フィッシング詐欺は、サイバー犯罪の中でも最も急速に進化し、拡大している脅威の一つです。
近年の傾向と統計を見ると、その深刻さは明らかで2023年の報告によるとCOVID-19パンデミック以降、在宅勤務の増加に伴い、個人や企業を標的としたフィッシング攻撃が急増しています。
また我が国ではSMSを利用した攻撃、QRコードを使用した新たな手法の出現など日本特有の傾向も見受けられます。
本記事ではフィッシング詐欺の被害を受けないために、フィッシング詐欺の見分け方とあなたを守る7つのポイントを紹介します。
日本のフィッシング詐欺被害と傾向
フィッシング対策協議会が、フィッシングの被害状況、攻撃技術・手法などを取りまとめたレポートを公開しています。
2024年発表の掲載内容によると、2023年上半期はランサムウェア被害の件数が高水準で推移。2023年は前年より、ECサイト大手やクレジットカード会社、マイナポイント事務局など公共サービス、交通系サービスのなりすましが増加しているとのこと。
弊サイトでも上記内容のメールの投稿は多数見られているので現実味がある。
また、警視庁・総務省・経済産業省の発表 * によると識別符号窃用型不正アクセス行為(ID窃盗による不正アクセス)は前年と同程度。手口別によると、識別符号を知り得る立場にあった元従業員や知人等による不正アクセスが増加した結果となっている。
フィッシング報告件数は前年と比べ約1.23倍。年間で100万件以上の報告件数があるという。
フィッシングで使用された手法としては、「QRコード」を使用したり、正規サービスのリダイレクト(転送)機能の悪用、ランダムな文字列などを生成するなど複雑なURLから誘導するなどの手法があった。
また、警察庁による発表によると不正送金の被害額は約80.1億円と過去最多となったそうです。
フィッシング詐欺からあなたを守る7つのポイント
フィッシングメールの特徴
フィッシングメールは実在する企業名や団体名を名乗り、利用者をフィッシングサイトに誘導します。以下、代表的な特徴を紹介しますので、受信したメールが1つでも当てはまっているようでしたら注意しましょう。
不自然な差出人アドレス
こちらは実際に受信したメールですが「ヤマト運輸」を偽装しています。スマートフォンの受信画面の場合、本物か偽物か判断しにくいです。
詳細を展開すると、明らかにヤマト運輸ではないメールアドレスが表示されます。このように送信元の名前やメールアドレスは偽装可能なため注意する必要があります。
このほか、ランダムな文字列と思われるメールアドレスや、実在する他者のメールアドレス、もしくは自分(受信者)のメールアドレスを偽装したであろう、送信元アドレスで送られてくることもあります。
緊急性を煽る文面
フィッシングメールは、受信者に迅速な行動を取らせて、冷静な判断を妨げる目的を果たすため「緊急性を煽る文面」が多いです。
典型的な手法として以下のような内容があります。
- 時間限定の特別オファー
- 未払いの料金があります。今すぐお支払い頂かないと法的措置が取られます
- あなたのアカウントに不審なログインがありました
- 特別割引は本日23:59までです
- あなただけが未確認です。至急ご確認ください
特徴としては「時間制限が設定されている」「金銭的な損失」「セキュリティ上の脅威」「機会の損失」「社会的なプレッシャー」などがあります。
以下は、Amazonに偽装したフィッシングメールの一部です。
■メールの件名
【緊急】Amazon注文を出荷できません
■メールの本文
Amazon お客様
この度はAmazonをご利用いただき、誠にありがとうございます。
お客様の注文の支払い方法に問題が発生しており、現在注文を出荷できない状況になっています。
問題が解決されるまで、ご注文を出荷することができませんので、ご迷惑をおかけして申し訳ございません。
お客様のAmazonアカウントで登録されている支払い方法について、以下の点を確認してください。
·信用カードが有効期限切れになっていないか
·信用カードの利用限度額に余裕があるか
·最近、支払い方法を変更した場合には、変更が正しく登録されているか上記を確認し、必要な修正がある場合は、以下の手順に従ってアカウント情報を更新してください。
Amazonや楽天、LINEといった利用者の多いECサイトやサービスを提供している企業を偽装していることが多いので、クリックを促す内容のメールを受信した場合は、メールからクリックをせずにアプリや検索から確認してみるようにしましょう。
不自然な日本語とスペル間違い
フィッシングメールや誘導先のフィッシングサイトでは、しばしば不自然な日本語表現やスペルミスが見られます。
これらは、日本以外の言語圏の人による文章の作成や機械翻訳の使用、あるいは急いで作成されたことが原因である可能性が高いです。
以下、不自然なメールの文言例です。
誤「アカウントの安全性を確認するのため」
正「アカウントの安全性を確認するため」
誤「緊急に確認してあげてください」
正「至急確認してください」
誤「お客様、各位」
正「お客様各位」
現状は、よく読めばおかしいと判断できますが、昨今のAI技術の発展により、日本語の品質が向上しています。
そのため、文章の不自然さだけで判断するのではなく、総合的に判断することが重要です。
リンクとURLの注意
フィッシング詐欺を見分ける方法の1つとしてリンク先のURLを確認することは簡単かつ効果的です。
PCブラウザ・メーラー
PCでリンク先のURLを確認する場合は、リンク先のURLやボタンの上にマウスカーソルを持っていきます(クリックはしない)。
ブラウザウィンドウの左下に表示されるURLが信頼できるアドレスか確認します。
モバイルデバイス
リンク先のURLやボタンを長押しすると、ポップアップ(プレビュー)やメニューにURLが表示されるので、そのURLが信頼できるアドレスか確認します。
添付ファイルの危険性
メールの添付ファイルは、サイバー攻撃の重要な経路となっています。以下の種類の添付ファイルには注意してください。
■実行ファイル・・・直接プログラムを実行するため、とても危険です
.exe .com .scr .bat
■スクリプトファイル・・・システムコマンドを実行する可能性があります
.js .vbs .psl
■マクロ付きオフィスドキュメント・・・マクロを通じて悪意のあるコードを実行する可能性があります
.doc .xls .ppt
■PDFファイル・・・一見問題ないように見えますが、悪意のあるスクリプトを含む可能性があります
.pdf
■圧縮ファイル・・・危険なファイルが入っている可能性があります
.zip .rar
■二重拡張子ファイル・・・実際の拡張子を隠そうとしている可能性があります
.document.pdf.exe
これらの添付ファイルを介したマルウェア感染は、個人情報や機密情報が盗まれる「データ漏えい」、攻撃者がコンピューターを遠隔操作し「システム制御の喪失」、ファイルが暗号化され、身代金を要求される「ランサムウェア攻撃」ほか、多くのリスクが潜んでいます。
やむを得ない理由で添付ファイルを開く必要がある場合は、以下の内容を確認して安全に取り扱うようにしましょう。
- 送信元の確認
- 拡張子の確認・・・二重拡張子ほか不自然な点がないか確認
- ウイルススキャンの実行・・・最新のウイルス対策ソフトでスキャンする
- マクロの無効化・・・オフィスソフトのマクロを規定で無効にする
個人情報の要求に対する警戒
金銭を要求するフィッシングメール(詐欺)もありますが、多くは、ユーザーの個人情報を不正に入手することを目的としています。実在する企業や団体を装い個人情報を要求することで、重要な個人情報を騙し取ろうとします。
警戒すべき個人情報には以下のものが挙げられます。
■認証情報
・ユーザーID
・パスワード
・PINコード
・セキュリティの質問と回答
■金融情報
・クレジットカードの番号
・銀行口座の番号
・暗証番号
■個人識別情報
・マイナンバー
・運転免許証番号
・パスポート番号
■連絡先情報
・住所
・電話番号
・メールアドレス
■その他
・勤務先情報
・健康保険情報
・家族構成
正規の企業は「パスワード」や「セキュリティコード」「暗証番号」「マイナンバー(全桁)」「秘密の質問に対する回答」といった内容を要求することはありません。
もし要求されている場合は、詐欺の可能性が非常に高いため対処できない場合は、警察や消費者ホットラインなどに相談しましょう。
フィッシングサイトの見分け方
URLは「プロトコル(https://)」「ドメイン名(example.com)」「パス(/login〜)」という構造です。
https://www.example.com/login └┬┘ └─┬────┘└┬┘ プロトコル ドメイン名 パス
フィッシングメールでは紛らわしいドメインの綴りが多く見られます。
- 正規: www.amazon.co.jp
- 偽装: www.amaz0n.co.jp
- 偽装: www.amazon-japan.com
サブドメインが紛らわしいパターンも注意する必要があります。
- 正規: login.amazon.co.jp
- 偽装: amazon.secure-login.net
トップレベルドメイン(TLD)が紛らわしいパターンもあります。
- 正規: .co.jp や.com
- 偽装: .co.jp.net や .com.xx
フィッシング詐欺にあったと思われる場合の対処方法
パスワード変更
フィッシング詐欺にあった可能性がある場合は、該当のアカウントのパスワードを変更します。
同じパスワードを複数のサービスで使っている場合は、すべてのサービスのパスワードも変更することが重要です。
サービスごとに異なる強固なパスワードを設定し、二段階認証を有効にすることで、さらなる被害を防ぐことが可能になります。
金融機関への連絡
クレジットカードや銀行口座など金融機関の情報をフィッシング詐欺サイトに入力してしまった場合は、すぐに金融機関に連絡し、不正使用の確認を依頼します。
カードや口座の利用を一時的に停止や、再発行の依頼など状況に応じて対応します。迅速な対応をすることで被害を最小限に留めることができます。
関係機関への報告
フィッシング詐欺に遭ったことが疑われる場合は、警察や消費者センターなど関係期間に報告することで二次被害を防ぎます。
抑えておきたい自己対策
フィッシング詐欺から身を守るためには、以下のポイントを抑えておくが重要と言えます。
- 差出人のアドレスがおかしくないか確認
- 冷静な判断を心がける
- 不審なリンクは絶対にクリックしない
- 個人情報の入力は慎重に
- 二段階認証など、利用可能なセキュリティ機能は活用する
冷静な判断を心がける
フィッシングメールの特長として「緊急性を煽る」とお伝えしてきましたが、慌てず冷静な判断で行動することで、被害を防ぐことができます。
あなたに「だけ」、今「だけ」といった、うまい話はありません。一息ついて、検索エンジンやSNSで情報収集してみましょう。
フィッシングメールは大量に何度も同じ内容で送信されていることが多いので、調べてみると同じ内容を確認することができます。当サイトでチェックすることもオススメします。
不審なリンクはアクセスしない
メールの場合「差出人アドレス」、Webサイトの場合「URL」がおかしくないか、正規のサイトかどうか警戒します。
メールから直接リンクをクリックはせず、検索経由や正規のアプリから、よく利用するサイトはブックマークしておき、ブックマークからアクセスすることで偽サイトへの誘導を回避できます。
個人情報の入力は慎重に
氏名や住所といった個人情報を入力した場合、すぐに直接的な被害は起きないかもしれませんが、個人情報を業者に販売されるなど、あとから被害が発生する可能性があります。
よくわからないサイトで個人情報を求められた場合は、本当に必要なのか慎重に考えてみましょう。
セキュリティ機能の活用
「パスワードを複雑にすることは大事なことではない」と多くの専門家が指摘しているそうです。もちろん「password」「aaaa」といったシンプルすぎるパスワードは論外ではありますが、パスワードの使い回しはせずに、サービスごとにユニークなパスワードを設定することは大事です。
また、パスワード入力後にSMSでセキュリティコードの入力を求める2段階認証が利用可能であれば、設定することを強くオススメします。
二段階認証を有効にしておくことで、パスワードが盗まれたとしても、攻撃者が不正ログインすることができないからです。
まとめ
本記事ではフィッシング詐欺の被害を受けないために、フィッシング詐欺の見分け方とあなたを守る7つのポイントを紹介しました。
繰り返しになりますが、フィッシング詐欺から身を守るためには、以下のポイントを抑えておくが重要です。
- 差出人のアドレスがおかしくないか確認
- 冷静な判断を心がける
- 不審なリンクは絶対にクリックしない
- 個人情報の入力は慎重に
- 二段階認証など、利用可能なセキュリティ機能は活用する
緊急性を煽るメールには、「焦らず」「冷静に」まず、情報収集することと、「うまい話はない」ということを肝に銘じておくことが大事です。
しかし、攻撃者は次から次へと新しい手口で私達の個人情報や金銭を盗み取ろうとします。現段階の常識が明日には覆る可能性も必ずありますので、「私は大丈夫」と慢心せずに、常に警戒することを心がけましょう。
コメント