「対応しなければ大変なことになる」
そう思わせるのが相手のねらい
サイバー犯罪に多いパターンが、ターゲットを「焦らせたり、困らせたり」して、自分の思い通りに誘導させようとする手口。
たとえば、フィッシング詐欺はその代表格といえる。正規のサービスなどをよそおったメールやSMSで、ニセのサイトに誘導し、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出すというものだ。
相手にログイン情報を入力させるために、サイバー犯罪者は「対応しなければ大変なことになる」あるいは「早く対応したほうがよい」と思わせようと、あの手この手を使ってくる。たとえば、銀行や、クレジットカード会社などの金融機関を名乗るのは典型的な手法だ。
フィッシング対策協議会は、カードローン会社を騙るなりすましメールの報告を受けているとして注意を促している(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ORIX MONEY (オリックス・クレジット) をかたるフィッシング (2024/10/30))。この場合は、「【ご返金のご案内】」「30日間利息無料サービスのご案内」など、「早く対応したほうがよい」と考えるような言葉を件名に入れている。
また、「弊社を装ったフィッシング詐欺メールが確認されている。セキュリティ強化のためスマートフォンでの本人確認が必要」などといった内容を送り付けて偽のWebサイトへ誘導し、個人情報を窃取するフィッシングメールも報告されている。“「フィッシング詐欺が確認されている」ので、個人情報を確認してほしい”という内容のフィッシング詐欺といえる。
フィッシングメールは、冷静に時間をかけて考え、しっかり確認すれば「ウソ」だとわかるものが多い。逆に言えば、詐欺師たちは「焦らせる・急がせる」ような罠をしかけて、ターゲットを騙そうとするのだ。
「公式に直接」がポイント
フィッシング詐欺の被害に遭いそうなときは、「気をつける」「冷静になる」を徹底したいものだ。しかし、メールやSMSで送られてきた文面を、常にフィッシングではないかどうかなどと確認していくのは手間がかかることでもある。
メールなどから誘導されるフィッシングサイトも、外見やURLが本物に似せて作られていることがほとんど。気をつけていても見抜くことは難しいかもしれない。
また、サイバー犯罪者は、「急いで対応しなければ」と焦らせるような文面や件名を利用してくる傾向がある。メールやSMSの件名などに「不在通知」「異常ログインの可能性」などを使うことも多い。
また、「フィッシング詐欺被害を防止するためのシステム強化」などと称し、個人情報の入力を要求する手口もある。
つまり、メール内容から真偽を判断するのではなく、公式サイトに直接ログインして確認することが重要だ。公式サイトのヘルプデスクなどから問い合わせて確認してみてもよいだろう。
よく利用するサービスへのアクセスとログインには、公式のアプリやブラウザーのブックマークなどからのアクセスを習慣化したい。メールやSMSのリンクからはすぐにアクセスしない(アクセスしても、IDやパスワードなどは入力しない)。
最寄りの消費生活センターなどに相談する手段もある。フィッシング詐欺の被害に遭ってしまったら、各都道府県の警察のフィッシング専用窓口に相談することを考えよう(参考:フィッシング対策|警察庁Webサイト)。
今回は、McAfee Blogから「現在の日本国内のフィッシング詐欺の傾向と対策について」を紹介しする。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
現在の日本国内のフィッシング詐欺の傾向と対策について:McAfee Blog
外食代やタクシー代、そして家計のやりくりなど、お金の管理は普段の私達の生活の中でしばしば頭を抱えてしまう悩みの一つでもあります。しかし、最近は日本国内でもLINE Payをはじめとする決済アプリが普及したおかげで、現金を使用せずにオンライン上で簡単に支払いを済ませることができるようになりました。これによって、もう飲み会でいちいち割り勘分を計算して各参加者からお金を徴収するという面倒な作業を行なわずに済むようになりました。
また、現代社会において日本人は、楽天やAmazonなどインターネット上でのオンラインショッピングはもちろんのこと、旅行先のホテル代やタクシー代なども現金を使用せずに全て、カード決済やアプリ決済などで支払いが可能となったことで、現金を一切持たずに外出するということが珍しくなくなりました。また、Uber Eatsで夕飯を頼んだ場合も、オンライン決済にすることで配達する人へのお釣りの心配をしなくて済むようになりました。
ただし、これら新たな決済方法の登場で便利になった反面、あらゆる決済をオンライン上に依存し過ぎてしまうと、様々な問題に遭遇してしまう可能性があるのも事実です。前述のLINE Payや最近では日本国内でも浸透し始めているPayPalなどは、強力なセキュリティ機能と堅固な暗号化によって個人データの安全性が保障されてはいるものの、年々高度化しているメールによるフィッシング詐欺による様々な事件や被害が報告されています。特に個人の保有資産が多いとされている日本は、世界的にみてもサイバー犯罪者の格好のターゲットとなっています。
こちらの記事では、なぜ日本人がフィッシング詐欺によるターゲットとされてしまうのか、その理由をはじめ、日本国内におけるメールを使った様々な種類のフィッシング詐欺の事例について紹介します。そして、フィッシング詐欺に遭遇してしまった場合の対処策に関しても説明していきます。
日本人のお金に対する価値観
これまで日本では、幼少期から金融教育を行なう欧米諸国と違って、お金に関する話は外ではしてはいけないなどタブーとされている事が多く、個人の独学による勉強以外、一般的にはほとんど行われていませんでした。しかしここ数年のコロナウイルスパンデミックをはじめとした時代の変化に伴い、お金に対する価値観が見直されはじめ、投資に興味を持ち始めている人が増えています。教育面に関しても、2020年度に改訂された学校指導要領に基づいて、小学校の授業でお金に関する授業が開始され、高校でも2022年から家庭科の授業において資産形成など金融教育に関する授業が始まりました。
また、これまで日本人の大半は、投資よりも貯金することに美徳を感じていました。かつて高度経済成長期以降にタンス預金という言葉が流行った通り、資産を銀行に預けずに現金で自宅や金庫に保管しておく人が多いといわれています。その大半はこれまで国や会社のために何十年も必死に身を粉にして働いた高齢者であり、その額は50兆円以上ともいわれています。これに関しては銀行に預けても金利がほぼ皆無な現代においても同じことがいえます。
日本のフィッシング詐欺の傾向
人類史の中でも革命的な発明であるインターネットが誕生し、私達一般人もインターネットが自由に使用できるようになってから四半世紀が経っています。インターネットを使用することで様々な情報を調べて知識を得たり、オンライン上で多くの人と繋がったり、普段の生活が便利になりました。
一方でインターネットを利用した新たな犯罪が毎年のように増加しているのも事実です。釣りのように餌をまいて魚を釣るような感覚で機密情報を引き出すフィッシング詐欺によって、世界各地で多くの被害が出ています。中でもサイバー犯罪者達の常套手段としては個人宛てにEメールを送信し、個人情報や金融情報を得る類のフィッシング詐欺は最も多く、その種類は多岐にわたります。犯罪者たちは、主に資産のある先進国の人間を中心に狙いを定めますが、近年は特に個人で多額の預貯金を保持している日本人をターゲットにしています。
古くから高齢者をターゲットにするオレオレ詐欺などをはじめ、次々と詐欺犯罪が起きています。そして、その手法の巧妙さは年々複雑化しており、特にメールによるフィッシング詐欺は、たとえお年寄りでなくても本物かどうか見分けることが非常に難しくなっています。以下では、日本国内で報告されているメールによるフィッシング詐欺の代表的な事例をいくつか紹介します。
1. なりすまし詐欺
フィッシング詐欺の代表的なものとして知られているのが有名企業や銀行、通信会社等を装って、個人情報を盗もうとしてくる「なりすましメール」です。
日本の場合は、Amazonや楽天、東京三菱銀行、イオン、ディズニーなどをはじめとする誰もが知っている大手企業の名前をかたり、クレジットカードの暗証番号の確認や身に覚えのない支払いを催促してきます。このメールの類としては、どれもぱっと見ただけでは本物かどうか見分けがつかないものばかりです。まるで本物の企業のメールアドレスから「個人情報の漏洩の可能性があります」や「すぐに支払いを済ませないとアカウントが削除されます」などという内容のメールが届くと、誰もが気が動転してしまい、ついついクレジットカードなど大事な情報を入力してしまうという罠にかかってしまいかねません。
対策としては、迷惑メール設定をすることで大抵のこういったメールは迷惑メールボックスには振り分けられるので遭遇する機会はなくなります。ただし、稀に通常の受信フォルダに入ってくる場合もあるので注意しましょう。
あとは、フィッシング詐欺を装うメールアドレスの場合、日本語の表現方法がおかしかったり、スペルなどが違う場合がよくあります。メールアドレスが送信先の企業のものなのかどうかを細かく確認することをおすすめします。そして、企業だけにとどまらず、漏洩した個人情報を利用して友人の名前を騙ったフィッシング詐欺メールも存在するので気をつけるようにしましょう。
2. ワンクリック詐欺
ワンクリック詐欺は、なりすましメール同様に悪質な詐欺方法といえます。通常、なりすましメールの本文にあるURLをクリックすることで、勝手に会員登録が完了してしまったり、突然、多額の料金請求がされることでユーザーの動揺を誘い、支払わさせるという手法です。なかには気付かないうちに規約にクリックさせて料金が発生してしまうものも存在します。クリックした結果、マルウェアなどの悪意のあるウイルスに感染してしまう可能性もあります。
また、よくウェブサイト上に表示される広告にも注意が必要で、特に日本国内ではアダルトサイトや出会い系サイトで多い傾向があります。法律に基づいた契約やワンクリック詐欺ではない等の文章を表示することで、あたかも法令に則った正当なサイトであるかのように見せかける事例もあります。これはアダルトサイトなど家族や周囲の方に知られたくないようなサイトを閲覧した場合によく出てくるので、慌てて振り込んでしまうことが多いようです。
見知らぬメールの本文に掲載されているURLをクリックすることはもちろんNGですが、危険が伴う可能性があるサイトを閲覧する際は本当に安全かどうか確認し、もし安全性が確保できない場合はクリックすることは絶対に避けましょう。
3. SNSアカウント乗っ取り
FacebookやTwitter、Instagram、TikTokなどのSNS上で写真や文章を使って自分の近況を投稿したり、意見を述べたりして交流を図るソーシャルネットワーキング(SNS)は、もはや現代に生きる私達の生活必需品の一部となっています。SNSは従来の投稿機能に加え、メッセージ機能があることで非公開でユーザー同士でのやりとりができるのも魅力の1つですが、もしもこのメッセージのやりとりなどが外部に漏れてしまったことを考えると本当に恐ろしいです。
これらSNSにおいて、課題となっているのがアカウントの乗っ取り問題です。各SNSに登録しているメールアドレスやアカウント名、パスワードが漏洩してしまった場合、アカウントが乗っ取られてしまいかねません。アカウントが乗っ取られたことで、自分ではない何者かが勝手に自分のプライベートな情報を投稿してしまい、職を失ったり、人間関係が崩れてしまったという事例が数多くあります。
これらが漏洩してしまう理由の1つとして、オンライン上での様々なサイトでのパスワードの併用が挙げられます。一つ一つのパスワードを覚えるのは非常に大変なので、他のSNSアカウントやオンライン銀行の暗証番号、Amazonや楽天などオンラインショッピングする際の会員アカウントやパスワードを全部同じに設定してしまっている人が被害に遭う可能性が高いです。また、生年月日や電話番号などわかりやすい番号をパスワードとして設定している人も危険です。パスワードを設定する際は、オンライン上の他のサイトと同じパスワードを設定しないようにし、自動パスワード生成機能がある場合はなるべく使用するようにしましょう。
また、老若男女問わず多くの日本人が普段、連絡手段として愛用しているのがLINEです。電話番号は知らないけれど、LINEアカウントなら知っているという人も相当数いることでしょう。日本でこのLINEは非常にターゲットになりやすく、友人のLINEアカウントが乗っ取られたという話をよく耳にします。友人に勝手にメッセージが送られたり、Amazonのギフトカードの購入を促されたりした例もあります。
これら対策としては、普段から友人や家族の他の連絡手段を事前に電話番号など複数把握しておき、仮に友人から変なメッセージを受信した場合は、LINE以外の別な連絡方法で本人に連絡を取り、確認するようにしましょう。
フィッシング詐欺の被害に遭ってしまった場合の対応
上記で紹介したのは日本国内でよくみられる代表的なフィッシング詐欺の一例にすぎません。サイバー犯罪者は次々と新たな詐欺方法を考えつき、私達に攻撃してきます。本日紹介したようなフィッシング詐欺のような不審なメールが届いた場合は、すぐに削除するようにしましょう。たとえ、削除してしまったメールが本物だったとても気にすることはありません。重要なものであれば、送信者から再度連絡があるはずです。もしも、フィッシング詐欺の被害に遭ってしまった場合は、各都道府県の警察のフィッシング専用窓口に相談しましょう。
オンライン上のセキュリテイ面はマカフィーが完全サポート
インターネットの普及により、私達の生活はより便利なものになりましたが、その分、目に見えないリスクを常に負っているといえます。もし、個人情報が悪用されたり、大金が盗まれてしまったら精神的に厳しい状態に追い込まれてしまい、一生を台無しにしてしまいかねません。このような被害に遭ってしまう前にしっかりとした対策を講じておく必要があります。
長年、サイバーセキュリティ業界でトップクラスのレベルを維持しているマカフィーは、これまで多くの人々のオンライン上での安全面をサポートしていることでも知られています。ウイルス対策ソフトをはじめ、ID・個人情報保護機能、安全性の高い接続を提供するVPNなど様々なセキュリティ機能を兼ね備えているので、サイバー攻撃やマルウェアをはじめとするオンライン上に潜む様々ばウイルスからユーザーのデバイスを保護します。もちろん、今回紹介したフィッシングメールに対しても有効で、様々なオンライン上の脅威からユーザー自身とお使いのデバイスを保護し、より快適なオンライン生活を実現します。マカフィーが提供する各製品を利用することで、セキュリテイ面に関する多くの不安は解消されるので、心の底からインターネットを楽しめるようになるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト