フィッシング詐欺の種類と手口|被害に遭わないための対策を図表解説や実例を含めて徹底解説
フィッシング詐欺の手口や種類をはじめ、フィッシング詐欺被害に遭わないためのフィッシングメールの簡単な見分け方と対策方法まで、実例や図表解説も含めてしっかり解説をしていきます。また、被害にあった際の対処法や緊急時の各問い合わせ先などについて紹介しています。
フィッシング詐欺被害に遭わないための徹底対策
フィッシング詐欺とは、主にインターネット上を主戦場として、メッセージツールなどを駆使してターゲットの重要な情報を窃取したり、またそれを悪用する犯罪行為です。
現在、その多くは不特定多数のターゲットへ不安や緊急性を煽る内容のメールなどを、実在するよく知られているクレジットカード会社、金融機関、大手携帯キャリアなどに送信者名を詐称してターゲットへ送り付けます。またその特徴から「なりすましメール」とも呼ばれます。
そして、ユーザーの重要な情報を窃取するために、メール内にフィッシングサイトへ誘導するためのURLやバナーを埋め込んでいます。そこにアクセスしてきたユーザーの個人情報をはじめとする、クレジットカード番号やアカウントID、パスワードなどの重要な情報を盗み出す電子メールなどのことを指します。
また最近ではパソコンだけでなく、スマートフォンの普及増加からフィッシングメールが携帯電話へ送信されるケースが急増している背景があり、その世界年間総被害額は数千億円にもなるともいわれています。
フィッシング詐欺の種類
| スミッシング | SMS(ショートメッセージ)を利用したフィッシング詐欺の手口 |
| ビッシング | メールや電話から巧みに誘い出し、情報を窃取するために作成した自動音声応答システムに電話を掛けさせる手口 |
| スピアフィッシング | 不特定多数ではなくターゲットを絞り情報収集し、実際に想定される内容のフィッシングメールを送る手口 |
| ホエーリング | 企業などの経営者や責任者などをターゲットにしたスピアフィッシングのより巧妙な手口 |
一般的なメールでの手口の他にも、インターネットを利用したオンラインゲーム、ネット掲示板、SNS、ブログなどにフィッシングサイトへのリンクを貼り、各コンテンツ利用者の思想から興味を持ちそうな話題の内容で誘い込むフィッシング詐欺や「Microsoftサポート詐欺」などがあります。
巧妙化して増加しているフィッシング詐欺
フィッシング対策協議会の2021/05 フィッシング報告状況によると2020/07ごろから2021/05までの約1年間で約2倍の報告数まで増加しているのがわかります。中でもAmazon をかたるフィッシングの報告が報告数全体の 46.6% を占めています。
画像:フィッシング対策協議会「2021/05フィッシング報告状況」より引用
主なフィッシングメールの件名や内容
- 情報の更新ができませんでした、または、されました
金融機関やクレジットカード会社、大手ネットショッピングサイトを詐称することが多い - 利用制限またはアカウントロック、無効、停止の解除手続き
大手ネットショッピングサイト、ETCカード、クレジットカード会社を詐称することが多い - 支払金額、利用明細の確認案内
金融機関やクレジットカード会社、大手ネットショッピングサイトを詐称することが多い - 支払方法または登録情報の変更、確認の案内
金融機関やクレジットカード会社、大手ネットショッピングサイトを詐称することが多い - 料金未納や料金未払いの案内
大手通信業者、携帯キャリアを詐称することが多い - 不在通知または宛先不明の案内
大手ネットショッピングサイト、宅配サービス業者を詐称することが多い - 商品購入ありがとうございました(購入していない)
大手ネットショッピングサイト、電気量販店を詐称することが多い
- 不正利用を感知、本人利用か確認の案内
金融機関やクレジットカード会社、大手ネットショッピングサイトを詐称することが多い
- 2段階認証の認証番号通知
大手ネットショッピングサイト、LINEなどのソーシャルメディアを詐称することが多い
また最近では、下記のようにコロナ禍に便乗した手口も確認されています。
接触確認アプリ「COCOA」に扮して「GPS機能の行動範囲から濃厚接触の可能性があります」
厚生労働省、自衛隊大規模接種センターなどを騙る「ワクチン接種のお知らせ」
このような時事的な手口は昔から存在していますが、その時々で内容などが変わる為、日頃からフィッシングメール対策をしっかりしていても一層の注意が必要といえるでしょう。
フィッシング詐欺の手口と危険性
実際にフィッシング詐欺に遭ってしまった場合、どの様な危険性があるのでしょうか。
こちらに情報提供された実例を抜粋して紹介します。
実例:クレジットカードの不正利用
Amazon(偽)から「カード情報の更新手続き確認のお願い、カード情報の更新ができません。」との内容のSMSが届いた。
実際に数日前にAmazonにて購入した覚えもあったので信用してしまい、メール内にあるURLから誘導されたフィッシングサイトに従ってクレジットカード番号などの個人情報を送信してしまった。
その後、しばらくしてカード会社から電話があり「某サイトにて数十回にわたって高額な決済をされていますが、ご本人様の利用でしょうか?」との連絡を受けた。
しかし、身に覚えもない上に某サイトを利用したことがない旨をカード会社へ伝えると、担当者が即座にカードを止めてくれた。
幸いにも悪用された取引は無効にする処置をしてもらい、結果的に金銭的な被害に遭わずに済んだ。
しかしながら、個人情報などは伝えてしまっていたため、Amazonとクレジットカードの登録情報(ID、パスワード等)を変更して様子を見ることにした。
騙されてしまった要因をチェック
- 自身こういった詐欺には引っかからないと自負していた。
- 誘導されたフィッシングサイトは、実際のAmazonと寸分も変わらない精巧な出来だった。
- タイミングが悪く、実際にAmazonを利用した直後の出来事だったため信用してしまった。
【情報を入力させるフィッシングサイト画像】
このように、近年の詐欺の手口はインターネットの急激な普及増加に伴い多様化しており種類も増えています。
さらに、誘導先のフィッシングサイトが本物のWebサイトと区別がつかないほど精巧にできているなど巧妙化もしています。
フィッシングメールは緊急性や不安を煽ることで、わたしたちに少しの「心の隙」を与えて入り込み、巧みに財産を狙ってくるので注意が必要です。
また最近ではデバイスに不正アプリやマルウェアをインストールさせて端末自体を乗っ取る手口が急増してきています。
【不正アプリをインストールをさせる画像】
≫ 急増!スマホを乗っ取られたらどうなる?
悪質サブスクリプション解約方法
≫ 知らぬ間に月額料金が発生⁉VPN接続を悪用したサブスクリプション契約
フィッシングメールの見分け方と対策
フィッシング詐欺被害に遭わないためには「すべてを警戒し疑って生活していかなければならないのか」それは疲れてしまってとても大変です。
そこで、頭の片隅に入れておいて頂きたい「フィッシングメールの見分け方」と「対策」についてご紹介します。
簡単にできる見分け方
メールアドレスとサイトURLを確認する
企業からの正規のEメールにはドメインに企業名が入るか形式が決まっていることがほとんどです。
Amazonを例に画像を見てみましょう。
(画像、Amazonホームページ引用)
このように「amazon」が含まれています。
しかしフィッシングメールの場合、.pw、.to、.xyzなど海外ドメインやyahoo、hotmailなどのフリーメールなどを返信先に使用していることが多くあります。
また、本物に見せかけるためにアルファベットの「o」オーを数字の「0」にしたりアルファベットの「l」エルを「I」アイにするなどして簡単に見分けがつかないこともあるので十分注意が必要です。
最近では正規のドメインに偽装したメールアドレスで送信してくる場合もあるのでメールアドレスが本物だから大丈夫との判断は危険です。
参考サイト:安心相談窓口だより
WebサイトのURLを確認する
※前提ですが、メールにリンク先のバナーやURLがあった場合は安易にクリックはしないで下さい。
企業が運営または手掛けているサイトのURLのドメインには、その企業名もしくは形式が決まっていることがほとんどです。
例えば、Appleであれば「apple.com」、Microsoftであれば「microsoft.com」といった形になっています。
しかし誘導先のフィッシングサイトにはそれが含まれていません。
左の画像は正規のAppleサイトですが、右はフィッシングサイトでURLがめちゃくちゃなのがわかるはずです。
簡単に判断できるかと思いますが、中には本物の企業のURLと簡単に見分けがつかないように作られている物もあるので、不安であれば本物の企業のホームページで確認してみるか、フィッシング対策協議会ホームページにて同様のメールが出回っていないかを確認しましょう。
騙されない為の豆知識
Amazonから送信されたメールを一括確認「メッセージセンター」
あまり知られていませんが、Amazonサイト内のアカウントサービスから「メッセージセンター」という、Amazonから送られたメールの確認ができるページがあり、そこにない場合は正規のメールではないとおおよそ判断ができます。(一部SMSは確認できないとのことAmazonに確認済み)
利用規約や会社概要、特定商取引に関する表記を確認する
利用規約など特定商取引に関する表記は簡単に言うとルールを説明するものです。
会社概要は事業者名、代表者名、所在地の他にサービス内容などを記載しており、ほとんどのネットビジネス企業にはこれが記載されています。
しかし、フィッシングサイトには記載が不十分であったり、中には記載自体がないものも存在しているので、十分な判断材料になるほか、オンラインショッピングをする際など金銭を支払う場面では架空の会社名や所在地を記載し詐欺を行う「オンラインショッピング詐欺」も存在するため、詐欺の有無を問わず実際に会社がどこにあるのか等、必ず確認をするべき項目でもあります。
メールで個人情報やクレジットカード情報を入力させることはない
クレジットカード会社やAmazonでは、メールで個人情報やクレジットカード情報を問い合わせたり、入力をお願いするようなことはありません。つまり、クレジットカード情報や個人情報の入力を求めるメールは偽物ということになります。
URLが暗号化(SSL/TSL化)されているか確認をする
Webサイトのページ上部にあるURLには「http」と「https」の2種類があります。
「https」には鍵マークが有り「SSLサーバー証明書」が導入されている証です。
逆に「http」には鍵マークは無くブラウザによって異なりますが、「保護されていない通信」や「安全ではありません」などが表示されます。
Webサイトを開いた際は、まずは上の画像ように「鍵マーク」が有るか無いかを確認しましょう。
鍵マークの有る「https」サイトでは、個人情報をはじめ、クレジットカード情報、ID、パスワードなどの重要な情報が悪意のある第三者に盗まれないよう保護されています。
逆に「http」は「保護されていない通信」となり、情報漏洩のリスクがあることを覚えておきましょう。
※大手企業Webサイトなどでは必ずと言っていいほど鍵マークが付いているため、鍵マークのないWebサイトでの情報入力は控えましょう。
誤字がないか、文字化けしていないか確認する
フィッシングメールの中には翻訳ツールで翻訳をして送信していたりするため、不自然な日本語になっていたり、誤字や文字化けしていることがあります。
上の画像は実際に送られてきたフィッシングメールのおかしな箇所を赤で囲みました。
このように、おかしな文法や誤字があり日本語の使い方自体が不自然なものがあります。
怪しいメールが届いた際には、落ち着いて内容におかしな箇所がないかを確認してみましょう。
NTTドコモホームぺージリンク集
本物のdocomoからの連絡か確認する方法
≫ 本物のドコモからの連絡か確認する
宅配業者を装った迷惑SMSにご注意ください
≫ 被害を未然に防止するために
フィッシング詐欺の完全対策術
対策についてはここまで記事をしっかりと読んで頂いた方は、すでに完全対策術をしっかり習得して頂けたはずです。
あと少し補足としていくつか対策術をお伝えして終わりたいと思います。
- 2ファクタ認証を設定する
アカウントの不正ログインや乗っ取りの脅威からデバイスを保護!できるセキュリティ対策はやっておこう!
2ファクタ認証の必要性と設定方法
≫【セキュリティ対策】2ファクタ認証を設定してアカウントをより安全に保護しよう! - 端末セキュリティを常に最新に
パソコンやスマートフォンのセキュリティ更新を心がるようにして、常に最新版にしておくことでフィッシング詐欺対策として有効になります。自動アップデートを有効にする設定があればそちらが便利です。 - おすすめアプリ「whoscall」
最近ではSMSにフィッシングメールが届くケースが増加していることもあり、知らない電話番号からの着信やSMSが来て困っている方も多いのではないでしょうか。
そんな迷惑電話などを自動的にブロックしてくれる、おすすめアプリ「whoscall」は20億近い膨大なデータベースを元に“怪しい番号”か“安全な番号”かを瞬時に判断して“怪しい番号”には「よく着信拒否されている番号」などを、“安全な番号”は「〇〇喫茶~店」などを電話番号と共に表示させ着信するようにしてくれます。
家族の方などにも是非おすすめしたいアプリです。 - セキュリティソフトにてウイルス感染していないか定期的に確認する
詐欺の手口が巧妙化する中でセキュリティソフトも日々バージョンアップを行い進化し防御力を高めています。
もし導入を検討中であれば、おすすめセキュリティソフトをよろしければご覧ください。
≫ マルウェアの脅威からデバイスを守る!おすすめセキュリティソフト3選 - 利用しているサービスのHPをブックマーク
何かあった時にすぐに利用しているサービス企業のホームページなどを確認できるようにブックマークをしておきましょう。
以下のリンクはフィッシングメール詐称に多く使われる企業になります。
利用されている企業がある方はリンクからブックマーク登録をしておきましょう。
Amazon メルカリ 楽天 paypay NTT docomo KDDI au ETC利用紹介サービス
パソコン、スマートフォンのセキュリティ対策をしっかりしておこう
1 ウイルス感染をスキャン!ウイルス侵入をブロック!
デバイスのソフトウェア・アップデートをして常に最新版にしておくことと、ウイルス感染の脅威からデバイスを保護するのに欠かせないものはセキュリティソフトです、この両方を常に最新版にしておくことでウイルス感染防止に繋がります。個人で使用しているデバイスを単体から複数台まで総合的に保護可能で、カード情報などを抜き取ろうとするフィッシング詐欺などの脅威からも安全に保護できます。もちろん多様化するウィルス侵入も防いでくれます。(対応OSについては各動作環境をご参照ください)
マルウェアの脅威からデバイスを守る!おすすめセキュリティソフト3選
セキュリティソフトを購入検討中の方に最もポピュラーなセキュリティソフトの中からおすすめの3本を紹介します。
【セキュリティ対策】2ファクタ認証を設定してアカウントをより安全に保護しよう!
2ファクタ認証のとは – 2ファクタ認証の必要性と設定方法
詐欺被害に遭ってしまったら
もしも重要な情報を送信してしまった場合は慌てずに、各サービス企業へ連絡をして、伝えてしまった情報(パスワードやID)などの変更手続きなどをしましょう。
携帯電話キャリアサービス情報やコンテンツ登録情報を送信してしまった場合
金融機関情報を送信してしまった場合
該当の金融機関を確認して連絡しましょう。
問い合わせ先がわからない方は下記リンクより検索して連絡しましょう。
≫ 一般社団法人 全国銀行協会
届出と通報・相談
金銭的なトラブルや被害がある場合
≫ 消費者ホットライン(独立行政法人国民生活センター)
お住いの都道府県を確認して連絡しましょう。
≫ 警視庁サイバー犯罪対策プロジェクト「フィッシング110」
クレジットカード情報を送信してしまった場合
該当のカード発行会社を確認して停止の連絡をしましょう。
紛失・盗難時「電話番号一覧」
緊急で連絡先がわからない方は電話番号一覧からお探しください。
各クレジットカード会社「紛失・盗難」Webサイトを記載しております。
カード発行元・曜日・時間帯を確認の上でお問い合わせ下さい。
おわりに
フィッシング詐欺の被害はここ数年で3倍以上に急激に増加しており、フィッシング詐欺の最盛期といっていいほど横行しています。
フィッシング詐欺の手口や内容も日々変化し巧妙化しております。
交通事故と同じようにいつ事故に巻き込まれるかはわかりません、私自身も被害者になりうるかもしれません。
他人事ではなく、いつ何時、誰しもが被害者になるかもしれないということです。
警視庁調べでは詐欺被害者の9割が「自分は大丈夫と思っていた」との調査結果もあります。
おわりに詐欺被害に遭わない為の最も初歩的な事でありながら、最も効果的な心得を紹介します。
詐欺被害に遭わないための2つの心得
- 情報
今どのような詐欺の種類と手口があるのかを知り、頭の片隅に入れておく
詐欺に遭遇した時に「ちょっと待てよ」と立ち止まることが出来れば被害に遭う可能性は大きく下がります。 - 知識
正しい対処法を知り、被害を未然に防ぐ
詐欺の被害に遭ってしまった際に最も重要なのは「時間」です。
時間が経過すればするほど、解決の道や手がかりは失われていき、取返しのつかない状況になっていきます。
被害に遭った時に、慌てずに正しい“対処”“対応”をすぐにできるようにしておくことが大切です。
情報、知識は財産であり、財産を守ります。
警視庁発表で近年の平均詐欺被害総額は年/約340億円に上ります。
これは年/365日で単純にわり算すると、一日で約9千万円を詐欺へ支払っていることになるので驚きです。
皆様も詐欺の被害に遭わない様、気を付けましょう。
≫ 詐欺注意【ハッカーに追跡されています! 】ご使用のiPhoneの接続がハッキングされ、誰かに追跡?
■AppleIDの情報入力送信に注意!フィッシング詐欺メールの解説と対策
≫ 詐欺SMS お荷物の確認は日本郵便サイトにてご確認ください。http://….org 不在通知
■巧みに誘導しマルウェア攻撃するフィッシング詐欺
≫ 対処法【画面表示の消し方】 何度もポップアップが出てきてスマホの操作・発信キャンセルできない
■auになりすますフィッシング詐欺SMSに注意!
≫ 詐欺速報【auからの重要なお知らせ ご利用金額が設定した金額を超えました】SMSが横行中!
■架空請求詐欺!迷惑メール記載の折り返し電話番号へ連絡に注意!
≫ 電話してしまった NTTファイナンスサポートセンター ご利用料金のお支払い確認SMS
セキュリティ対策 なりすましメール フィッシングメール フィッシングメール対策 フィッシング詐欺