フィッシング詐欺の手口 | 被害に遭ったときの対処法

気づかないうちにWebサイトのアカウントが乗っ取られたり、クレジットカード番号を盗まれたりしてしまう・・・それがフィッシング詐欺です。

利用しているサービスや銀行を名乗る相手から「個人情報が流出しました」などの用件でメールが届いたことはありませんか？

そのメール、じつは悪意ある人物から送信されたニセモノかもしれません。

フィッシング詐欺に使われるサイトは本物そっくりにつくられており、そこにID・パスワードを入力させて情報を盗みます。近年より手口が巧妙化し、被害が増えるフィッシング詐欺について解説します。

フィッシング詐欺の手口

フィッシング詐欺とは、おもにつぎのような手口でおこなわれます。

メールを使った手口

偽サイトへの誘導型

悪意ある人物が特定のWebサービスや金融機関にそっくりなニセサイトを用意し、このURLをメールで不特定多数の人に送りつけるという手法です。

メールの場合「個人情報が流出した可能性があるため、ログインして確認してください」など、それらしい内容で届くため、焦ってアクセスしようとしてしまうかもしれません。

これをクリックした人が本物のサイトと間違えて、ログイン情報入力欄に本当のログインID・パスワードを入力してしまうと、悪意ある人物に送信されてしまいます。

出典：http://www.keishicho.metro.tokyo.jp/

送信プログラム添付型

ウイルスファイルが添付されたメールを送りつける手口もあります。

ファイルを開くと、ネットバンキングなどをよそおった、送金手続きの際に必要な契約者番号やパスワード、乱数表を入力するよううながす画面が現れ、個人情報を盗もうとします。

［ウイルスファイル添付メールの例］

出典：http://www.ipa.go.jp/

HTMLメール送信型

HTMLを使ってメール本文に本物のサイトのような入力画面を表示し、送金手続きの際に必要な個人情報などを入力させようとする手口です。

［HTMLメールの例］

検索サイトを悪用した手口

アクセスしたいサービス名でGoogleやYahoo!から検索をし、上位に表示されたページがフィッシングサイトという場合もあります。

またURLを直接入力してアクセスしようとしたとき、スペルミスをしてしまうと、それを悪用したニセサイトへアクセスしてしまう場合もあります。

ウイルス感染で誘導する手口

ウイルスに感染した状態で銀行などのサイトにアクセスすると、ニセのログイン画面が表示されることがあります。ブックマークなどから正規サイトを開いたときも表示されるので、見抜くのは困難です。

アプリから誘導する手口

最近は本物そっくりのニセアプリや、実在するアプリの便利機能などをよそおったニセアプリが出現してきています。SNSへのログインや、個人情報を入力させようとして情報を盗みます。

フィッシング詐欺の被害に遭ったときの対処法

フィッシング詐欺に遭った可能性がある、もしくはクレジットカードの悪用が認められた、といった場合はつぎのような対処をおこなうことが望ましいです。

クレジットカードを止める

クレジットカードが悪用された、もしくは番号が漏えいした可能性があるときは、いち早くカードを止めることが重要です。各カードを停止させるための連絡先は以下です。

ログイン情報を変更する

ログイン情報が知られてしまったのであれば、いち早くパスワード変更をおこなうことで、悪意ある人物が不正にログインできないようにしましょう。

パスワードは以前と似ていないものにして8文字以上、できれば英数字の大小混合や記号を入れたものにすることで、セキュリティ性を高められます。

ウイルススキャンをおこなう

ニセサイトにアクセスしたり、ソフトやアプリをインストールしたりした場合、そこからウイルス感染して個人情報が盗まれ続ける可能性があります。

セキュリティソフトでウイルススキャンをおこない、セキュリティソフトがないならインストールすることでウイルスを除去してください。

通報する

フィッシング詐欺と思われるニセサイトを発見した、メールを受け取った際は、以下のサイトから情報提供をおこなうのもよいでしょう。被害拡大を防ぐことになります。

フィッシング詐欺を見分けるポイント

フィッシング詐欺やニセサイトには特徴があります。以下のようなポイントをもとに、本物かどうか見分けてください。

口座番号や暗証番号をたずねる

銀行やクレジットカード会社が、口座番号や暗証番号などの個人情報をメールで確認することはありません。たずねられたらニセのメール・サイトでしょう。

ログイン情報を入力後、いつもと異なる動きをした

ログインIDやパスワードを入力しても、いつものログイン後のページが表示されず、つぎのような動きをした場合は、偽サイトである可能性があります。

文章や言葉づかい、言い回しがおかしい

海外から送られた詐欺メールの場合、不自然な日本語である場合が多いです。また不自然な記号が入っていたり、社名が少し違ったりしていることもあります。

メールに電子署名がついているか確認する

銀行などからのメールには、改ざん防止のため電子署名（デジタル署名）がついていることがあります。通常、フィッシングメールに電子署名はついていません。

SSLのホームページかどうか確認する

通常、インターネットバンキングへのログインやクレジットカード番号などの重要な情報の入力画面では、「SSL」という盗聴防止のセキュリティ技術が使用されています。

しかし詐欺サイトではこのSSLを使っていないことが多いため、毎回チェックしてください。

[SSLを使用しているアドレスバーの例]

リンク先のURLを確認する

メールでは、表示するURLと実際のリンク先を偽って表示することができます。しかし、これはURLの上にマウスのカーソルを合わせることで、右上や下部に実際のURLを確認できます。

スマートフォンでは、URLをタップではなく長押しすることで確認できます。

フィッシング詐欺被害を防ぐ対策

フィッシング詐欺は、「自分からアクション（クリックや入力）しなければ防げる」攻撃です。ダマされないよう、ふだんから注意することが1番の対策といえます。

メールやSNSのURLをむやみにクリックしない

メール本文内のリンクは偽装できます。本物のサイトと同じURLに見えて、実際アクセスすると違うURLに飛ぶ場合があります。またSNSで開いた記事が、さらに別リンクを開くよう促す場合も注意です。

金融機関やネットショップへアクセスするときは、メール本文中などからではなく、検索エンジンからのアクセスや、お気に入りリストに正しいURLを登録しておき、そこからアクセスするようにします。

ログインや個人情報をすぐに入力しない

個人情報を入力させようとするメールや、いつもとは違う手順を要求されたときは、すぐ信じずにいちど立ち止まってみてください。怪しい場合は金融機関やサービスに確認するようにします。

ただメールに書かれている連絡先は偽物かもしれないので、確認はかならず正規のサイトなどに記載されている連絡先にしてください。

ブラウザやOSは最新にする

ネットに接続するデバイスは、つねに最新状態に保っておきましょう。ブラウザやOSには、かならず脆弱性（セキュリティの弱点）があります。

定期的にアップデートすることで弱点が修正されるので、非常に重要です。スマホの場合もOSやアプリ（LINEや各種SNSなど）のアップデートを忘れずにしましょう。

セキュリティソフトを使用する

ソフトで異なりますが、詐欺をブロックする機能を持つものも多数あります。たとえば以下のような機能が挙げられます。

定期的にパスワードを変更する、使いまわさない

8文字以上、数字と記号を含めた推測されにくいパスワードにします。

ログイン履歴や取引履歴をこまめにチェックする

クレジットカードやオンラインバンキングの履歴や、覚えのない時間にログインされていないか、定期的に確認することで、もし不審な取引があればすぐに対応できます。

銀行やカード会社の連絡先リストを作る

もしものときの連絡先やURLなどのリストをつくっておくと安心です。また自分所有している口座管理にも役立ちます。

アプリは作成元を確認し、正規ストアからインストールする

アプリをインストールするときは、App StoreやGoogle Playなど正規ストアを利用するようにし、不正なアプリではないか、必ず確認してからおこなってください。

まとめ

フィッシング詐欺に使われるニセサイトは、本物とほぼ変わらない見た目で、精巧につくられていることが多いです。そのため、瞬時に見た目で判断するのはむずかしいかもしれません。

なので、パスワード変更を求めるメールなどが届いたら、まずブックマークからサイトにアクセスするなどして、基本的に疑うようにすることが重要といえるでしょう。