フィッシング被害に遇ったら?フィッシング被害を防ぐ確実な方法とは
更新日/
フィッシングとは、実在する金融機関や企業などを装った偽の電子メール(フィッシングメール)や不正なWEBサイト(フィッシングサイト)へ誘導し
ユーザーからクレジットカード番号、ユーザID、パスワードといった重要な個人情報を盗み出すために行われる詐欺行為、サイバー犯罪です。
フィッシングの手口とその対処法は、架空・不正請求や、マルウエア感染などと多くの部分で共通しています。
時代で変わるフィッシング
フィッシング詐欺は登場当初から、銀行やクレジットカードなどの金融機関に関する認証情報の詐取を狙うものが中心でしたが、現在では様々なWEBサービスの認証情報が詐取の対象となっています。
Amazon等のネットショッピング、AppleやGoogleのようなマルチサービスアカウントなど、個人情報が集約されるサービスの認証情報が狙われています。
あなたも利用しているWEBサイトへのログイン時にこのような案内を目にしていると思います。
「Facebookのアカウントでログインする」
「Googleのアカウントでログインする」
「twitterのアカウントでログインする」
こちらはInstagramのログイン画面の画像です。こんな風にFacebookアカウントでログインできるようになっています。
・Instagramログイン画面
ということは、例えばFacebookのIDとパスワードを詐欺師が手に入れれば、詐欺師は色んなWEBサイトへログインできてしまいます。
ネットでの便利なサービスはどんどん増え、大概のことはスマホ1台で済んでしまうようになりました。
便利なサービスに潜む危険性と言えば良いでしょうか。
スマホの普及で「Apple ID」を狙うフィッシングメールが一気に増えたことがそれを示してもいるでしょう。
フィッシングメールはパソコンのメールBOXに送られてくるものでしたが、こちらも同様にスマホへ送られることが珍しくなくなりました。
また、フィッシング詐欺の手段としてSMSが利用されてしまう事例が増えているのも、時代の変化と言えるでしょう。
フィッシングの手口
フィッシングを行う側からすれば、本物そっくりに作られたフィッシングサイトへ極力不自然に感じさせないようユーザーを誘導できるかが鍵となります。
誘導出来てはじめて、IDやパスワードを入力させることができます。
その為に、誰もがアカウントを持っていそうなメジャーなWEBサイトを装うことが多くなるのは必然的だといえます。
メールから誘導
まずは送ったメールを開封させなければ意味がありませんから、迷惑メールと思われないようなメジャーなWEBサイトのを装うメールを送ることでメールを開封させます。
次にそのメールの中身に興味を持ってもらわなければならないので、「あなたのアカウント大変なことになっている」と緊急性を訴える内容になるのです。
こちらは私自身が実際に受信した、フィッシング目的の迷惑メールを記事にしてアップしたものをスクショした画像です。
緊急性を訴える内容になっていて、フィッシング目的の迷惑メールはこういったものがほとんどではないでしょうか。
SMSから誘導
ショートメール、ショートメッセージサービスは、携帯電話の番号がわかればメッセージを送受信できるのはご存知でしょう。
以前ならメールの文字数が大幅に増え、デコメを送ったりとメールの機能が増えるにつれ、SMSの出番はすっかり減っていました。
メールの次は、lineなどのコミュニケーションツールが増え、益々SMSの出番なし。
更に電話番号がわかればSMSを送受信できることで、悪徳業者が架空・不正請求メッセージを送って来るといったこともあり「SMSを使わないならSMS自体予め拒否してしまおう」といったことが普通でした。
東日本大震災が転換期になり、災害に強い回線交換ネットワークとして、異なるキャリア間でもSMSの送受信が可能に。
また、探したい人の名前をGoogleが指定した番号に送ると登録された情報を確認できる「パーソンファインダー」という安否情報サービスが開始されました。
ネットバンク等の認証や新しく何かのアカウントを作る際も、ワンタイムパスワードの発行にSMSが使われるようになりました。
これを詐欺師が利用しないはずもなく、フィッシング詐欺の手段としてSMSが利用されてしまう事例が増えています。
SNSで拡散・誘導
登録はしたものの、殆どアクセスしていないSNSアカウントは乗っ取りに狙われやすいので注意しましょう。
・アカウント乗っ取り
詐欺師が他のユーザーのアカウントを乗っ取り、乗っ取られたユーザーが投稿したかのような形でフィッシング詐欺のサイトに誘導するといった、手の込んだことをします。
乗っ取られたアカウントは、スパムツイートやフォロワーへのスパムDMの送信をしますので、フォロワーが多いと一気に拡散するかもしれません。
フィッシングサイトはその存在が発覚するまでが勝負、僅かな時間でフィッシングサイトへのアクセスをブロックされても、既にまき散らされている可能性があるでしょう。
スパムDMを受信した側は繋がってる相手からのDMだと思うので、特に不審に思わずメールを開いてしまいます。
油断させやすく拡散もするので、詐欺師にとってSNSは正に良い釣り道具のひとつと言えます。
・「いいね」でフィッシング
例えばFacebookに可愛い仔猫の画像を投稿し、それに「いいね」すると、Facebookのログイン情報を求める偽ページが表示されるといった仕組みです。
「いいね」や「シェア」で容易に拡散が出来ます。
本物そっくりの偽サイトへ
フィッシング詐欺の最終目的は迷惑メールを送ることではなく、個人情報を盗むことです。
デザインやレイアウトはコピーで全く同じ偽サイトを作り待ち構えています。
何らかの情報を入力するページはフィッシングサイトですが、そこから貼られたリンクは本物に繋がり、偽物だと気付きにくい工夫がなされています。
例えば、こちらの画像は私自身が実際に受信したフィッシング目的の迷惑メールのURLにアクセスした時のものです。
ドコモのログイン画面ですが、本物と全く同じでした。
実際に、フィッシング詐欺に遇った多くの人が「自分が被害に遇って初めて気付く」ということからも、いかに自然に偽サイトへ誘導しているのかを示していますし
偽のWEBサイトが本物そっくりで、偽物と気付かないことも示しているでしょう。
フィッシングアプリ
アプリ自体が始めから個人情報を盗む為に作られていますから、インストールして連絡先情報へのアクセスを許可してしまうと「どうぞ盗んでください」状態になります。
日本人の場合、個人情報、個人情報とうるさい割には、自己防衛意識が低いという一面を見せたデータがあります。
2015年に書かれた記事ですが、今も実態はさほど変わっていないと私は思っています。
・情報漏えいを懸念する一方で、無料アプリを使うために連絡先情報を渡す日本人スマホユーザーの傾向が浮き彫りに
電話を利用する
ボイスフィッシングと呼ばれているようですね。
電話番号はランダムな数字の羅列に過ぎず、あなたに電話を掛ける場合、そこにパスワードは不要です。
フィッシングというと「ネットで」を想像しがちですが、電話番号はもっともシンプルで、直接対話することで詐欺師も心理的圧力をかけやすくなります。
・電話がかかってくる
警察や銀行員を名乗り「不審な取引がありました、確認の為にID・パスワード、口座番号をお願いします」と直接聞き出す手口。
・FAXが届く
FAXもまたランダムな数字の羅列です。
所定の用紙に必要事項を記入してFAXで送信してほしいと指示する内容のものや、サポートに電話するように指示し、個人情報を盗み取るものです。
・偽のWEBサイトに誘導しない
メールやFAXで、「このままではアカウント凍結の可能性があります」と脅し文句を使い、「こちらの番号へ」と電話をかけさせるという手口もあります。
その番号に電話をかけると自動応答のメッセージが流れ、電話の番号ボタンを使ってクレジットカードや口座番号等の情報を入力させようとします。
何故騙されるのか
これはフィッシング詐欺に限ったことではありません。
「詐欺師は人の心理をよく解っている」結局これに尽きると思います。
不自然に感じさせない
フィッシングは、誰もがアカウントを持っていそうなメジャーなWEBサイトを装うことが多く、そこには「信用」というものが付いています。
ユーザーからしてみれば「悪意ある第三者」のはずがありません。
これはSNSでアカウント乗っ取り、フォロワーへスパムDMを送った場合も同じことがいえます。
まず、送った側がまさかアカウントを乗っ取られていたなんて思いもしない人が圧倒的に多く、普通のことだと思います。
メッセージのやり取りが増える程、相手を信用するようになるでしょう。
また、元々フォロワーが多い相手なら、大してメッセージのやり取りがなくても信じてしまう。
更に誘導されたフィッシングサイトは、そのサービスを利用するユーザーにとって「見慣れた」ページです。
いつも利用しているサービスからメールが届き、いつも利用しているサービスのページへアクセスすることに不自然さは有りません。
また、偽のWEBサイトは本物のページとはほとんど見分けがつきません。
更に、大半の偽サイトは信頼できそうなドメイン名を使用しており、本物の証明書を使ったHTTPS接続が採用されていることすらあります。
言葉での支配
詐欺師の常套手段のひとつが、ユーザーにプレッシャーを与えて判断力を鈍らせることです。
こちらは私が実際に受信したフィッシングメールの内容です。
・セゾンNetアンサー(偽物)からのフィッシングメール
《セゾン》Netアンサーご登録確認
いつもセゾンNetアンサーをご利用いただき、ありがとうございます。
この度、セゾンNetアンサーに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
・偽ドコモより重要なお知らせ
<株式会社NTTドコモより重要なお知らせ>
※このメールはNTTドコモをご利用いただく際の重要な情報を記載しております
ので大切に保存いただきますようお願いいたします。
※このメールは、ご登録のメールアドレス宛に自動的に送信されています。
日頃はNTTドコモをご利用いただき、まことにありがとうございます。
この度、お客様のキャリア決済がApple IDに不正利用され、
お客様のご契約内容がNTTドコモまとめて支払いに変更された可能性がございます、
セキュリティ保護や今後の対策と致しまして、下記のURLよりNTTドコモホームページにログインし、
iTunes と App Store から送られてくるセキュリティコードを入力し、
お客様の契約内容を確認の上、支払い解除をお願いいたします。
・偽のbitFlyerからフィッシングメール
bitFlyerをご利用いた だきありがとうございますが、アカウント管理チームは最近bitFlyerの異常な操作を検出いたしました。
盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
次のアドレスでアカウントのブロックを解除することができます。
上記の偽ドコモの例を取ると「第三者によるアクセスを確認いたしました」だけにとどまらず
「お客様のキャリア決済がApple IDに不正利用され、お客様のご契約内容がNTTドコモまとめて支払いに変更された可能性がございます」
「第三者によるアクセス」「不正利用」「契約内容が変更された可能性」と、「大変な事になっているけど、このままでいいの?ダメだよね?!」とフィッシングメールを受信した人を言葉で支配しようとします。
言葉による支配でわかり易いのがオレオレ詐欺ですよね、何人もの人物が「大変だ大変だ」と、1対複数で畳み掛け丸め込み判断力を奪います。
被害に遇ってしまったら
フィッシングに遇ってしまった場合に想定される被害です。
- ・クレジットカードの不正利用
- ・銀行口座からの不正な出金
- ・ウェブマネーの不正利用
- ・SNSやゲームの課金
- ・SNSサイトへの不正なログイン、改変
- ・オークションで不正出品にIDを悪用
- ・WEBメールでのなりすまし
- ・悪徳業者のリストに登録
万一の場合の対処法
フィッシング詐欺被害の多くは、銀行口座の残高やカードの支払請求が来た時点でようやく気づくといったケースがほとんどです。
不審な点に気付いたら即行動、でも落ち着いて行動しましょう。
銀行口座
被害に遇った口座を作った銀行のサポートに連絡を取り、相談し対応を求めましょう。
インターネットバンキングは、ネットから即時カード利用停止が可能な場合が多いです。
問合せ先がわからない場合はネット検索すればOK。
また、銀行が近い、営業時間内なら直接窓口に行って相談しても良いでしょう。
クレジットカード
ほとんどのクレジット会社では、365日24時間対応で電話受付等を実施しているので、すぐに連絡して利用停止手続きを行います。
またこの時に再発行手続きも可能です。
・補償はあるのか
紛失保険・盗難保険は、特別な手続きは不要でクレジットカードが発行された時点で、保険は自動的に付帯されています。
補償の為の手続きは必要で、補償の対象になる・ならないの条件があり、カードにより違いがありますから注意が必要です。
補償の為の条件は、契約中のカードの利用規約を確認する、ネットで検索するなどして「ご自分で」確認しましょう。
カードを作る際に、規約その他、あなたは確認していますか?。
カードを何枚、何種類持っているか把握していますか?。
アカウントの乗っ取り
・ゲームの課金
特に課金のあるゲームサイトなら、直ぐにでも乗っ取りをやめさせたいところですが、メーカーによって大きく対応が違うようですね。
課金して買った所持ポイントが盗まれた場合であっても、継続課金されているにしても、乗っ取られたと証明できるかどうか。
ゲーム会社が調査してくれるかどうか、警察が詐欺事件として捜査してくれるかどうかといったところでしょうか。
・SNSアカウント
乗っ取られたと気付いたら、直ぐにパスワードの変更をしましょう。
変更可能な場合は、変更後に自分が投稿していないものを削除するなどして、乗っ取り前の状態にもどしましょう。
乗っ取り犯に既にパスワードを変更されてしまった場合は、各サイトのサポートへ。
全てのパスワードを変更
パスワードをフィッシングページで入力してしまった程度で、現時点で特に被害があると感じない場合でも、利用している全てのサービスのパスワードの変更、メールアドレスも可能なら変更した方が良いです。
個人情報は悪徳業者の間で売買されますので、変更が不可能か変更されていないものに対して、不正請求など詐欺目的の何かが届く可能性があります。
架空・不正請求の郵便物や、決して利用してはいけない副業を案内する郵便物が届く、DMが増える、同様の電話がかかってくる、メールが送られてくる
といったことが起こる可能性が高いので、被害に遇った後も引き続き注意を怠らないでください。
被害を防ぐ確実な方法
フィッシング被害を防ぐには、フィッシングの可能性がないか疑うことです。
その為にはフィッシング自体がどにようなものか知り、自己防衛することが大切です。
フィッシングかどうかの判断の仕方
まず、そのサービスをあなたが登録・利用しているかどうかです。
登録していないのなら迷惑メール、迷惑電話に過ぎませんから、フィッシング云々以前の問題です。
・アカウントがある場合
該当サービスに登録・利用している、アカウントを持っている場合、登録時のメールアドレスにメールが届いたかどうかです。
登録時のメールアドレスではないメアドに届いたなら迷惑メールに過ぎません。
一番厄介なのはアカウントを持っていて、登録時のメールアドレスにメールが届いた場合でしょう。
自分が利用しているサービスと同じ名前だと、疑わずにメールを開き、URLにアクセスしてしまいがちです。
フィッシング被害を防ぐ最も確実な方法は「あなたがアクセスしているWEBサイトのURLを確認すること」です。
パソコンなら上部に常に表示されますからわかりやすいですが、スマホ等携帯電話からだとおそらくどの機種もURLを表示させなけれならないと思います。
・正規URLかどうか
アドレスバーに表示されるURLを確認しましょう。
メールのURLとフィッシングサイトのURLは違います。
URLを偽装することは出来ますが、全く同じURLにすることは当然出来ません。
偽のbitFlyerからフィッシングメールを例にしてみましょう。
bitFlyerの正規URL
https://bitflyer.com/ja-jp/login
フィッシングサイトのURL
https://bitflyer.jp/ja-jp/login/wap/index.asp
・暗号化された画面か
個人情報の入力画面がSSLで暗号化された画面であるかどうかを確認します。
SSLで暗号化された画面は、アドレスバーのURLが「https://~」となっていますので、アドレスバーのURLが「https://」から始まっているか。
中には、SSL証明書を持つフィッシングサイトもありますから、更にブラウザに「鍵アイコン」が表示されているかどうかも必ず確認しましょう。
トレンドマイクロによりますと二段階認証すら突破しようと、詐欺師は虎視眈々と狙っています。
本物からのメールなのか、フィッシング目的のメールなのか、尚のことしっかり見分けることが必要です。
・国内ネットバンキングの二要素認証を狙うフィッシングが激化より
銀行などネットバンキングの認証情報の詐取、中でも特にワンタイムパスワードなど二要素認証の突破から不正送金を狙うと推測される巧妙な手口による攻撃の激化、拡大が見られているため、本記事にて注意喚起といたします。
また、同記事には、更に気になる内容もありました。
8月以降に確認されたフィッシングサイトでは、JavaScriptやスタイルシート(CSS)の取得URLに「12345_files」や「yahulogin」などの特徴的な文字列を含むものを確認しています。
この特徴からは、サイバー犯罪者が特定のツールキットを使用してフィッシングサイトを構築していることが推測されます。
また正規の発行元による有効な証明書を使用したHTTPSサイトも多くなってきています。
このため、不審なサイトを見抜くための心がけとして以前に言われていたHTTPSかどうかの確認は、意味が薄くなってきています。
「サイバー犯罪者が特定のツールキットを使用してフィッシングサイトを構築している」というのは、そう感じていました。
「テンプレ」感のようなものといえばよいでしょうか、どうせツールがあって簡単にできちゃうんだろうなと。
SSLで暗号化された画面は、アドレスバーのURLが「https://~」から始まるので、見分け方の一つとされていましたが、必ずしも当てはまるわけではありません。
実際に私がリストアップする悪質サイトですら、生意気にも「https://~」から始まるものを見掛けるようになりました。
・メールの文面はおかしくないか
中には今回のように、メールの文面が既におかしい場合もあります。
「bitFlyerをご利用いた だきありがとうございますが」
文字間に変なスペースがあること、ありがとうございますがという日本語が変なこと。
これだけで「フィッシング目的か?」とわかります。
こちらの記事でもフィッシングメールに散々ツッコミ入れていますので、参考にされてください。
・偽ドコモより重要なお知らせ
・慎重に扱う情報
多くの企業は、慎重に扱う必要がある個人情報や認証情報を安易に顧客に要求することはありません。
銀行やクレジットカード会社がメールや電話で、口座番号やクレジット番号、IDやパスワードを確認することはありません。
怪しいけど自分で判断ができないなら、サポートに直接問い合わせてみるのが近道です。 ただし、送られてきたメールに記載されている問い合わせ先からは絶対にやめましょう。
問い合わせをしたいなら正規の問い合わせ先でなければ意味がありません。
あなた自身のアカウントからログインしてインフォメーション等を探しましょう。
・違和感は正解
フィッシング目的だけでなく、迷惑メールやネットは詐欺師たちが跳梁跋扈(ちょうりょうばっこ)出来るとても便利なツールです。
「ん?変だな?」「えっ?!何?」と、ほんの少しでも違和感を覚えたら、それは正解。
おかしい・・・何か変だと感じているならそれが正解、大正解なんです、その先に進むのはやめましょう。
・【詐欺の予兆】えっなんで?!おかしいなともし感じたら【検索しよう】
自己防衛で対策を
詐欺に遇わない為には、自己防衛で対策をするしかありません。
- メールの管理
- ・身に覚えのないメールや添付ファイルは開かない
- ・メールはテキスト形式で受信する
- ・送受信するアドレスの整理を心掛ける
- ・メールのURLからアクセスしない
- ネットでの行動
- ・安易にサイトに登録しない
- ・安易に個人情報を入力、記入しない
- ・安易に個人情報を他人に教えない
- ・ファイルやアプリを無闇にダウンロードしない
- ・不審なWEBサイトは訪問しない
- ・SNSに貼られたリンクを踏まない
- ・利用していないアカウントの解約/退会
- お金の管理
- ・クレカの枚数や種類の把握
- ・クレカの利用明細のチェック
- ・いつどこで何を買ったのかを把握
- ・お金に関する補償について知る
- ・使わないカードや口座は整理する
フィッシングについて詳しくなろう。
一口に詐欺といってもその種類や手口は様々ですから、自己防衛といっても難しく感じるかもしれません。
フィッシングについて詳しくなったとしたら、他の詐欺にもその知識は応用出来ます。
個人情報をばらまかない
詐欺師たちの最終目的はお金です。
最終目的のために、今回の場合ならフィッシングサイトへ誘導するメールを送りますが、そのためにはメアドの入手が必要ですよね。
メアドの入手のために、気軽に登録してしまうような無料サイトがネット上にばら撒かれ、悪徳業者の間で入手したメアドが回ります。
今ならLINEやインスタグラムで、一般人に成りすました悪徳業や詐欺師が待ち構えているでしょう。
SNSは個人情報を手に入れる為の恰好の手段、安易に個人情報を他人に教えないことも対策のひとつです。
何かに登録したり、誰かに教えたりしない限りメールアドレスが悪徳業者にわたることはありません。
またネットに限らず、あなたが個人情報を記入した全てのものに、その可能性があります。
個人情報が法律で保護されているとはいえ、横流しや売買をする人間はいくらでもいます。
個人情報は、常に自分がバラ撒いているようなものなので、それが絶対に保護されるとは限らないだけです。
(※電話番号の場合は、適当に数字を押しても繋がりますから流失したとは限りません)。
また、ウエブサイトではなく、何らかの不正なアプリを利用した場合は、個人情報を抜かれている可能性があります。
無料だからといって、安易にアプリを利用するのも要注意です。
最後にもう一度。あなたを守るのはあなた自身、他の誰でもありません。
そしてご家族、特に高齢者は詐欺被害者になりやすいので、おじいちゃんおばあちゃんも気を配ってください。