フィッシング詐欺 特集

Money Japan

分かっていても騙される!?フィッシング詐欺の手口と防ぐための3つの対策

フィッシング詐欺とは、実在する銀行やクレジットカード会社などを装ってメールをし、アカウント情報やカード情報を騙し取る犯罪です。

おれおれ詐欺と同じで、「そんな手口に引っかかるの?」と思っていても騙されてしまう人が大勢います。どういった犯罪かというだけでなく、具体的な対応方法を把握することも被害を防ぐためには役立ちます。

フィッシングの綴りは【phishing】です。釣りを表す【fishing】、ネットワークへの侵入【phreaking】、(騙しの手口が)洗練されているという意味の【sophisticated】などの言葉を組み合わせた造語といわれています。

フィッシング詐欺の手口

実在の銀行やカード会社の名を騙り、メールを送ってきます。

メールを受け取った人に、「銀行やクレジットカード会社からお知らせのメールが届いた」と思わせる「なりすまし(スプーフィング)」がフィッシング詐欺の成功の鍵です。メールを受け取った時に「怪しい」と感じさせず、「読まなければ」と思わせる内容になっています。

メールだけでなく、SMSメッセージやfacebook、twitter、LINEなどの投稿を利用したフィッシング詐欺も増えてきています。

メールの差出人の偽装

メールの差出人は、一般の人が『パッ』と見て、誰が送ってきたメールなのかを判断する最も基本的な部分であり、大半の人はこの部分だけで本物・偽者の判断を行っていると言われています。それだけに必ず偽装される部分で知識のある人でなければ判断がつきません。

読まなければと思わせる件名や本文

件名の例では

  • 重要なお知らせ
  • 必ずお読みください
  • パスワードの変更をお願いします

など、メール受信者に緊急性や重要性を誤認させるような件名をつけることで本文を読ませようとしています。

メール本文の例では、

あなたの口座への不正アクセスを感知しました。
本人確認のため、下記のリンクをクリックして、口座番号と暗証番号を入力してください。
あなたのクレジットカードが不正利用されている可能性があります。
下記のリンクをクリックして、カード番号・セキュリティコード、暗証番号を入力し、新しい暗証番号を設定してください。

本文には「不正利用」、「不正アクセス」、「アカウントが凍結されます」など、すぐにリンクをクリックしてアクセスしなければ・・・と思わせる内容となっています。

下の画像は、実際に送られてきたアマゾンになりすましたメールです。

Amazonになりすましたフィッシング メールの実例

そして、下はゆうちょ銀行を語ったフィッシング詐欺メールです。

ゆうちょ銀行になりすましたフィッシング メールの実例

どちらも書かれているURLのドメイン部分が公式サイトと違っていることに気付きましたか?
メール本文に書かれているURLは、公式サイトのものを少しだけ変えていて、見間違えることを狙っていることが分かります。

本物のURL 偽物のURL
アマゾン https://www.amazon.co.jp/ http://www.amazonncojp.com/
ゆうちょ銀行 https://www.jp-bank-japanpsot.jp/ https://www.jp-bank-japanpsot-jp.cn/

こうして比べてみると違いに気付けるのですが、なりすましメールの本文に書かれていた場合は、パッと見ただけで「公式サイトのURLだ。」と判断してしまい騙される人が多いのです。

クリックをすると偽サイトへ

偽サイトへ移動すると口座情報やカード情報の入力を促されます。
公式サイトだと思い込んでいるので、この段階で偽サイト(詐欺)だと気付くことはほとんどありません。URLを見れば気付くこともあるかもしれませんが、セキュリティホールと呼ばれるソフトの問題点をつく方法やJavaScriptを悪用する方法を使ってURLも偽装されていることがあります。そもそも最近の若い人たちはURLを知らないという人が増えているという点も騙されてしまう原因の1つにあげられます。

URLとは?

インターネットを利用して見ているページの住所にあたるものです。
東京都千代田区千代田1−1といえば、皇居の住所です。
それと同じようにインターネット上でも
http://○○○○.jp/△△△△/□□□□.html
という形式で一つ一つのページに住所が割り当てられています。

例えば、http://www.yahoo.co.jp/ といえば、YAHOO!JAPANの住所(URL)です。

フィッシング詐欺の件数の推移

フィッシングに対する情報収集・提供、注意喚起等の活動を中心とした対策を促進しているフィッシング対策協議会が毎月公表しているデータを基にグラフ化してみました。この件数はフィッシング対策協議会へ寄せられた報告件数であり、実際にはもっと多くのフィッシングが行われていると考えられます。

フィッシング件数の推移

フィッシング詐欺への対策

フィッシング詐欺のメールが届いたら

メール本文のリンクをクリックしない!

普段自分が使っているアプリやブックマークから公式サイトへログインし、「お知らせ」のページで確認してみる。お知らせがなければ届いたメールはフィッシング詐欺のもの。

フィッシング詐欺対応のセキュリティソフトを使う。

届いたメールに対して、自分で1件1件判断していくのは大変です。
セキュリティソフトを使えば、全て自動で判断してくれますし、フィッシング詐欺だけでなくWEB上のあらゆる危険性に対して対応してくれるので安心です。

SSL通信を利用しているか確認する

口座番号やカード番号、ログインに使うパスワードなどを入力するページでは、その情報が暗号化されるのが一般的です。

SSL通信を利用していれば鍵マークがつき、URLがhttps:// から始まっている

サイトのURLを確認してください。SSLを利用していればサイトの左側に鍵マークがつき、URLも https://~ となっています。こうなっていない場合はアクセスしているサイトは偽サイトであると言えます。