フィッシング詐欺とは? | 被害・実例・対策
インターネットバンキングでお金を盗まれる、SNSのアカウントを乗っ取られるといった被害が多いフィッシング詐欺とはどのようなものでしょうか?かんたんに被害や実例、そして詐欺に引っかからないための対策をまとめてみました。
日々どこかで話題になっているインターネットがらみの犯罪、IDやパスワードの流出、TwitterやInstagramなどソーシャルメディアのアカウント乗っ取り。それらは「フィッシング」という手法で詐欺に遭っているケースが多く見られます。
フィッシングは魚釣りの「Fishing」ではなく「Phishing」というスペルで表されるネット詐欺の一種であり、偽サイトに誘導してログインIDやパスワードなどを奪います。実際に、近年のフィッシングの手口はより精工に、巧妙になっており、騙される少しでも可能性を低くするには必要最低限の知識が必要になってきました。
あなたには以下のInstagramログイン情報入力画面が偽物に見えますか?
本物のページと同じデータをそのままコピーして使えば、全く同じ見た目のページを作ることもそう難しいことではありません。
より精工に、巧妙に進化するフィッシング詐欺とはどのようなものか?その手口や実例、どうすれば被害に遭わないかということをなるべく簡単にまとめてみました。
1. フィッシング詐欺とは?
フィッシングとは金融機関や企業など、信用できると思われる送信元を装ったメールなどを不特定多数、または特定の標的に送り、IDやパスワード、クレジットカード番号や、個人情報、財産や企業秘密などを騙し取るネット詐欺の一種です。
また、特定の標的に狙いを定めて行うフィッシング詐欺は「スピアフィッシング」と言われます。スピアフィッシングは被害者となる標的が既に下調べされているため、送信される偽のメールなども「上司」や「得意先企業」といった送信元になっているケースが多々報告されています。
フィッシングはウイルスなどのマルウェアと同様にネット犯罪の一つの手口として多用されますが、大きな違いはマルウェアが被害者の使うコンピュータを標的にしていることに対し、フィッシングはコンピュータではなく「人」を標的にしていることです。
つまり、あなたの使うコンピュータがWindowsであっても、Macであっても、そしてスマートフォンであっても攻撃者にとってはさほど大きな問題ではありません。ネットにつながり、本物そっくりに作られたフィッシングサイトを正しく表示し、あなたの大切な情報を攻撃者に運ぶことさえ出来ればどんなOSでもどんな機器でも良いのです。
そして怖いことに多くのケースが「自分が被害に遭って初めて気付く」ということです。具体的に、自分の銀行口座からお金が盗まれた、クレジットカードで覚えの無い買い物がされている、自分以外の人が勝手に自分のSNSアカウントで投稿したりメッセージを送ったりしている、等が該当します。
インターネットバンキングの不正送金被害額は2018年に4億円以上(警視庁調べ) とされています。一時は被害総額年間30億円を超えたインターネットバンキング不正送金ですが、近年は減少傾向にあります。しかし、暗号資産(仮想通貨)の被害額は増え続けており、677億3820万円相当(暗号資産交換事業者の被害額580億円相当含む – 同庁調べ)とされています。
セキュリティレベルが高い銀行のインターネットバンキングよりも、比較してセキュリティが甘くログインIDとパスワードだけ(二段階認証は任意で設定の場合が多数)分かれば盗みが可能な暗号資産に犯罪者のターゲットが移った可能性が高いと思われます。
こういった被害を未然に防ぐために、まずはフィッシングの基本的な手口を知り、事例を知り、対策を知るしかありません。
2. フィッシングの一般的な手口
フィッシングは先にもある通り「信用できる」と思われる送信元を装って標的に連絡をします。その一般的な手口は以下の通りです。
① 攻撃者は標的となるユーザーに対し送信元を装った偽のメールやメッセージで連絡を取ります。
(例 : 新システムの導入に伴いもう一度お客様にログインしてユーザー情報の再設定をしていただく必要があります。なお、□月△日までに設定いただけない場合は、お客様のデータを削除の上サービスを中止させていただきますので、お手数ですがこちらのページにアクセスして再設定をお願い致します。)
② ユーザーは送信元を信頼できると思い込み、メール内にあるリンクをクリックして、攻撃者が作った偽サイト(フィッシングサイト)にアクセスし、ユーザーID、パスワードや秘密の質問とその答などの情報を入力します。
③ 入力された情報が攻撃者の元に送信されます。この騙し取ったデータを使い攻撃者は標的となったユーザーになりすますことができます。
ご覧の通り、この手順の中にマルウェアは必要ありません。偽のフィッシングサイトも本物のサイトからデータをそのまま流用しているケースが大半のため、見た目は全く同じです。
たとえば、冒頭にあったInstagramなどのソーシャルメディアのデータが全て削除されるという通知を受け取ったとき、フィッシング詐欺の知識が無ければ焦って情報を入力してしまうかもしれません。
情報を奪った攻撃者はそのユーザーIDやパスワード、クレジットカード情報などを使って直接金銭を盗取することもありますが、その情報をダークウェブのブラックマーケットに売り出して金品を稼ぐというケースも多々見られます。
3. フィッシング詐欺の実例
攻撃者は手っ取り早くお金を騙し取ることができる銀行や暗号資産の口座に狙いをつけ、その関連機関を名乗るケースが多く見られますが、実際にはそれだけではありません。Facebook、InstagramやTwitter などのソーシャルネットワークのアカウント、Apple ID やGoogleアカウントなども魅力的な標的のようです。
ここでは使用している方も多いTwitterとGoogleアカウントについて実際にあったフィッシング詐欺の例とテクニックを今回は被害者の視点で見てもらいます。攻撃者の巧みな誘導に気付くことはできるでしょうか?
海外の実例なので、スクリーンショットは英語ですが、日本語のページを作ることなど攻撃者にとっては簡単なことです。
3-1. Twitterアカウントを狙ったフィッシング詐欺
ある日親しい友人からTwitterのDMで「この写真すっごく良く撮れてるよ。(笑)」というメッセージと共にリンクが送られて来ました。知らない人であれば無視するところですが、親しい友人だったので、特に疑いを抱くことなくリンクをクリックすると以下の画面が表示されました。
サーバーとの接続が切れたらしいので、もう一度ログインをして欲しいようです。「ログアウトした覚えは無いんだけど、変だな?」と思いながらもう一度ログイン情報を入力するとTwitter正規の「このページは存在しません (Not Found)」の画面が表示されるだけです。結局写真を見ることはできませんでした。
それはそうでしょう。そんな写真は最初から無いのですから。既にTwitterのログイン情報は攻撃者の元に送られています。そして、次はあなたのログイン情報でログインした攻撃者があなたのフォロワーに同じようにDMを送ったりTweetするのです。もしくは、ダークウェブの商品としてあなたのログイン情報が売られるのかもしれません。
3-2. Googleアカウントを狙ったフィッシング詐欺
多くの人が持つGoogleアカウント。検索エンジンだけでなく、Gmail、Google ドライブ、Googleフォト、Android用アプリの購入、その他いろいろな機能がほぼ無料で使えるなんて本当に便利ですよね。
そんなGoogleアカウントを持つあなたに一通のメールが届きます。「重要なお知らせがあります。このリンクの先にあるGoogleドキュメントをご確認ください。」重要なお知らせは何でしょうか?GoogleドメインのURLリンクをクリックすると以下の見慣れた画面が表示されます。
ログイン情報を入力するとGoogleドライブからドキュメントが開きます。でも、重要なお知らせとは何だったのでしょうか?
この時点で既にGoogleアカウントのログイン情報は攻撃者の元に送られています。Googleアカウントはいろいろな機能を使えて本当に便利です。攻撃者にとっても。
4. フィッシング詐欺の被害に遭わないために知っておきたい対策5つ
ブラウザにはフィッシング対策機能が実装され、セキュリティソフトはフィッシングサイトやフィッシングサイトへのリンクがあるメールを判別することができるものもありますが、100%というわけではありません。そこで、フィッシング詐欺に遭わないために知っておきたい対策を5つ紹介します。
4-1. 送られてきたメールやメッセージが本物かどうかを確認する
攻撃者はメールなどを使用して標的にコンタクトし、フィッシングサイトに誘導する行動を取らなくてはなりません。つまり、攻撃者が送る偽のメッセージを見破ることができれば被害に遭う可能性を大きく下げることができます。
確認すべきポイントとしては「送信元メールアドレス」や「ヘッダー情報」がありますが、この点は偽装することができますので全てを信用できるわけではありません。
偽装していなくとも norton.com をnortom.com としたり、microsoft.com をmicrosfot.com とするなど、差出人のメールアドレスを少々変更した紛らわしいメールアドレスを使う場合もあります。
また、SNSでメッセージを知り合いから受け取るケースもあるかもしれません。その場合も送り主のTwitterアカウントなどが乗っ取られている可能性もあります。
送信元のメールアドレスは詐称できるので、アドレスのみで偽のメールを完全に見分けるのは困難ではありますが、そのメールが本物かどうかということを常に意識しておけば騙されるケースも少なくなるでしょう。
4-2. リンクを不用意にクリックしない
仮に本物のメールやメッセージであったとしても、その内容に違和感があったり、パスワードなどの入力を求めるサイトに誘導するURLを不用意にクリックしないように気をつけましょう。友人や知人であったとしても事前に何の連絡も無しで急にURLだけを送信するようなSNSのメッセージや書き込みも要注意です。
4-3. IDやパスワードを入力するサイトのURLを確認する
メールやSNSの内容に書かれているURLをクリックして、ユーザーIDやパスワードの入力画面が出たとき、そのページのURLは本当にそのサービスが提供しているURLでしょうか?「実例」でも示した通り、画面そのものは同じデータを使用している事が多いので表示される画面だけを見ただけではフィッシングサイトを見分けるのは事実上不可能です。よって、URLを確認することも重要になってきます。
4-4. SSLサーバー証明書の導入を確認する
SSLサーバー証明書は通信情報を暗号化する機能とサイトを運営する会社の身元を確認する機能を備えており、近年ではほぼ全てのWebサイトがSSLサーバー証明書を導入したサイトとなっています。
SSLサーバー証明書の導入が標準となる前は詐欺を働くフィッシングサイトは身元を確認されると不都合なため、ほとんどの場合このサービスを使用していませんでしたが、近年のフィッシングサイトもこの流れに合わせこのサービスを導入してきています。
しかし、SSL証明書にはWebサイト所有者の身元確認を強化したEV SSL(Extended Validation証明書)があるため、多くの企業はこのEV SSLを導入しています。フィッシングサイトでこのEV SSLを導入することは困難と思われるため、サイトにEV SSLが導入されているかを確認するのも安全の一つの目安になります。
SSLサーバー証明書が導入されている場合は、ブラウザによって表記は多少異なりますが以下の図 (Chromeの場合)のように、鍵マークやhttps などの表記が表示されます。EV SSLの場合はそこに法的に実在性が確立されいるなどの発行条件を満たした企業名が記載されています。
4-5. セキュリティソフトを導入する
多くのセキュリティソフトはフィッシング詐欺対策の機能を備えています。フィッシングメールを排除したり、フィッシングサイトを表示する際にアクセス遮断するなどの処理を行い、ユーザーが騙されるのを未然に防ぐことができます。多くの偽装されたサイトを判別することができますが、100%安心というわけではありません。
ただ、近年はフィッシングとマルウェアを組み合わせた詐欺の手法もあるため、セキュリティソフトは入れておくべきでしょう。特にネットを介しての買い物、インターネットバンキングや暗号資産(仮想通貨)などを扱う場合は必須と言えます。
もしセキュリティソフトが導入されていない場合は、無料体験版でも良いので有名な有料のセキュリティソフトを入れてチェックすることをオススメします。
なぜならば、Windows Defenderをはじめとする無料のセキュリティソフトは最低限の機能しか搭載されていないものもあり、状況によっては有料のものでしか駆除できないものがある可能性があるからです。
実際、仮に駆除できなかったとしても、(ウイルスバスター以外は)それぞれ最適化されたファイアウォールを搭載しており、Windowsの内部から外部に向けての通信を監視しているため、無料ソフトと比べて大切な情報が盗まれる可能性は低いと言えます。(ウイルスバスターはWindows標準のファイアウォールをチューンすることでほぼ同様の機能を実現しています)
以下が無料体験版を用意している代表的なセキュリティソフト一覧です。期限内はどの製品も有料版と同様の機能が無料で使用できます。(各社仕様が変更になる可能性はありますので、その点はご注意ください)
| セキュリティソフト名 | 体験版日数 |
|---|---|
| ノートン 360 | 30日間 |
| カスペルスキー セキュリティ | 30日間 |
| マカフィー トータルプロテクション | 30日間 |
| ウイルスバスター クラウド | 30日間 |
なお、フィッシング詐欺対策の詳細については以下の記事をご参照ください。
5. フィッシング詐欺の被害に遭ってしまったときどうするか?
フィッシング詐欺は多くの場合、実際に口座からお金が無くなるなどの被害があって初めて気がつくケースがほとんどです。盗まれた情報によって対処法は異なりますが、簡単に説明します。
5-1. インターネットバンキングで預金を引き出された場合
まずは銀行に連絡をする必要があります。その後は銀行の指示に従い処理を進めれば、個人口座については「口座所有者自身に過失が無い場合」払い戻しがなされます。
5-2. クレジットカードをインターネットで不正利用された場合
まずはカード会社に連絡をする必要があります。その後はカード会社やカードの種類によって対応も異なります。
インターネット上でクレジットカードが不正利用された場合、その損失が補填されないカードがあります。予めインターネットショッピングでの不正利用の補償サービスがあるものを選んでおくと安心です。
なお、ノートンの自動延長サービスをご利用のお客様はクレジットカードの不正使用を補償するサービスが付帯しています。
5-3. SNS, Google のアカウントなどを乗っ取られた場
すぐに乗っ取られたサイトにログインし、パスワードを変更してください。ログインパスワードを変更されていてログインできない場合はそれぞれのサイトの「パスワードを忘れた場合」のサービスを利用してパスワードを変更してください。また、同様のログインIDとパスワードを他のサービス(インターネットショッピングなど)で使い回している場合は早急にパスワードの変更を行うべきです。
なお、フィッシング詐欺の対処法の詳細は以下の記事をご参照ください。
6. まとめ
フィッシングの狙いは「あなた」です。あなたの使用するコンピュータではありません。攻撃者はあなたを騙すために日々新たな攻撃手法を考えています。
セキュリティソフトやブラウザのフィッシング対策機能も頼りになりますが、フィッシングサイトにアクセスする前に偽のメールやメッセージに気付ける知識を持つことが重要です。
この記事に書いた基本事項を頭の片隅にでも置いておくことによって、多くのフィッシング詐欺を未然に防ぐことができるでしょう。
※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。
編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。
その他の情報
ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。