表示することができます。しかし、これはURLの上にマウスのカーソルを合わせることで、右上や下部に実際のURLを確認できます。スマートフォンでは、URLをタップではなく長押しすることで確認できます。
スマートフォンでは、URLをタップではなく長押しすることで確認できます。
5. フィッシング詐欺に引っかからない対策8つ
フィッシング詐欺は、自分に落ち度がなくてもネットワーク経由などで感染するウイルスなどとはちがい、「自分からアクション(入力、クリック)しなければ防げる」攻撃です。ダマされないよう、ふだんから注意することが1番の対策です。
5-1. メールやSNSのURLをむやみにクリックしない
メール本文内のリンクは偽装できます。本物のサイトと同じURLに見えて、実際アクセスすると違うURLに飛ぶ場合があります。またSNSで開いた記事が、さらに別リンクを開くよう促す場合も注意です。
金融機関やネットショップへアクセスするときは、メール本文中などからではなく、検索エンジンからのアクセスや、お気に入りリストに正しいURLを登録しておき、そこからアクセスするようにします。
5-2. ログインや個人情報をすぐに入力しない
個人情報を入力させようとするメールや、いつもとは違う手順を要求されたときは、すぐ信じずにいちど立ち止まってみてください。怪しい場合は金融機関やサービスに確認するようにします。
ただメールに書かれている連絡先は偽物かもしれないので、確認はかならず正規のサイトなどに記載されている連絡先にしてください。
5-3. ブラウザやOSは最新にする
ネットに接続するデバイスは、つねに最新状態に保っておきましょう。ブラウザやOSには、かならず脆弱性(セキュリティの弱点)があります。
定期的にアップデートすることで弱点が修正されるので、非常に重要です。スマホの場合もOSやアプリ(LINEや各種SNSなど)のアップデートを忘れずにしましょう。
5-4. ウイルス対策ソフトを使用する
ソフトで異なりますが、詐欺をブロックする機能を持つものも多数あります。たとえば以下のような昨日が挙げられます。
- フィッシングメールなどのスパムメールを自動的に迷惑メールフォルダへ振り分ける
- 怪しいサイトへアクセスしようとすると、警告が出る
- あらかじめクレジットカード番号などの重要情報を登録しておくと、不正プログラムなどにより外部に送信されることを防ぐ機能を備えているものもある
5-5. 定期的にパスワードを変更する、使いまわさない
10文字以上、数字と記号を含めた推測されにくいパスワードにします。
5-6. ログイン履歴や取引履歴をこまめにチェックする
クレジットカードやオンラインバンキングの履歴や、覚えのない時間にログインされていないか? 定期的に確認することで、もし不審な取引があればすぐに対応できます。
5-7. 銀行やカード会社の連絡先リストを作る
もしものときの連絡先やURL確認、また自分持っている口座管理にも役立ちます。
5-8. アプリは作成元を確認し、正規ストアからダウンロードする
アプリをインストールするときは、かならず確認してからにします。
身の回りの人や、特に高齢者の方はフィッシングとなかなか見抜けず、引っかかってしまう可能性があります。まわりの人が、ふだんから注意して見ておいたり、何かを入力するときはかならず声をかけてもらうなどの対策をする必要があります。
6. 詐欺に遭ったと思われる際の対処法
フィッシング詐欺のサイトで情報を入力してしまった!などの場合、つぎのように対処してください。できるだけ迅速におこなうことが重要です。
6-1. すぐサービス運営に問い合わせ
以下のような場合、すぐにそのサービスへ連絡(できれば電話)し、アカウント一時停止の依頼をしましょう。ログインできた場合はパスワード変更をしてください。
- フィッシングサイトでIDやパスワードを入力してしまった場合
- 口座から預金が引き出されていた、カードを不正利用された場合
- アカウントを乗っ取られた場合
各都道府県警察のサイバー犯罪相談窓口(フィッシング110番)
»http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
SNSの乗っ取りでは金銭被害はないかもしれませんが、乗っ取られたアカウントからさらに詐欺行為がおこなわれる危険があります。かならずサイトへ連絡し、利用をストップさせてください。
6-2. 補償はされるか問い合わせ
詐欺により、勝手に預金からお金を引き出されてしまった・カードを使われてしまったとき、補償される場合があります。
全国銀行協会の場合
「オンラインバンキングにて個人の預金者が受けた詐欺の被害を原則として補償する。ただし被害の程度や利用者側の過失の有無(PCにセキュリティソフトを入れていたかなど)により、補償額を減額する場合もある」
このように決められています。その他、それぞれの銀行でも同じような補償規定を決めているところが多いです。
7. フィッシング詐欺かも?と思ったら
あやしいメールが届いたときなど、無視するのもひとつの手かもしれませんが、被害拡大を防ぐために、つぎのような対処をおこなうとよいでしょう。
7-1. フィッシングと思しきメールを受信したとき
詐欺メールか確認
差出人の銀行やカード会社へ、そのようなメールを送ったかどうか問い合わせてみてください。メールの件名だけでは、詐欺メールかどうか判断することは難しいです。
詐欺メールが多数報告されると、サイトを運営する銀行やサービス会社側が「フィッシング詐欺にご注意ください」といったページを公開して、メールの特徴を解説することがあります。
受信拒否の設定
フィッシング詐欺のメールは、度々送られてくることがあります。間違えてアクセスしてしまわないように、あやしいメールの差出人アドレス(ドメイン)を受信拒否するのがおすすめです。
7-2. フィッシングと思しきサイトを発見したとき
メールやSNSに書かれたリンクのクリックや情報入力は絶対にせず、下記の組織などへ連絡してください。通報することで、被害拡大を防ぐことができます。
フィッシング対策協議会
»https://www.antiphishing.jp/JPCERT/CC(フィッシングサイト閉鎖依頼等の受け付け)
»https://www.jpcert.or.jp/form/
まとめ
詐欺サイトについての注意情報はたくさんありますが、それでも引っかかる人は後をたちません。それはやはり攻撃者の手口が巧妙になっていることと、利用者側が「自分は引っかからないだろう」「詐欺メールは自分には来ないはず」と油断している部分もあると思います。
何かを入力するとき、クリックするときは、いったん考えてみる。うまい話があっても、すぐに信用しない。
フィッシング詐欺は、私たちが気をつけていれば防げる詐欺です。
ネットやメールを使うときは、「どこにどんな詐欺があるかわからない」という意識を持ち、常に気をつけておくことが大切です。
