フィッシング詐欺とは?対策や手口について解説!
フィッシング詐欺による被害が相次いでいるという話を聞いたことがある方も多いでしょう。フィッシング詐欺は手口が多様化してきていて、SMSも利用されるようになっています。SMSを利用する上では、フィッシング詐欺について認識して対策することが重要です。この記事ではフィッシング詐欺の概要と手口、具体的な対策の方法について解説します。被害に遭わない方法を理解するだけでなく、フィッシング詐欺と疑われないための方法も考えてみてください。
目次
そもそもフィッシング詐欺とは?
フィッシング詐欺とは字義的にはカモを洗練された方法で釣り上げる詐欺行為です。詐称をしてEメールやSMSなどでアプローチし、メッセージにURLへのリンクを設けているのが典型的なフィッシング詐欺です。そのURLからホームページにアクセスさせて、個人情報やアカウント情報、クレジットカード情報などを盗み出しています。
フィッシング詐欺は電子メールを使うのが主流でしたが、SMSで短縮URLを記載してサイトに誘導するケースが増えてきました。フィッシングサイトにアクセスして促されるままに情報を入力してしまうと、その情報が相手の手に渡ってしまって悪用されるのがフィッシング詐欺の特徴です。
フィッシング詐欺の手口の詳細
フィッシング詐欺は巧みに考えられた新しい手口があり、時代の変遷とITの進展とともに次々に斬新な方法が登場してきています。ここで近年のフィッシング詐欺の手口について詳細を確認しておきましょう。
SMSを利用した手口
フィッシング詐欺の新しい手口として近年になって急増してきたのがSMSを利用するアプローチです。SMSが届いたので内容をチェックしてみると、アカウントの不正アクセスに関する連絡や、宅配業者からの不在通知、サービスの利用料金の請求だったというのが典型的なものです。このような情報の通達に企業がSMSを活用するケースが増えてきたのに着目して悪用されています。
フィッシング詐欺のSMSでは短縮URLが記載されていて、手続きをするためにそのURLにアクセスするように促されるのが一般的です。すぐにアクセスして手続きを進めるように危機感を煽るようなメッセージになっていることが多くなっています。SMSは数字をランダムに設定するだけで不特定多数の人に送れるので、フィッシング詐欺での被害が増えてきているのが現状です。
Eメールによる手口
フィッシング詐欺はEメールによる手口が主流です。フィッシング詐欺ではフィッシングサイトに誘導するのが基本なので、Eメールでサイトアクセスを促すアプローチが昔から頻繁に使われてきました。クレジットカードの支払いが滞っている、あるサービスの利用料金が未払いになっているといった内容で不安を煽ったり、懸賞に当選したという内容でサイトアクセスを促したりするのが典型的です。
フィッシング詐欺のメールでは大手企業の名前を詐称していることもよくあります。URLは短縮URLを使ってわからないようにしたり、大手企業の名前を文字っていることも多く、本物だと誤解してしまったりしてフィッシングサイトにアクセスして被害に遭う事例も少なくありません。特に支払いの督促などのメールでは冷静さを失ってフィッシング詐欺に遭いがちです。
SNSを利用する手口
フィッシング詐欺ではSNSを利用する手口もしばしばあります。TwitterやFacebook、Instagramなどでは登録したユーザーが自由に情報発信をすることが可能です。Facebookでは個人情報の登録が必要ですが、TwitterなどのSNSでは個人名を使うことなくアカウントを運用できます。虚偽の情報で登録して情報を発信することもできるため、フィッシング詐欺に利用されているケースもあります。
また、どのSNSでも他のユーザーがコメントをすることが可能です。コメントにフィッシングサイトに誘導するURLを記載するケースもあります。お金儲けになるという話題や、出会いのチャンスを手に入れられるなどといった内容でランダムにコメントをしていることも多く、うっかりアクセスすると個人情報を取得されてしまう恐れがあります。
ウイルス感染による誘導
フィッシング詐欺としてウイルス感染をしているという通知をするアプローチもあります。コンピューターウイルスへの感染の懸念は多くの人が持っています。その点を逆手に取り、ウイルスに感染しているからすぐに対処が必要だと通知する詐欺が横行しています。メールやSMSだけでなく、インターネットブラウザでサイトのブラウジングをしているときにもあるパターンです。
典型的なのはウイルスに感染していることがわかったのでこのURLから駆除ソフトを導入するように、この電話番号にかけて対処するようにといった呼びかけをする方法です。すぐに対応しないととんでもないことになると思わせるメッセージになっているため、URLにアクセスしたり電話をかけたりしてフィッシング詐欺に遭うケースが多発しています。
フィッシング詐欺にはどんな特徴がある?見分け方は?
フィッシング詐欺は巧妙なアプローチによってユーザーからクレジットカード情報やアカウント情報などを奪い去ろうとするものです。冷静に考えると詐欺だったと気づくことが多いですが、フィッシング詐欺の存在を知っていても騙されてしまうことがよくあります。ただ、フィッシング詐欺には共通する特徴があるので、ポイントを頭に入れておくだけで冷静な対応ができるようになります。
フィッシング詐欺として典型的なのは本物を装っていることです。大手で有名な企業の名前を使ってSMSやメールでアプローチして騙すのがよくあるパターンとして知られています。ふと見ただけでは本物に見えても、細かく見てみると偽物だとわかるのが通例です。
例えば、アルファベットの「O」を数字の「0」にしたり、アルファベットの「I」を「1」にしたりする方法があります。いますぐに対処しなければならないという内容のメッセージを送られて、すぐにアクションをしなければならないと思った状況では見間違えてしまい、本物の通知だと思ってフィッシングサイトに誘導されることがあります。
不安を煽る内容やアクションを急がせる内容が含まれているのもフィッシング詐欺では一般的です。「不正アクセスが検知されたので直ちにパスワードを変更してください」「クレジットカードの不正利用防止のためすぐに登録をすることをおすすめします」といった内容ですぐにアクションを起こさないと問題が起こるような懸念を持たせるのがよくあるアプローチです。
また、フィッシング詐欺では不自然な日本語を用いているケースが目立ちます。必ずしも日本人がおこなっているわけではないため、自動翻訳を使ってメッセージを作っていることがあるからです。メッセージをよく読んでみると日本語としておかしいと思う点が見つかります。例えば、貴方様と書くべきところを貴様としていたり、フォーマルな文章なのに「!」や「?」が使われていたりするケースがよくあります。
最終的には個人情報の入力を促すのもフィッシング詐欺に共通する特徴です。アカウントIDやパスワード、クレジットカードの番号やセキュリティコードだけがターゲットではありません。氏名や住所、電話番号やSMSの認証コードなどの入力をさせようとするケースも少なくありません。さらには銀行のキャッシュカード番号と暗証番号などに照準を合わせているケースもあります。
基本的にはその情報を聞き出す業者として適切なところを選んで詐称しています。銀行を装ってキャッシュカード番号を聞いたり、動画配信サービスと偽ってクレジットカードによる支払いを求めたり、ECサイトの運営会社を名乗って請求をしたりするのが一般的です。他にも宅配業者からの連絡という形でフィッシングサイトに誘導するケースもあります。もっともらしいと思ったときほどリスクが高いと認識して疑うのがフィッシング詐欺を回避する上で重要なポイントです。
本物と違うURL
フィッシング詐欺では本物のURLと誤解するように工夫しています。アルファベットの「O(オー)」と数字の「0(ゼロ)」といった形で、フォントによっては区別するのが難しい置き換えをしているケースがよくあります。典型的な騙し方をまとめると以下の通りです。
- 「O」と「0」と「Q」(大文字のオー、数字のゼロ、大文字のキュー)
- 「I」と「l」と「1」(大文字のアイ、小文字のエル、数字のイチ)
- 「B」と「8」(大文字のビー、数字のハチ)
また、テキストメールではエンコード方式をUnicodeなどに指定したり、HTMLメールではフォントを変更したりして見間違えやすくしている巧妙なフィッシングメールもあります。
本物のURLを記憶していることはあまり多くないでしょう。フィッシング詐欺では本物と思い込ませるようにURLを作成している場合もあります。企業やサービスの名称が含まれるURLが記載されていたら本物のURLと考えがちですが、フィッシング詐欺では、本物とは違うけれど、URLの文字だけ見ると疑わないようなアドレスを記載する手口も多くなっています。普段送られてくるのとは違うメールだったら安易にURLをクリックしないようにしましょう。
不安を煽る内容
フィッシング詐欺では、すぐにクリックしなければならない、対応をしなければならないと思い込ませるように不安を煽る内容を含んでいることが多くあります。すぐに行動を起こす必要があると思わせるメールの内容としては以下のような例があります。
- 不正アクセスが検知されたため、アカウントが一時停止されています。ロックを解除するには以下のURLから手続きをしてください。
- 一定期間のログインがなかったためアカウントが凍結されました。解除の手続きには以下のページから申請をお願いします。
- クレジットカードの決済ができませんでした。アカウント情報を確認して正しいカード情報にご変更ください。
- 支払い情報の登録が必要です。速やかに登録しない場合には今後のご利用が制限されます。
- 荷物をお届けに参りましたが不在でしたので持ち戻りました。再配達をご希望の際には以下のURLからお手続きください。
特にURLのクリックや個人情報の入力を促す流れになっているのが特徴です。メールを読んでいて不安になったときにはメール内のリンクはクリックせず、当該のサービスをネット検索して手続きをしたり、問い合わせをしたりするのが安全です。
不自然な日本語
フィッシング詐欺では自動生成した日本語や、海外の言語を自動翻訳した日本語が使われていることがよくあります。読んでいて違和感があるときには、フィッシング詐欺の可能性が高いと考えられます。
- アカウントに異常ログインされたことがありました。
- 会員登録の未納料金が発生しております。
- このメールは返信しても届きません。
落ち着いてよく読んでみるとどれもフォーマルなメールの日本語として自然ではありません。「アカウントの異常ログインが検知されました。」「会員料金について今月分が未納になっております。」「このメールは送信専用です。」といった表現が自然でしょう。慌てていると不自然さに気付かないことが多いので注意が必要です。
個人情報の入力を促す
フィッシング詐欺ではどこかのタイミングで個人情報の入力を促します。クレジットカード情報、IDとパスワード、氏名や電話番号といった内容が典型的です。URLをクリックするとログイン画面が表示されたり、クレジットカード番号と有効期限を入力するポップアップが出たりすることがあります。巧妙にデザインされていて、普段のログイン画面や情報入力画面と同じように見えてしまい、騙されて入力してしまうことが多いので気を付けましょう。
フィッシング詐欺の被害に遭わないためにはどんな対策をすればいい?
フィッシング詐欺の特徴を理解しているはずだったのに被害に遭ってしまうケースもあります。今後、フィッシング詐欺のアプローチも増えていくと考えられますが、どんな対策をしたら被害に遭わずにすむのでしょうか。
不審なSMSやメールのURLにアクセスしない
フィッシング詐欺の被害に遭わないためには「君子危うきに近寄らず」が大原則です。フィッシング詐欺ではフィッシングサイトに誘導して個人情報を盗み出すアプローチが一般的です。SMSやメールなどで連絡があったとしても、すぐにうのみにせずに疑ってかかるのが重要です。
少しでも不審な点が見つかったときには無視しましょう。URLにアクセスすることを促されてうのみにしてしまうと偽サイトに誘導されてしまいます。身に覚えのない請求をされたときや、日本語におかしい点のあるメッセージが届いたときなどには、すぐにURLにアクセスするのは避けるのが大切です。
フィッシング詐欺では使ったことのないサービスの請求ということもよくあります。もしかして使ってしまったのかもしれないと不安を持たず、巧妙にフィッシングサイトに誘導するための手口だと考えて、URLリンクをクリックしないようにしましょう。少しでも疑問が生まれたなら、すぐにURLにアクセスせずに立ち止まって冷静に考えるのが効果的な対策です。
2段階認証を設定する
フィッシング詐欺の被害に遭わないためには、ワンタイムパスワードの設定などの2段階認証を取り入れるようにする対策が有用です。ワンタイムパスワードなどによる2段階認証は、もしフィッシング詐欺によって騙されてしまったとしても、第三者に不正使用されないようにする方法として効果があります。
セキュリティを重視するサービスが増えてきたおかげで、IDやユーザー名、メールアドレスなどとパスワードを入力するだけではログインしたり、サービスを利用したりすることができないケースも多くなりました。ワンタイムパスワードを設定すると、ログインしようとしたときにメールやSMSに送信されたそのとき限りのパスワードも入力しないとログインできなくなります。
他にも秘密の質問に答えなければログインできなくすることもできるなど、さまざまな形の2段階認証があります。生体認証も組み合わせるとさらにセキュリティが高くなり、フィッシング詐欺の被害に遭うリスクを低減することが可能です。クレジットカードの利用でも同様の2段階認証ができるようになってきています。
アカウントなどの個人情報に関連する連絡は疑う
フィッシング詐欺では個人情報を取得して悪用するのが主な目的です。個人情報に関連するメッセージがメールやSMSなどで届いたときには、本物の連絡なのかどうかを疑うだけでも対策になります。一般的に個人情報に関わる連絡は情報が漏洩するリスクが低い方法を選びます。電話で確認や連絡をしたり、SSL(※)のかかっているサイトでの情報入力を求めたりするのが基本です。
フィッシングサイトではSSLがかかっていないことが多くなっています。個人情報の入力を促すメールやSMSが届いてURLにアクセスしたときに、そのサイトのSSLがないとわかったらフィッシング詐欺だと考えるのが適切です。
SSLがかかっているかどうかはブラウザのアドレス部分を見ればわかります。最近のブラウザではSSLがかかっているサイトでは鍵マークが表示されるからです。また、鍵マークがあるだけでなく、アドレスが「http://」ではなく、「https://」で始まっているとさらに安全性があると考えられます。個人情報の入力をする時にアドレスバーを見て安全性をチェックする習慣を作って対策しましょう。
※SSL:インターネット上でデータを暗号化して送受信する仕組みのひとつ
相場よりも安い価格のサービスは情報調査をしておく
フィッシング詐欺にもいろいろなアプローチがあります。商品やサービスを安く提供しているかのように見せかけて、クレジットカードによる決済を求める方法もフィッシング詐欺として増えてきました。ブランド品を破格で販売する、儲けられる情報商材を提供するといった事例が典型的です。アウトレット品という名目で安いことの根拠を付けたり、マルチ商法を促したりするケースが多くなっています。
商品購入を促すケースでは相場との比較をすると疑うべきかどうかを判断できます。たとえアウトレットだったとしても相場の半額以下になるようなことはほとんどありません。異常に安いときには詐欺だと考えた方が無難です。
フィッシング詐欺の対策ではお得過ぎるときには疑い、十分な情報調査をするのが効果的です。検索エンジンでキーワード検索をするだけでフィッシング詐欺としてよく知られていることがわかる場合もあります。相場よりも安い価格のサービスのときには、インターネットで関連情報を調査したり、利用者の口コミをチェックしたりするのが効果的な対策です。
セキュリティアプリを導入する
フィッシング詐欺にはセキュリティ対策が有効です。フィッシング対策機能が搭載されているセキュリティアプリやセキュリティソフトはたくさんあります。クラウドサービスでいつも最新のフィッシング情報を取り入れて対策しているソフトやアプリを導入すれば、大抵のフィッシング詐欺は回避可能です。
フィッシングサイトに誘導されたとしても、ブラウザにサイトが表示される前にブロックされるのが一般的です。そのため、もしメッセージに騙されて冷静さを失ってしまい、偽物のURLにアクセスしてしまったときでも個人情報を奪われずに済みます。
フィッシング詐欺対策になるセキュリティ対策のソフトやアプリには無料のものもあります。有料のものと比べて機能が少なかったり、広告が表示されたりする問題もありますが、基本的なフィッシング詐欺対策としては十分に活用できます。OSのファイアウォール機能などではフィッシングの対策としては不十分です。安全性を重視するならフィッシング対策機能のあるセキュリティソフトやセキュリティアプリを導入しましょう。
フィッシング詐欺の被害にあってしまった場合の対処法とは?
フィッシング詐欺の被害は常に発生しています。フィッシング詐欺についての知識があったとしても、次々に新しい手口でのフィッシングがおこなわれているため対策しきれないこともあるのは確かです。もし被害を受けてしまったら、専門機関に相談するのが良い方法です。フィッシング詐欺に関する専門機関として有用なのはフィッシング対策協議会や警視庁です。
フィッシング対策協議会は一般社団法人としてフィッシング詐欺に関する情報の発信や勉強会の開催などをおこなっている団体です。フィッシング対策についての理解を促し、被害を食い止める努力を続けています。警視庁ではフィッシング110番を設けて、フィッシング詐欺についての相談を受け付けています。このようなサービスを利用することでフィッシング被害にあったときにも具体的な対処法を説明してもらうことが可能です。無料の対応なので万が一のときには連絡して対処をしていきましょう。
フィッシングサイトのURLを開いてしまった
フィッシングサイトを開くとマルウェア感染のリスクがあります。すぐにページを閉じてブラウザのキャッシュと検索履歴を削除しましょう。セキュリティソフトを利用して脅威から守るのがおすすめです。フィッシングサイトを開いただけでIDやパスワードなどの入力をしていないならリスクは低いので、慌てる必要はありません。ただ、サイトにアクセスした情報が伝わり、フィッシングメールの頻度が上がる可能性がある点に注意しましょう。
個人情報を送信してしまった
フィッシング詐欺ではURLをクリックして、さらに個人情報を入力してしまうと対処が大変になります。個人情報を入力して送信してしまい、フィッシング詐欺だったことに気づいたらすぐに対応が必要です。IDやパスワードを入力した場合には手続きをして変更しましょう。クレジットカード情報を入力したときにはカード会社に相談して下さい。最後にサイバー犯罪対策課の相談窓口に連絡して、適切な対応を取ってもらうのがおすすめです。
クレジットカードを不正に利用された
フィッシング詐欺でクレジットカード情報を入力した結果、不正利用されることもあります。不正利用されてしまった場合には、まずカード会社へ連絡しましょう。そして身に覚えのない取引が明細に含まれていることを伝えましょう。フィッシング詐欺と気付いたなら、そのことも伝えるとカード会社も対応しやすくなります。補償申請の手続きやアカウント情報の変更についても案内をもらえるので心配ありません。その後、警察に被害届を出すなどの手続きが必要ですが、不正利用された分は補償されるのが一般的です。
企業の皆様が消費者にフィッシング詐欺と誤解されないために注意すべきこと
フィッシング詐欺の増加に伴い、消費者の間でフィッシング対策への意識が次第に高まってきています。企業がメールやSMSを使ったマーケティングを行う際、フィッシング詐欺と間違われないように対策が必要となります。
宛名、送信者情報、ビジネスマナーに配慮した情報を送る
消費者がフィッシング詐欺と誤解しないためには、情報が本物であることを明確に伝えることが重要です。メッセージを送るときには宛名を正確に記載し、送信者情報も完全に正確にするよう心掛けましょう。また、ビジネスマナーに沿った適切な日本語を用いて情報を伝達することも大切です。
SMSを使用する際は共通番号を利用する
SMSを使用する際は、自社サイトからどの電話番号でお客様に連絡を行っているか明示することも一つの重要な対策となります。さらなる保護策としては、SMS送信にキャリア共通番号を使用することを推奨します。0005で始まるキャリア共通番号はどのキャリアでも同じ番号で通知が可能になります。
共通番号についてはこちらをご参照ください。
キャリア共通番号 – SMS送信サービス「KDDIメッセージキャスト」
また、+メッセージをすることで、さらに信頼度を高めることも可能です。プラスメッセージについては、こちらのページからご確認ください。
+メッセージ送信サービス – SMS送信サービス「KDDIメッセージキャスト」
まとめ
フィッシング詐欺の被害はメールやSMSを介して急速に広がっています。消費者の間でも認識が深まってきているので、企業としてはメールやSMSが本物だと認識しやすくする対策が必要です。KDDI Message Castではその方策の一つとして国内直収接続によるSMS配信を搭載しています。国内キャリアからのSMS配信になり、フィッシング詐欺に使われやすい国際キャリアとの差別化をしております。
また、0005ではじまる共通番号や+メッセージを活用したSMS詐欺対策パッケージでは、企業が顧客に対して安心して使える連絡手段としてご活用いただけます。
共通番号を活用したSMS詐欺対策パッケージ – SMS送信サービス「KDDIメッセージキャスト」
お役立ち資料「SMSフィッシング詐欺は増えている?」をダウンロードする(1分)
本書のポイント
本書から一部抜粋
- SMSを悪用したフィッシング詐欺の手法と発生源
- フィッシング詐欺だと勘違いされないために企業が取るべき3つの対策
- 「共通番号からのSMS送信」と「+メッセージ(プラスメッセージ)」を利用が効果的な理由