この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
フィッシング詐欺とは?5つの対策や被害にあった場合の対処法を解説
フィッシング詐欺とは、クレジットカードや大手ECショップを偽ったメールを利用し、偽サイトから個人情報などを騙し取る手口のことです。近年は、インターネットバンキングやECショップなど、オンラインサービスの利用者も多く、フィッシング詐欺の被害者も増加しています。
本記事では、フィッシング詐欺の概要や対策、被害に遭った場合の対処法について詳しく解説します。フィッシング詐欺について知りたい方、セキュリティ対策をしたい方は、ぜひ参考にしてください。
フィッシング詐欺とは
フィッシング詐欺とは、正規のサービス事業者を装ったメールを送り、偽サイトから以下の個人情報を入手し、不正利用する犯罪のことです。
- 氏名や住所、生年月日などの個人情報
- カード番号や暗証番号などのクレジットカード情報
- IDやパスワードなどのオンラインサービスにおける認証情報
- 運転免許証やマイナンバーカードなどの画像情報
オンラインサービスの利用者が増加した現代において、フィッシング詐欺に遭う方は少なくありません。以下は、警察庁と金融庁が連名で発表した、フィッシングと推測されるインターネットバンキングの不正送金における被害のデータです。
出典:フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています。|金融庁
上記によれば、2023年11月末における被害件数は5,147件、被害額は約80.1億円で、過去最多を更新しました。
フィッシング詐欺の手口
フィッシング詐欺の主な手口は以下の通りです。
- フィッシングメール
- スミッシング
- ソーシャルメディアフィッシング
- SEOポイズニング
- スピアフィッシング
順に解説します。
フィッシングメール
フィッシングメールは、金融機関やAmazonなどの名を語った、なりすましメールを送る手口です。メールに不安を感じさせる内容を記載し、偽サイトへ誘導します。
フィッシングメールが送られてくる場合は、アドレスを含めた個人情報が漏洩している可能性があります。不安な方は、情報漏洩監視ツール「ダークウェブアイ」の無料メールアドレス漏洩チェックを行いましょう。
スミッシング
スミッシングはSMSを利用した手口です。電話番号宛に偽サイトのURLを記載したメッセージを送り、情報を騙し取ります。フィッシングメールと比べ開封率や詐欺の成功率が高く、増加傾向にあります。
ソーシャルメディアフィッシング
ソーシャルメディアフィッシングは、以下のSNSに似せたサイトを利用し、ログイン情報を盗み取る手法です。
- X(旧Twitter)
アカウントが乗っ取られ、意図しない情報発信など不正利用されます。
SEOポイズニング
SEOポイズニングは、フィッシングサイトなどの悪意あるサイトの検索順位を高める手法です。最上位に表示されるサイトの信頼性は高いと考えるユーザーは多く、その心理を利用します。
最近登場した手法で、検索結果を注意深く見ないユーザーに対して効果的です。フィッシング詐欺だけでなく、サイバー攻撃の手法は常に生み出され続けています。
スピアフィッシング
スピアフィッシングは、特定の人物や組織を狙ったフィッシング詐欺の手口です。企業を狙うケースも多く、事前に標的を絞り込み計画的に実施されます。被害を受ければ、情報漏洩や業務停止などに追い込まれる可能性もあります。
フィッシング詐欺の特徴
フィッシング詐欺には以下の特徴があります。
- URLやメールアドレスなどがおかしい
- 対策を急がせるものや不安を煽る内容になっている
- アカウント情報や個人情報を入力するサイトに誘導される
ここからは、上記それぞれの特徴を詳しく解説します。
URLやメールアドレスなどがおかしい
フィッシングメールのアドレスや記載されているURLは、本物に似ていますが同じではありません。とくに、大文字と小文字などの違いや、以下の似ているものは注意が必要です。
- アルファベット大文字のO:アルファベット大文字のo:数字の0
- アルファベットの大文字のI:アルファベット大文字のi:数字の1:ローマ数字のⅠ
対策を急がせるものや不安を煽る内容になっている
フィッシング詐欺では正常な判断を防ぐために、対策を急がせるものや不安を煽る内容になっているものがほとんどです。具体的には、以下の文言が使われています。
- アカウントが停止されました
- 不審なアクティビティを検知しました
- 更新期限が過ぎています
- 未払い料金お支払いのお願い
- 荷物の住所が不明でお預かりしております
また、違和感のある日本語や不自然な日本語が使われているケースもあります。
アカウント情報や個人情報を入力するサイトに誘導される
メールやSMSに記載されているURLをクリックすると、アカウント情報や個人情報を入力するサイトに誘導されます。偽サイトは本物と見間違えるほど似たつくりとなっており、注意が必要です。
中には「以前、偽サイトに情報を入力した可能性があるのでは」と不安な方もいるでしょう。心配な方は、情報が漏洩しているかの確認を含め対策が必要です。「ダークウェブアイ」を利用すれば、以下の機能により情報の漏洩状況を一元管理できます。
- ダークウェブからの情報探索
- 会社メール・ID・PW漏洩の即時アラート
- 対策状況の管理
- 各社員や各サイト・アプリにおける情報漏洩の閲覧
- 漏洩情報キーワードの探索
情報漏洩の早期発見による迅速な対応で、リスクを最小化することが可能です。
フィッシング詐欺の被害事例
フィッシング詐欺に遭う方は後を絶ちません。具体的な被害事例を2つ紹介します。
ここで紹介する2つの事例はあくまでも一例で、他にも多数の被害が報告されています。
【事例1】
Aさんはクレジットカード会社と思われるところから、情報漏洩に関するメールを受け取り、記載されたURLのサイトで情報入力を行いました。数ヵ月後、数十万円にもおよぶ身に覚えのない利用が発覚しました。
【事例2】
Bさんはネットバンキングと思われるところから、システム変更に関するメールを受け取り、記載されたURLのサイトで情報入力を行いました。結果、情報を盗み取られ、後日大量の出金記録を見つけました。
フィッシング詐欺への対策
フィッシング詐欺に遭わないためには、以下の対策が有効です。
- 送られてきたアドレスやURL、メッセージ内容を確認する
- 不用意なURLのクリックやファイルのダウンロードを避ける
- SSLサーバー証明書を確認する
- 設定を見直し、セキュリティを強化する
- 対策ツールを導入する
ここからは、上記それぞれの対策方法について詳しく解説します。
送られてきたアドレスやURL、メッセージ内容を確認する
フィッシング詐欺の場合、送信元のアドレスや記載されたURLは似ていますが、同じではありません。公式のアドレスやサイトURLと相違点がないか、冷静に確認ください。
とくに、メールであれば@以降に記載されているドメインの確認が重要です。また、日本語に違和感がないかの確認もおすすめです。
不用意なURLのクリックやファイルのダウンロードを避ける
違和感を覚えた場合は、不用意なURLのクリックやファイルのダウンロードを避けましょう。フィッシング詐欺を含めサイバー攻撃では、基本的にメールを受信しただけでは被害は発生しません。
ただ、リンクのクリックやファイルのダウンロードだけで情報を盗まれたり、ウイルスを仕込まれたりするケースもあります。
SSLサーバー証明書を確認する
サイト運営者の確認と通信データの暗号化を行う機能を備えた、SSLサーバー証明書の確認も効果的です。記載のリンクからとんだサイトが、正規サービス事業者のものか否かを確認できます。
Google ChromeでSSLサーバー証明書を確認する手順は以下の通りです。
- アドレスバーの左端にある「サイト情報を表示」をクリック
- 「この接続は保存されています」をクリック
- 「証明書は有効です」をクリック
上記手順で進めると以下のポップアップが表示されます。
発行先(上記であれば、sms-datatech.co.jp)がサイト運営者です。サイト運営者と正規サービス事業者が同一か確認しましょう。
設定を見直し、セキュリティを強化する
設定を見直し、セキュリティの強化もフィッシング詐欺被害を避けるために有効です。例えば、ワンタイムパスワードなど、多要素の認証を設定すれば、アカウント情報を盗まれても簡単にはログインされません。
重要なデータが保存されているクラウドストレージのアクセス権限設定や、OS・ソフトウェアのアップデートも重要です。
対策ツールを導入する
対策ツールも導入すれば安全性の向上が可能です。オンラインサービスの普及にともないサイバー攻撃が増加し、以下のセキュリティ対策ツールも多く提供されています。
- 不正サイトや迷惑メールをブロックするフィルタリングサービス
- マルウェアの侵入を防ぐウイルス対策ソフト
- Webサイトやアプリの脆弱性を確認するセキュリティ診断
ただ、サイバー攻撃は高度化しており、ツールを利用しても情報漏洩などを100%防ぐことは不可能です。漏洩した際にすぐ気づき、適切な対策を行えばリスクを抑えられます。
フィッシング詐欺に遭った際の対処法
フィッシング詐欺に遭った場合、即時対処しなければ被害が拡大します。ここからは、以下のケースにわけ対処法を詳しく解説します。
- クレジットカードが不正利用された場合
- インターネットバンキングから金銭を引き出された場合
- GoogleやSNSなどのアカウントを乗っ取られた場合
クレジットカードが不正利用された場合
クレジットカードが不正利用された場合は、以下の流れで対処します。
- 発行会社に連絡し、利用の停止手続きを行う
- 警察に被害を届け出る
- 補償申請を行う
クレジットカードによっては、不正利用を補償する制度を設けています。期限や条件はカード・発行会社により異なるため、必ず規約を確認ください。
インターネットバンキングから金銭を引き出された場合
インターネットバンキングから預金を不正に引き出された場合は、以下の流れで対処しましょう。
- 金融機関に利用停止の連絡する
- アカウント情報を変更する
- 警察に被害を届け出る
- 補償の申請を行う
基本的にはクレジットカードと同様です。インターネットバンキングでも補償が存在する場合があります。ただし、期限や条件が異なるため、公式サイトで確認し早めに申請を行うと良いでしょう。
GoogleやSNSなどのアカウントを乗っ取られた場合
GoogleやSNSなどのアカウントを乗っ取られた場合は、以下の流れで対処します。
- IDやパスワードなどの認証情報を変更する
- サービス提供元に連絡する
自身のアカウントが乗っ取られれば、スパムメールの送信に利用される可能性があります。使用していないアカウントであっても、被害を拡大させないための迅速な対処が重要です。スパムメールを送った履歴があれば、送信先の方に連絡しましょう。
まとめ
フィッシング詐欺とは、クレジットカードや大手ECショップを偽ったメールを利用し、偽サイトから個人情報などを騙し取る手口のことです。
フィッシング詐欺に遭えば、金銭的な被害はもちろん、企業のサービス提供停止や信用の低下につながる恐れがあり、注意が必要です。すでに、情報が盗まれている可能性もあるでしょう。
現在、自社情報が漏洩していないか不安な方は、漏洩検知サービス「ダークウェブアイ」の無料トライアルをしてはいかがでしょうか?情報漏洩を確認したい方は、下記のボタンをクリック!
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...