このページの本文へ

フィッシング詐欺の偽サイトは、本物と見分けがつきません

2023年08月18日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷
サイバーセキュリティ

偽サイトを見分けるのは困難

 日本における「サイバー犯罪」の中でも、被害の報告が多いのがフィッシング詐欺だ。

 正規のサービスなどをよそおったメールやSMSで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すというもの。

 フィッシング詐欺は、主に、資産のある先進国の人たちが狙われることが多い。近年は、個人で多額の預貯金を保持している日本人もターゲットにされている。

 日本の場合は、Amazon.co.jpや楽天といったECサイト、銀行やカード会社などの名前をかたり、身に覚えのない支払いやクレジットカードの暗証番号の確認などを催促してくる手口が多発している。

 被害の多さから、カード会社や運送会社などが、公式サイトで注意を促していることも少なくない。公式側が警告するほど、フィッシングサイトは、外見やURLが本物にきわめて似せて作られているものばかり。公式のURLなどと照らし合わせて慎重に確認しないかぎり、見抜くのは困難だ。

 また、フィッシング詐欺に使われるメールといえば、不自然な日本語のものが多いというイメージがある人もいるかもしれない。しかし、今は文面だけではわからないほど、自然なものが多くなっている。

 フィッシング詐欺に使われるメッセージや、そこから誘導される偽サイトは、本物と「見分けがつかない」と思っていたほうがよいだろう。「自分だけは大丈夫」と考えていると、知らない間に被害にあってしまうかもしれない。

対策を習慣化することで、被害を未然に防ぐ

 フィッシング詐欺の被害にあわないためには、どうしたらよいのか。まず、偽サイトを「偽物だ」と見抜くのは、かなり困難だと認識したほうがよい。

 メールやSMSで送られてきたリンクを、公式サイトのURLなどと照らし合わせて一つ一つ確認していくのは手間がかかる。気をつけていても、うっかり確認しそびれることも考えられる。

 対策としては、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザーのブックマークなどからのアクセスを習慣化することが挙げられる。

 メールやSMSのリンクからはすぐにアクセスしない(アクセスしても、IDやパスワードなどは入力しない)ことを決めておけば、フィッシング詐欺の被害にあう可能性は減らせる。「気をつける」だけではなく、対策を習慣化することで、被害を未然に防ぎやすくなるのだ。

 メールやSMSのリンクから万一サイトを開いてしまった場合でも、多くの場合、開いただけでは被害がないことも覚えておこう。個人情報やパスワードなどは入力せず、落ち着いて行動すれば問題はない。

 また、セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護することも重要だ。

 不審に思った場合、最寄りの消費生活センターなどに相談する手段もある。フィッシング詐欺の被害にあってしまったら、各都道府県の警察のフィッシング専用窓口に相談したい(参考:フィッシング対策|警察庁Webサイト)。

 今回は、McAfee Blogから「現在の日本国内のフィッシング詐欺の傾向と対策について」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

現在の日本国内のフィッシング詐欺の傾向と対策について:McAfee Blog

フィッシング詐欺

外食代やタクシー代、そして家計のやりくりなど、お金の管理は普段の私達の生活の中でしばしば頭を抱えてしまう悩みの一つでもあります。しかし、最近は日本国内でもLINE Payをはじめとする決済アプリが普及したおかげで、現金を使用せずにオンライン上で簡単に支払いを済ませることができるようになりました。これによって、もう飲み会でいちいち割り勘分を計算して各参加者からお金を徴収するという面倒な作業を行なわずに済むようになりました。

また、現代社会において日本人は、楽天やAmazonなどインターネット上でのオンラインショッピングはもちろんのこと、旅行先のホテル代やタクシー代なども現金を使用せずに全て、カード決済やアプリ決済などで支払いが可能となったことで、現金を一切持たずに外出するということが珍しくなくなりました。また、Uber Eatsで夕飯を頼んだ場合も、オンライン決済にすることで配達する人へのお釣りの心配をしなくて済むようになりました。

ただし、これら新たな決済方法の登場で便利になった反面、あらゆる決済をオンライン上に依存し過ぎてしまうと、様々な問題に遭遇してしまう可能性があるのも事実です。前述のLINE Payや最近では日本国内でも浸透し始めているPayPalなどは、強力なセキュリティ機能と堅固な暗号化によって個人データの安全性が保障されてはいるものの、年々高度化しているメールによるフィッシング詐欺による様々な事件や被害が報告されています。特に個人の保有資産が多いとされている日本は、世界的にみてもサイバー犯罪者の格好のターゲットとなっています。

こちらの記事では、なぜ日本人がフィッシング詐欺によるターゲットとされてしまうのか、その理由をはじめ、日本国内におけるメールを使った様々な種類のフィッシング詐欺の事例について紹介します。そして、フィッシング詐欺に遭遇してしまった場合の対処策に関しても説明していきます。

日本人のお金に対する価値観

これまで日本では、幼少期から金融教育を行なう欧米諸国と違って、お金に関する話は外ではしてはいけないなどタブーとされている事が多く、個人の独学による勉強以外、一般的にはほとんど行われていませんでした。しかしここ数年のコロナウイルスパンデミックをはじめとした時代の変化に伴い、お金に対する価値観が見直されはじめ、投資に興味を持ち始めている人が増えています。教育面に関しても、2020年度に改訂された学校指導要領に基づいて、小学校の授業でお金に関する授業が開始され、高校でも2022年から家庭科の授業において資産形成など金融教育に関する授業が始まりました。

また、これまで日本人の大半は、投資よりも貯金することに美徳を感じていました。かつて高度経済成長期以降にタンス預金という言葉が流行った通り、資産を銀行に預けずに現金で自宅や金庫に保管しておく人が多いといわれています。その大半はこれまで国や会社のために何十年も必死に身を粉にして働いた高齢者であり、その額は50兆円以上ともいわれています。これに関しては銀行に預けても金利がほぼ皆無な現代においても同じことがいえます。

日本のフィッシング詐欺の傾向

人類史の中でも革命的な発明であるインターネットが誕生し、私達一般人もインターネットが自由に使用できるようになってから四半世紀が経っています。インターネットを使用することで様々な情報を調べて知識を得たり、オンライン上で多くの人と繋がったり、普段の生活が便利になりました。

一方でインターネットを利用した新たな犯罪が毎年のように増加しているのも事実です。釣りのように餌をまいて魚を釣るような感覚で機密情報を引き出すフィッシング詐欺によって、世界各地で多くの被害が出ています。中でもサイバー犯罪者達の常套手段としては個人宛てにEメールを送信し、個人情報や金融情報を得る類のフィッシング詐欺は最も多く、その種類は多岐にわたります。犯罪者たちは、主に資産のある先進国の人間を中心に狙いを定めますが、近年は特に個人で多額の預貯金を保持している日本人をターゲットにしています。

古くから高齢者をターゲットにするオレオレ詐欺などをはじめ、次々と詐欺犯罪が起きています。そして、その手法の巧妙さは年々複雑化しており、特にメールによるフィッシング詐欺は、たとえお年寄りでなくても本物かどうか見分けることが非常に難しくなっています。以下では、日本国内で報告されているメールによるフィッシング詐欺の代表的な事例をいくつか紹介します。

1. なりすまし詐欺

フィッシング詐欺の代表的なものとして知られているのが有名企業や銀行、通信会社等を装って、個人情報を盗もうとしてくる「なりすましメール」です。

日本の場合は、Amazonや楽天、三菱UFJ銀行、イオン、ディズニーなどをはじめとする誰もが知っている大手企業の名前をかたり、クレジットカードの暗証番号の確認や身に覚えのない支払いを催促してきます。このメールの類としては、どれもぱっと見ただけでは本物かどうか見分けがつかないものばかりです。まるで本物の企業のメールアドレスから「個人情報の漏洩の可能性があります」や「すぐに支払いを済ませないとアカウントが削除されます」などという内容のメールがと届くと、誰もが気が動転してしまい、ついついクレジットカードなど大事な情報を入力してしまうという罠にかかってしまいかねません。

対策としては、迷惑メール設定をすることで大抵のこういったメールは迷惑メールボックスには振り分けられるので遭遇する機会はなくなります。ただし、稀に通常の受信フォルダに入ってくる場合もあるので注意しましょう。

あとは、フィッシング詐欺を装うメールアドレスの場合、日本語の表現方法がおかしかったり、スペルなどが違う場合がよくあります。メールアドレスが送信先の企業のものなのかどうかを細かく確認することをおすすめします。そして、企業だけにとどまらず、漏洩した個人情報を利用して友人の名前を騙ったフィッシング詐欺メールも存在するので気をつけるようにしましょう。

2. ワンクリック詐欺

ワンクリック詐欺は、なりすましメール同様に悪質な詐欺方法といえます。通常、なりすましメールの本文にあるURLをクリックすることで、勝手に会員登録が完了してしまったり、突然、多額の料金請求がされることでユーザーの動揺を誘い、支払わさせるという手法です。なかには気付かないうちに規約にクリックさせて料金が発生してしまうものも存在します。クリックした結果、マルウェアなどの悪意のあるウイルスに感染してしまう可能性もあります。

また、よくウェブサイト上に表示される広告にも注意が必要で、特に日本国内ではアダルトサイトや出会い系サイトで多い傾向があります。法律に基づいた契約やワンクリック詐欺ではない等の文章を表示することで、あたかも法令に則った正当なサイトであるかのように見せかける事例もあります。これはアダルトサイトなど家族や周囲の方に知られたくないようなサイトを閲覧した場合によく出てくるので、慌てて振り込んでしまうことが多いようです。

見知らぬメールの本文に掲載されているURLをクリックすることはもちろんNGですが、危険が伴う可能性があるサイトを閲覧する際は本当に安全かどうか確認し、もし安全性が確保できない場合はクリックすることは絶対に避けましょう。

3. SNSアカウント乗っ取り

FacebookやTwitter、Instagram、TikTokなどのSNS上で写真や文章を使って自分の近況を投稿したり、意見を述べたりして交流を図るソーシャルネットワーキング(SNS)は、もはや現代に生きる私達の生活必需品の一部となっています。SNSは従来の投稿機能に加え、メッセージ機能があることで非公開でユーザー同士でのやりとりができるのも魅力の1つですが、もしもこのメッセージのやりとりなどが外部に漏れてしまったことを考えると本当に恐ろしいです。

これらSNSにおいて、課題となっているのがアカウントの乗っ取り問題です。各SNSに登録しているメールアドレスやアカウント名、パスワードが漏洩してしまった場合、アカウントが乗っ取られてしまいかねません。アカウントが乗っ取られたことで、自分ではない何者かが勝手に自分のプライベートな情報を投稿してしまい、職を失ったり、人間関係が崩れてしまったという事例が数多くあります。

これらが漏洩してしまう理由の1つとして、オンライン上での様々なサイトでのパスワードの併用が挙げられます。一つ一つのパスワードを覚えるのは非常に大変なので、他のSNSアカウントやオンライン銀行の暗証番号、Amazonや楽天などオンラインショッピングする際の会員アカウントやパスワードを全部同じに設定してしまっている人が被害に遭う可能性が高いです。また、生年月日や電話番号などわかりやすい番号をパスワードとして設定している人も危険です。パスワードを設定する際は、オンライン上の他のサイトと同じパスワードを設定しないようにし、自動パスワード生成機能がある場合はなるべく使用するようにしましょう。

また、老若男女問わず多くの日本人が普段、連絡手段として愛用しているのがLINEです。電話番号は知らないけれど、LINEアカウントなら知っているという人も相当数いることでしょう。日本でこのLINEは非常にターゲットになりやすく、友人のLINEアカウントが乗っ取られたという話をよく耳にします。友人に勝手にメッセージが送られたり、Amazonのギフトカードの購入を促されたりした例もあります。

これら対策としては、普段から友人や家族の他の連絡手段を事前に電話番号など複数把握しておき、仮に友人から変なメッセージを受信した場合は、LINE以外の別な連絡方法で本人に連絡を取り、確認するようにしましょう。

フィッシング詐欺の被害に遭ってしまった場合の対応

上記で紹介したのは日本国内でよくみられる代表的なフィッシング詐欺の一例にすぎません。サイバー犯罪者は次々と新たな詐欺方法を考えつき、私達に攻撃してきます。本日紹介したようなフィッシング詐欺のような不審なメールが届いた場合は、すぐに削除するようにしましょう。たとえ、削除してしまったメールが本物だったとしても気にすることはありません。重要なものであれば、送信者から再度連絡があるはずです。もしも、フィッシング詐欺の被害に遭ってしまった場合は、各都道府県の警察のフィッシング専用窓口に相談しましょう。

オンライン上のセキュリテイ面はマカフィーが完全サポート

インターネットの普及により、私達の生活はより便利なものになりましたが、その分、目に見えないリスクを常に負っているといえます。もし、個人情報が悪用されたり、大金が盗まれてしまったら精神的に厳しい状態に追い込まれてしまい、一生を台無しにしてしまいかねません。このような被害に遭ってしまう前にしっかりとした対策を講じておく必要があります。

長年、サイバーセキュリティ業界でトップクラスのレベルを維持しているマカフィーは、これまで多くの人々のオンライン上での安全面をサポートしていることでも知られています。ウイルス対策ソフトをはじめ、ID・個人情報保護機能、安全性の高い接続を提供するVPNなど様々なセキュリティ機能を兼ね備えているので、サイバー攻撃やマルウェアをはじめとするオンライン上に潜む様々なウイルスからユーザーのデバイスを保護します。もちろん、今回紹介したフィッシングメールに対しても有効で、様々なオンライン上の脅威からユーザー自身とお使いのデバイスを保護し、より快適なオンライン生活を実現します。マカフィーが提供する各製品を利用することで、セキュリティ面に関する多くの不安は解消されるので、心の底からインターネットを楽しめるようになるでしょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ