このページの本文へ

カード会社から不正利用の確認の連絡が来た そこにあったQRコードに罠が!

2024年09月06日 07時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷
フィッシング詐欺

「不正利用を監視している」という
連絡そのものが罠だった

 クレジットカードを使用している人にとって、カード会社から「不正利用かどうか確認してほしい」と言われたら、迅速に対応しなければならないと考えるものだろう。しかし、それが罠だった……というパターンもある。

 さまざまなサイバー犯罪がある中でも、被害の報告が多いものの一つとして、フィッシング詐欺が挙げられる。

 正規のサービスなどをよそおったメールやSMSで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すというものだ。被害の多さから、カード会社や運送会社などが公式サイトで注意を促していることも多い。

 フィッシング対策協議会によると、「メールに記載したQRコードから誘導する」フィッシングの報告が増えているという(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | QR コードから誘導するフィッシング (2024/08/28))。

 それによれば、件名は「【重要】不正利用監視通知(三井住友カード)」といったものが確認されている。メールの本文は、カードの利用確認をするために本人確認が必要などとして、記載されたQRコードをスキャンしてサイトへアクセスするよう促す文面になっている。

 しかし、そこから誘導された先はフィッシングサイトになっている。三井住友カードの会員向けウェブサイトを装っており、IDとパスワードの入力を求められる。もちろん、ここで個人情報を入れてはならない。

 フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難だ。フィッシング対策協議会に寄せられた報告は三井住友カードをかたっていたが、別の企業・団体をかたる、これ以外の件名も使われているなどの可能性がある。

公式のアプリやブックマークなどから
アクセスすること

 外見やURLが本物に似せて作られているフィッシングサイトは、サイト内の日本語も自然なため、見抜くことは難しくなっている。

 メールやSMSで送られてきたリンクを、公式サイトのURLなどと照らし合わせて一つ一つ確認していく……というのも大変だ。気をつけていても、確認しそびれることが考えられる。

 フィッシング詐欺対策としては、よく利用するサービスへのアクセスとログインには、公式のアプリやブラウザーのブックマークなどからのアクセスを習慣化することが大切だ。メールやSMSのリンクからはすぐにアクセスしない(アクセスしても、IDやパスワードなどは入力しない)ように。

 「気をつける」だけではなく、対策を習慣化することで、被害を未然に防ぎやすくなる。なお、メールやSMSのリンクからサイトを開いてしまった場合でも、多くの場合、開いただけでは被害がない。個人情報やパスワードなどは入力せず、落ち着いて行動しよう。

 サイバー犯罪者は、「急いで対応しなければ」と思わせるような文面や件名を利用してくる。メールやSMSの件名などに「不在通知」「異常ログインの可能性」などを使うことも多い。

 このような疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみるという手段もある。

 不審に思った場合、最寄りの消費生活センターなどに相談しよう。フィッシング詐欺の被害に遭ってしまったら、各都道府県の警察のフィッシング専用窓口に相談することも考えたい(参考:フィッシング対策|警察庁Webサイト)。

 今回は、McAfee Blogから「現在の日本国内のフィッシング詐欺の傾向と対策について」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

現在の日本国内のフィッシング詐欺の傾向と対策について:McAfee Blog

フィッシング詐欺

外食代やタクシー代、そして家計のやりくりなど、お金の管理は普段の私達の生活の中でしばしば頭を抱えてしまう悩みの一つでもあります。しかし、最近は日本国内でもLINE Payをはじめとする決済アプリが普及したおかげで、現金を使用せずにオンライン上で簡単に支払いを済ませることができるようになりました。これによって、もう飲み会でいちいち割り勘分を計算して各参加者からお金を徴収するという面倒な作業を行なわずに済むようになりました。

また、現代社会において日本人は、楽天やAmazonなどインターネット上でのオンラインショッピングはもちろんのこと、旅行先のホテル代やタクシー代なども現金を使用せずに全て、カード決済やアプリ決済などで支払いが可能となったことで、現金を一切持たずに外出するということが珍しくなくなりました。また、Uber Eatsで夕飯を頼んだ場合も、オンライン決済にすることで配達する人へのお釣りの心配をしなくて済むようになりました。

ただし、これら新たな決済方法の登場で便利になった反面、あらゆる決済をオンライン上に依存し過ぎてしまうと、様々な問題に遭遇してしまう可能性があるのも事実です。前述のLINE Payや最近では日本国内でも浸透し始めているPayPalなどは、強力なセキュリティ機能と堅固な暗号化によって個人データの安全性が保障されてはいるものの、年々高度化しているメールによるフィッシング詐欺による様々な事件や被害が報告されています。特に個人の保有資産が多いとされている日本は、世界的にみてもサイバー犯罪者の格好のターゲットとなっています。

こちらの記事では、なぜ日本人がフィッシング詐欺によるターゲットとされてしまうのか、その理由をはじめ、日本国内におけるメールを使った様々な種類のフィッシング詐欺の事例について紹介します。そして、フィッシング詐欺に遭遇してしまった場合の対処策に関しても説明していきます。

日本人のお金に対する価値観

これまで日本では、幼少期から金融教育を行なう欧米諸国と違って、お金に関する話は外ではしてはいけないなどタブーとされているされている事が多く、個人の独学による勉強以外、一般的にはほとんど行われていませんでした。しかしここ数年のコロナウイルスパンデミックをはじめとした時代の変化に伴い、お金に対する価値観が見直されはじめ、投資に興味を持ち始めている人が増えています。教育面に関しても、2020年度に改訂された学校指導要領に基づいて、小学校の授業でお金に関する授業が開始され、高校でも2022年から家庭科の授業において資産形成など金融教育に関する授業が始まりました。

また、これまで日本人の大半は、投資よりも貯金することに美徳を感じていました。かつて高度経済成長期以降にタンス預金という言葉が流行った通り、資産を銀行に預けずに現金で自宅や金庫に保管しておく人が多いといわれています。その大半はこれまで国や会社のために何十年も必死に身を粉にして働いた高齢者であり、その額は50兆円以上ともいわれています。これに関しては銀行に預けても金利がほぼ皆無な現代においても同じことがいえます。

日本のフィッシング詐欺の傾向

人類史の中でも革命的な発明であるインターネットが誕生し、私達一般人もインターネットが自由に使用できるようになってから四半世紀が経っています。インターネットを使用することで様々な情報を調べて知識を得たり、オンライン上で多くの人と繋がったり、普段の生活が便利になりました。

一方でインターネットを利用した新たな犯罪が毎年のように増加しているのも事実です。釣りのように餌をまいて魚を釣るような感覚で機密情報を引き出すフィッシング詐欺によって、世界各地で多くの被害が出ています。中でもサイバー犯罪者達の常套手段としては個人宛てにEメールを送信し、個人情報や金融情報を得る類のフィッシング詐欺は最も多く、その種類は多岐にわたります。犯罪者たちは、主に資産のある先進国の人間を中心に狙いを定めますが、近年は特に個人で多額の預貯金を保持している日本人をターゲットにしています。

古くから高齢者をターゲットにするオレオレ詐欺などをはじめ、次々と詐欺犯罪が起きています。そして、その手法の巧妙さは年々複雑化しており、特にメールによるフィッシング詐欺は、たとえお年寄りでなくても本物かどうか見分けることが非常に難しくなっています。以下では、日本国内で報告されているメールによるフィッシング詐欺の代表的な事例をいくつか紹介します。

1. なりすまし詐欺

フィッシング詐欺の代表的なものとして知られているのが有名企業や銀行、通信会社等を装って、個人情報を盗もうとしてくる「なりすましメール」です。

日本の場合は、Amazonや楽天、東京三菱銀行、イオン、ディズニーなどをはじめとする誰もが知っている大手企業の名前をかたり、クレジットカードの暗証番号の確認や身に覚えのない支払いを催促してきます。このメールの類としては、どれもぱっと見ただけでは本物かどうか見分けがつかないものばかりです。まるで本物の企業のメールアドレスから「個人情報の漏洩の可能性があります」や「すぐに支払いを済ませないとアカウントが削除されます」などという内容のメールがと届くと、誰もが気が動転してしまい、ついついクレジットカードなど大事な情報を入力してしまうという罠にかかってしまいかねません。

対策としては、迷惑メール設定をすることで大抵のこういったメールは迷惑メールボックスには振り分けられるので遭遇する機会はなくなります。ただし、稀に通常の受信フォルダに入ってくる場合もあるので注意しましょう。

あとは、フィッシング詐欺を装うメールアドレスの場合、日本語の表現方法がおかしかったり、スペルなどが違う場合がよくあります。メールアドレスが送信先の企業のものなのかどうかを細かく確認することをおすすめします。そして、企業だけにとどまらず、漏洩した個人情報を利用して友人の名前を騙ったフィッシング詐欺メールも存在するので気をつけるようにしましょう。

2. ワンクリック詐欺

ワンクリック詐欺は、なりすましメール同様に悪質な詐欺方法といえます。通常、なりすましメールの本文にあるURLをクリックすることで、勝手に会員登録が完了してしまったり、突然、多額の料金請求がされることでユーザーの動揺を誘い、支払わさせるという手法です。なかには気付かないうちに規約にクリックさせて料金が発生してしまうものも存在します。クリックした結果、マルウェアなどの悪意のあるウイルスに感染してしまう可能性もあります。

また、よくウェブサイト上に表示される広告にも注意が必要で、特に日本国内ではアダルトサイトや出会い系サイトで多い傾向があります。法律に基づいた契約やワンクリック詐欺ではない等の文章を表示することで、あたかも法令に則った正当なサイトであるかのように見せかける事例もあります。これはアダルトサイトなど家族や周囲の方に知られたくないようなサイトを閲覧した場合によく出てくるので、慌てて振り込んでしまうことが多いようです。

見知らぬメールの本文に掲載されているURLをクリックすることはもちろんNGですが、危険が伴う可能性があるサイトを閲覧する際は本当に安全かどうか確認し、もし安全性が確保できない場合はクリックすることは絶対に避けましょう。

3. SNSアカウント乗っ取り

FacebookやTwitter、Instagram、TikTokなどのSNS上で写真や文章を使って自分の近況を投稿したり、意見を述べたりして交流を図るソーシャルネットワーキング(SNS)は、もはや現代に生きる私達の生活必需品の一部となっています。SNSは従来の投稿機能に加え、メッセージ機能があることで非公開でユーザー同士でのやりとりができるのも魅力の1つですが、もしもこのメッセージのやりとりなどが外部に漏れてしまったことを考えると本当に恐ろしいです。

これらSNSにおいて、課題となっているのがアカウントの乗っ取り問題です。各SNSに登録しているメールアドレスやアカウント名、パスワードが漏洩してしまった場合、アカウントが乗っ取られてしまいかねません。アカウントが乗っ取られたことで、自分ではない何者かが勝手に自分のプライベートな情報を投稿してしまい、職を失ったり、人間関係が崩れてしまったという事例が数多くあります。

これらが漏洩してしまう理由の1つとして、オンライン上での様々なサイトでのパスワードの併用が挙げられます。一つ一つのパスワードを覚えるのは非常に大変なので、他のSNSアカウントやオンライン銀行の暗証番号、Amazonや楽天などオンラインショッピングする際の会員アカウントやパスワードを全部同じに設定してしまっている人が被害に遭う可能性が高いです。また、生年月日や電話番号などわかりやすい番号をパスワードとして設定している人も危険です。パスワードを設定する際は、オンライン上の他のサイトと同じパスワードを設定しないようにし、自動パスワード生成機能がある場合はなるべく使用するようにしましょう。

また、老若男女問わず多くの日本人が普段、連絡手段として愛用しているのがLINEです。電話番号は知らないけれど、LINEアカウントなら知っているという人も相当数いることでしょう。日本でこのLINEは非常にターゲットになりやすく、友人のLINEアカウントが乗っ取られたという話をよく耳にします。友人に勝手にメッセージが送られたり、Amazonのギフトカードの購入を促されたりした例もあります。

これら対策としては、普段から友人や家族の他の連絡手段を事前に電話番号など複数把握しておき、仮に友人から変なメッセージを受信した場合は、LINE以外の別な連絡方法で本人に連絡を取り、確認するようにしましょう。

フィッシング詐欺の被害に遭ってしまった場合の対応

上記で紹介したのは日本国内でよくみられる代表的なフィッシング詐欺の一例にすぎません。サイバー犯罪者は次々と新たな詐欺方法を考えつき、私達に攻撃してきます。本日紹介したようなフィッシング詐欺のような不審なメールが届いた場合は、すぐに削除するようにしましょう。たとえ、削除してしまったメールが本物だったとても気にすることはありません。重要なものであれば、送信者から再度連絡があるはずです。もしも、フィッシング詐欺の被害に遭ってしまった場合は、各都道府県の警察のフィッシング専用窓口に相談しましょう。

オンライン上のセキュリテイ面はマカフィーが完全サポート

インターネットの普及により、私達の生活はより便利なものになりましたが、その分、目に見えないリスクを常に負っているといえます。もし、個人情報が悪用されたり、大金が盗まれてしまったら精神的に厳しい状態に追い込まれてしまい、一生を台無しにしてしまいかねません。このような被害に遭ってしまう前にしっかりとした対策を講じておく必要があります。

長年、サイバーセキュリティ業界でトップクラスのレベルを維持しているマカフィーは、これまで多くの人々のオンライン上での安全面をサポートしていることでも知られています。ウイルス対策ソフトをはじめ、ID・個人情報保護機能、安全性の高い接続を提供するVPNなど様々なセキュリティ機能を兼ね備えているので、サイバー攻撃やマルウェアをはじめとするオンライン上に潜む様々ばウイルスからユーザーのデバイスを保護します。もちろん、今回紹介したフィッシングメールに対しても有効で、様々なオンライン上の脅威からユーザー自身とお使いのデバイスを保護し、より快適なオンライン生活を実現します。マカフィーが提供する各製品を利用することで、セキュリテイ面に関する多くの不安は解消されるので、心の底からインターネットを楽しめるようになるでしょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ