J:PLUS
たのしいこと、全力応援

ますます巧妙化するフィッシング詐欺に注意!

セキュリティ 2017.11.24
トップ画像

インターネットはとても便利な半面、様々な危険が潜んでいます。そのなかでも被害が減らないのが「フィッシング詐欺」と呼ばれる手口です。

フィッシング詐欺はすでに2003年ころから確認されており、何度も警告や注意喚起がなされてきた古典的な詐欺のひとつです。しかし、最近は手口がより巧妙になっているので十分な警戒が必要となっています。

そこで今回は、フィッシング詐欺の具体的な手口と対策についてお伝えしていきます!

フィッシングってなんだ?

フィッシング詐欺とは、送信者を実在する銀行や通販サイト、有名なメーカーなどに偽装したメールやSMSを送りつけたり、掲示板などから本物そっくりの偽サイトに誘導したりする方法で、ユーザIDやパスワードなどのアカウント情報、銀行口座やクレジットカードの情報を盗み出そうとする詐欺のことです。

フィッシングは、英語で「Phishing」とつづります。英語で「釣り」を意味する「fishing」に、その手法が巧妙なことから「洗練されている」という意味の「sophisticated」が合体した造語だといわれています。

つまり、「本物そっくりの偽メール」を大量にばら撒いき、だまされた人を「フィッシングサイト」で釣り上げるという手口の詐欺なのです。

図版

もし、フィッシング詐欺に引っかかってしまうと、盗まれたユーザーIDとパスワードでSNSなどに不正アクセスされ、登録してある住所・氏名・電話番号・メールアドレスなどの個人情報がすべて盗まれ悪用されてしまいます。

また、フィッシング詐欺サイトに誘導するメールやメッセージなどを自分の名前で友人・知人に送られ、迷惑をかけてしまうことも少なくありません。

通販サイトの情報、オンラインバンキング、クレジットカードの情報が盗まれると、勝手に買い物されたり、送金されたりしてしまい、大きな金銭的被害を被る可能性もあります。

日々進化するフィッシングの手口

フィッシング詐欺の手口は年々巧妙になっており、近年では実在する企業や金融機関の名を騙るメールで本物そっくりのサイトに誘導して、情報を盗もうとしてきます。

たとえばメールのタイトルですが…

『【重要:必ずお読みください】◯◯◯◯ご登録確認』
『注文通知:◯◯◯◯◯◯◯◯◯◯ ××××年△月□□日』
『アラート: あなたのアカウントは一時的に無効になっています』
『今すぐお支払い情報を更新する必要があります』
『◯◯からの領収書です』
『◯◯◯お届けのお知らせ』

といったように、ついつい開いてしまいそうなものばかりです。

こういったタイトルは、正規のメールを模倣しているため、タイトルだけでは判断しにくいので注意してください。具体的な対策については後ほど詳しく紹介します。

参考までに、最近確認されたフィッシングメールをいくつか紹介しておきます。これを見ると、フィッシングメールがどれぐらい巧妙なものかわかると思います。

J:COMを騙るフィッシングメール
ユーザが追加した画像
ユーザが追加した画像
表示されているURLは「http://support.zaq.ne.jp/**/*** 」やクリックを促す文言ですが、実際にリンクされているアドレスは無関係の外部アドレスになっています。
URLにカーソルを重ねると表示されるポップアップや、メーラー下部のステータスバーで実際に埋め込まれているアドレスを確認できます。
表示されているURLと実際のアドレスが違っている場合は、クリックしないように注意してください

【関連リンク】
J:COMの名前をかたった不審なメールを受け取った場合はどうすればよいですか?

Amazonを騙るフィッシングメール
アマゾン
※Amazonを騙るフィッシングメールの例(フィッシング対策協議会の緊急情報より画像転載)

上の例では件名は「注文通知:Launchpad Pro 2017年9月21日」となっており、
本文では存在しない注文の受領メールを送り、身に覚えのない注文をキャンセルさせる方法で誘導、または支払い情報の更新を促してきます。

【関連リンク】
Amazon.co.jp からのEメールかどうかの識別について

Appleを騙るフィッシングメール
アップル
※Appleを騙るフィッシングメールの例(フィッシング対策協議会の緊急情報より画像転載)

上の例では件名は「アラート:あなたのアカウントは一時的に無効になっています」となっており、
本文ではAppleのアカウントが無効になっているので、有効にする手続きとして誘導、または注文や領収書などを確認するためと偽ってアカウント情報を入力させようとします。

【関連リンク】
フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする

フィッシング詐欺の予防と対策

巧妙なフィッシングメールに対抗するには、ユーザー自身の知識と対策に加え、パソコンやスマホの対策が必要になります。

ユーザーの対策としては、

・「緊急」「重要」「セキュリティ通知」などの件名のメールは疑い、必ず公式サイトで情報を確認すること

・アカウント情報、クレジットカードや銀行口座の情報などを入力するためのURLが記載されている場合はクリックしないこと

・メールやSNS、掲示板などに貼られたURLはクリックせず、ブックマークや検索サイトから公式サイトを探してアクセスすること

・SNSや通販サイト、銀行、クレジットカードなどの公式サイトは、あらかじめブックマークに登録しておくこと

・公式サイトのトップページに「フィッシング詐欺の注意喚起」があった場合はすぐに確認すること

といったことが挙げられます。

メールアドレスやURLは、「0(ゼロ)とO(オー)」「1(イチ)とl(小文字のエル)とI(大文字のアイ)」など見分けがつきにくい文字に置き換えて偽装したり、ローマ字に似たギリシア文字やキリル文字を使ったりすることで巧妙に偽装したりするなど、ぱっと見ではわからないものがほとんどです。
そのため、メールアドレスやURLを確認することで、正しいメールやURLかを確認するのは推奨できません。

また、最近は短縮URLが使われることが多くなっており、実際のURLが確認できません。
短縮URLによる誘導は多用されている手法なので十分注意してください。

また、パソコンやスマホの対策としては、

・ブラウザは常に最新バージョンにアップデートすること

・パソコンやスマホには総合セキュリティソフトをインストールし、常に最新の状態にしておくこと

・できる限り「Google Safe Browsing」が搭載されているブラウザを利用(Chrome・Firefox・Safari)すること

といったことを心がけてください。

J:COMユーザーの方は、総合セキュリティソフト「マカフィー for ZAQ」を無料で提供しています。
Windowsパソコン、Mac OS、Androidスマートフォン・タブレットに対応していますので、ぜひご利用ください。
また、Windowsパソコン、Mac OS向けには「ホームページウイルススキャンサービス」も提供していますので、「マカフィー for ZAQ」と併せてご利用ください。
ご利用方法などの詳細は下記J:COMのサイトでご確認をお願いします。

【関連リンク】
マカフィー for ZAQ
ホームページウイルススキャンサービス

怪しいと思ったら…

最新のフィッシング情報を確認
最新のフィッシング詐欺の情報は「フィッシング対策協議会」で確認しましょう。
「緊急情報」をクリックすると、最新のフィッシング詐欺について具体的な情報が確認できます。

怪しいメールが届いたら、まずはここで情報を確認することをおすすめします。
ただし、ここに情報が載っていないからといって100%安全とは言い切れませんので、メールの内容やURLのチェックなども合わせて行うようにしてください。

【関連リンク】
フィッシング対策協議会

検出サイトを利用して確認
また、閲覧中のSNSやサイト、メールなどで怪しいURLを見かけたら、クリックする前に確認しましょう。
そのURLが正しいのかを確認する方法はいくつかありますが、Googleの関連会社が運営している「Virus Total(ウィルストータル)」がカンタンで便利です。

Virus Totalはブラウザで利用できる無料のサービスで、疑わしいファイルや URL を分析して危険があるかないかを教えてくれるものです。
短縮URLも分析できるので、怪しいと思ったらここで確認するクセをつけておきましょう。

【関連リンク】
VirusTotal

【Virus Totalの使い方】
(1)VirusTotalにアクセスします。
ウィルストータル01

(2)「URL」タブをクリックします。
ウィルストータル02

(3)URL欄にURLを入力またはコピーして貼り付けます。
ウィルストータル03

(4)「スキャンする」をクリックします。
ウィルストータル04

(5)スキャン結果を確認します。
ウィルストータル05

検出率を確認し「0/64」になっていれば、どのスキャナーでも脅威は検出されなかったということです。
これでほぼ安全なサイトであることが確認できますが、未知の脅威が潜んでいる可能性もあるため、100%安全とは断言できません。

そのため、URLをクリックして表示されたサイトに不審な点がないかは注意するようにしましょう。

もし、検出率が「1/64」以上の場合、いずれかのスキャナーで脅威が検出されたということです。
検出率が少ない場合は誤検知の可能性もありますが、リスクがあるのでそのURLをクリックするのはヤメましょう。

※WindowsとMacではスキャン結果の表示が異なる場合があります。

万が一引っかかってしまったら…

もし、フィッシング詐欺に引っかかってしまったら、すぐに対応が必要です。

必須:サービス事業者へすぐに連絡
サービスを提供している事業者に連絡して対応を相談してください。同時にアカウントなどのパスワードも変更しましょう。

金融機関であれば口座からの送金の停止、クレジットカード会社なら利用の一時停止の手続きを取ります。
また、クレジットカードの不正利用は保証されますので、身に覚えのない請求がないか、こまめに利用履歴をチェックするようにしましょう。

必須:警察へ通報
被害を防止する処置をとったら、すぐに警察に被害届を出しておきましょう。
ほかの犯罪にあなたの住所氏名、銀行口座、クレジットカードなどが悪用される可能性もありますので、仮に軽微な被害でも届けを出しておくことをおすすめします。

推奨:フィッシング対策協議会と警察へ情報提供
被害の拡大を防ぐことができるので、フィッシング対策協議会にもできる限り報告してください。
報告は、フィッシングメールを転送、もしくは、フィッシングメールのタイトル、本文、差出人名、送信日時、概要などを記載の上、フィッシング対策協議会の指定するメールアドレスへ送信します。
送信先メールアドレスはフィッシング対策協議会サイトにて確認してください。

また、「フィッシング110番」から各都道府県警察のサイバー犯罪相談窓口にも情報を提供しておきましょう。

【関連リンク】
フィッシング110番
 

この記事の内容はいかがでしたか?あてはまるものを選んで、最後に送信を押してください。
こんな記事が読みたい、という要望があれば積極的に取り上げます。コメントを投稿ください。
トップへ戻る
OK
キャンセル