偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】
※当サイトはアフィリエイトプログラムを利用しています。
偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】
ある日突然届く、身に覚えのないメールやSMSのリンク。
うっかり開いてみたら、そこには本物そっくりのウェブサイトが表示されて、そのまま個人情報を入力しそうになったことはありませんか?
もしかしたら、それはあなたの大切な個人情報を狙うフィッシング詐欺かもしれませんよ。
「まさか私が騙されるなんて」と思いがちですが、最近の詐欺は実に巧妙。
だからこそ、私たち自身が賢くなって、その手口を見破る必要があります。
この記事では、そんなずる賢い偽サイトに騙されないために、誰でも実践できる7つの見分け方を具体的に、そして分かりやすく解説していきますね。
あなたのデジタルライフをしっかり守るためにも、ぜひ読んでみてください!
①URLを隅々まで確認する
正規サイトのURLと一字一句違わないか、注意深く確認することが重要です。
1. スペルミスやタイプミス
正規のURLと似ていても、わずかなスペルミスやタイプミスがあります。
例: www.example.com → www.example.com、www.example1.com など
2. 余計な文字列
正規のURLにない、覚えのない文字列や記号が含まれていることがあります。
例: www.example.com → www.secure-login-example.com、www.login.example.verify.ru など
3. ハイフンやアンダースコアの悪用
正規サイト名に使われていないハイフンやアンダースコアがURLに含まれていることがあります。
例: www.rakuten.co.jp → www.raku-ten.co.jp、www.amazon.co.jp → www.ama_zon.co.jp など
4. 見慣れないトップレベルドメイン
正規サイトが使用しない、見慣れないトップレベルドメイン(TLD)が使われていることがあります。
例: 正規サイトが .co.jp → 偽サイトが .com、.xyz など
5. サブドメインの悪用
正規サイトとは異なるサブドメインが悪用されていることがあります。
例: www.bank.co.jp → login.bank.co.jp、security-center.bank.co.jp など
フィッシング詐欺のURLは本物と瓜二つなので、よく見ないと見抜けないかも。
常にURLの隅々まで確認し、少しでも「ん?」と不審な点があれば、安易にアクセスしないように心がけましょうね。
「URLを隅々まで確認する」はこちらに詳細にまとめています。
あなたの身を守るURLチェック術を様々な例から伝授
② 不自然な日本語やぎこちない表現がないか
「なんだかこの文章、変だな?」と感じたら、それはあなたの脳が送る危険を察知したサインです。
普段日本語で書かれている文章で違和感がある時は、単純な変換ミスや句読点が無いとか多いとかでしょ?
「不自然な日本語やぎこちない表現」というのは見かけない。
フィッシングサイトの多くは、日本語を母語としない人が作っていたり、安価な翻訳ソフトをそのまま使っていたりすることで不自然な表現が見られがちになるわけ。
でも最近はAIの進化で日本語も自然になってきていますから、あくまでチェックポイントの一つとして、他の点と合わせて確認するようにしましょう。
いまだに酷い日本語で実際にフィッシングメールが届いていますもん(笑)。
見分け方
明らかな誤字脱字
例えば、「情報」が「情砲」になっていたり、「ください」が「くだいさい」になっていたり。
句読点の使い方が変だったり、変なところで改行されていたりすることも。「ん?打ち間違いかな?」と思うような小さなミスも、見逃さないでくださいね。
不自然な言い回し
文章の主語と述語がちぐはぐだったり、敬語の使い方がやけに丁寧すぎたり、逆にぞんざいだったりすることも。「これは日本語としておかしいな」と感じたら要注意です。
まるで外国語を直訳したような表現(「~することは可能です。」なんていうのもそうですね)も、よくある手口なんですよ。
全体的にぎこちない文章
文章全体を読んでみて、なんだか話の流れが不自然だったり、同じ言葉が何度も繰り返されていたりすることも。
回りくどい言い方が多かったりするのも、「あれ?」って思っていいサインです。
もし、これらの特徴が一つでも見られたら、「ん?このサイト、もしかして…」と疑うべきです。
特に、複数の不自然な点が重なっているなら、フィッシング詐欺サイトである可能性が非常に高いですよ。
文章を読むときはちょっとだけ注意深く、「あれ、なんか変だな?」って少しでも違和感を覚えたら、絶対に個人情報は入力しないでくださいね。
大切なのは、立ち止まって考えることです。
③ SSLサーバー証明書(鍵マーク)の有無と詳細
多くのサイトでは、通信を暗号化するSSLサーバー証明書を使っています。
ウェブサイトのアドレスバーに表示される鍵マークが、その証なんです。
この部分ですね。
グーグル
マイクロソフト
SSLサーバー証明書とは?
SSL(Secure Sockets Layer)は、インターネット上でデータを安全にやり取りするための暗号化技術のこと。
SSLサーバー証明書は、ウェブサイトの運営者がこの暗号化技術を利用していることを証明するデジタル証明書です。
鍵マークの意味
ブラウザのアドレスバーに表示される鍵マークは、そのウェブサイトとの通信が暗号化されていることを示しています。
これは、あなたがサイトに入力した情報を、第三者に盗まれるリスクを大幅に減らす仕組みで、「安心して使ってくださいね。」というマーク。
URLがhttps://で始まります。
鍵マークがある場合の確認ポイント
鍵マークがあるからといって、100%安全とは限りません。
この頃は「http://」はずいぶん少なくなり、フィッシング詐欺サイトでも証明書を取得して「https://」で始まるものが増えてます。
鍵マークをクリックして、証明書の詳細も確認しましょう。
マイクロソフトブラウザだとこういった表示になっています。
鍵を展開した状態だとスクショできなかったので、スマホで撮影しました。
マイクロソフトの鍵を展開
マイクロソフトの鍵から「接続がセキュリティで保護されています」を展開
「接続は安全です」または同様の表示
ブラウザが安全な接続であることを示しています。
証明書の情報
発行者 (Issued to)
証明書がどのドメインに発行されたか。
アクセスしているサイトのドメイン名と一致しているか確認しましょう。
発行元 (Issued by)
証明書を発行した認証局の名前。
有名な認証局なら比較的信頼できます。
有効期間 (Valid from ... to ...)
証明書の有効期限が切れていないか確認してください。
もし警告が表示されたら
「この接続は完全に安全ではありません」などの警告が出ているサイトには、個人情報や大事な情報を絶対に入力しないでくださいね!
④ コピーされた連絡先・運営者情報に騙されない
フィッシング詐欺サイトは、見た目だけでなく、連絡先や運営者情報まで、本物のウェブサイトからそっくりそのままコピーして載せているケースが増えています。
これだと、「連絡先が載ってるから大丈夫だ!」とつい油断してしまいますよね。
でも、残念ながらこれらの情報は偽物。
実際に連絡を取ろうとしても、全然つながらなかったり、全く関係のない人や組織につながったりする可能性があります。
コピーされた情報を見抜くチェックポイント
電話番号
記載の電話番号に実際に電話をかけてみてください。
つながらない、関係ない人が出る、常に話し中などの場合は要注意。
メールアドレス
記載のメールアドレスに、試しにメールを送ってみましょう。
返信がない、不自然な返信が来る場合は怪しいです。
住所記載の住所を地図検索などで確認してください。
実在しない、関係ない建物が表示される場合はアウト。
会社名・団体名
インターネットで検索し、正規のウェブサイトがあるか、事業内容が一致するかを確認しましょう。
代表者名
記載の代表者名を検索し、正規の会社の代表者名と一致しない、情報が出てこない場合は要注意。
サイト全体との整合性
連絡先情報が本物に見えても、サイト全体のデザインが崩れていたり、日本語が不自然だったりする場合は、情報の信憑性を疑うべき。
サイト内の他のページへのアクセスができない、または偽のログインページに誘導されるだけ、というケースもあります。
情報が画像として掲載されている場合
テキストとしてコピーできないように、連絡先などが画像として載せられている場合は要警戒。
情報を画像で提供しているウエブサイトは私の経験上、詐欺のニオイしかしません(笑)。
最も重要なのは、「連絡先が記載されている」という事実だけで、安易に信用しないで。
常に疑いの目を持って、しっかりと本物であるかどうか確認する習慣をつけましょうね。
⑤ 緊急性を煽るような文言に注意
フィッシング詐欺犯は、私たちの焦りや不安を逆手にとって、個人情報を入力させようとします。
だから、「今すぐ対応しないと大変なことになる!」と思わせるような、時間的な制約や危機感を強調する言葉をよく使おうとします。
緊急性を煽る言葉の具体例と注意点
フィッシング詐欺を仕掛けてくる人たちは、私たちの焦りや不安につけこんで、まんまと個人情報を入力させようとします。
そのため「今すぐ何とかしないと大変なことになるよ!」って思わせるような、時間に追われる感じや危機感をあおる言葉をよく使うんです。
「急いで!」と焦らせる言葉
「今日中に対応」「今すぐアカウントを更新」みたいに、すごく短い期限を強調するものは、かなり怪しいです。
正規のサービスなら、普通はもう少し余裕を持たせてくれるはず。
「使えなくするぞ!」という脅し
「アカウントがロックされます」「サービスが停止されます」と言われると、ドキッとしますよね。
でも、正規のサービスは、いきなりそんなことせずに、何度かお知らせをくれるはずですから、落ち着いてくださいね。
「危ない!」と不安をあおる言葉
「不正アクセスの疑いがあります」「あなたのアカウントが危険な状態です」と言われると、不安になりますよね。
でも、本当に何か問題があるなら理由や状況を具体的に教えてくれるはずですよ。
「損するぞ!」というプレッシャー
「手続きが遅れると、損害が出ますよ」「法的なことになりますよ」と、お金や法律の話を持ち出して脅してくるものには注意が必要です。
まともなサービスが、こんなに強い言葉で私たちを追い詰めることはありませんからね。
「今だけ!」の誘い
「今だけの特別オファー!」「期間限定」なんていう甘い言葉は、個人情報を入力させるための口実になっていることがあります。
「限定」って聞くと焦っちゃいますが、まずはその情報が信頼できるところから来ているか、しっかり確認するようにしましょう。
なぜ「緊急性を煽る言葉」を詐欺師は使いたがるのでしょう?
人は非日常という状況に弱いからなんですね。
慣れていない状況には誰しも不安や恐怖を覚え、それが焦りにつながり冷静さを失っていく。
あなたを非日常へ誘う(いざなう)ために詐欺師が使う大好きな言葉なんです。
⑥ 身に覚えのないメールやSMSからの誘導に警戒
フィッシング詐欺で一番多い手口の一つが、あなたが全然知らない、または身に覚えのないメールやSMSを送りつけてきて、そこに書いてあるリンクをクリックさせて偽サイトへ誘導する、というものです。
警戒心が薄れた状態でリンクをクリックしてしまうと、ID・パスワード、クレジットカード情報、個人情報などを騙し取られてしまう可能性が。
身に覚えのないメールやSMSに潜む危険とパターン
宅配業者を装った「SMSフィッシング」については、こちらの記事で詳しく解説しています。
【SMSフィッシング】の脅威と対策あなたのスマホは大丈夫?
ここでは、よくあるパターンとその危険性を見ていきましょう。
偽のログインページ
銀行、クレジットカード会社、お買い物サイト、SNSなどのログイン画面そっくりなページを用意して、あなたのIDやパスワードを盗み取ろうとします。
偽の個人情報・クレジットカード情報入力フォーム
名前、住所、電話番号、さらにはクレジットカード情報まで入力させようとして、それらの情報を悪用しようとします。
マルウェア感染
悪質なリンクを踏ませて、ウイルスなどのマルウェアをあなたのスマホやパソコンに感染させ、個人情報を盗んだり、デバイスを勝手に操作したりするんです。
マルウェア対策についてはこちら。
【マルウェア対策】感染の兆候や感染予防まとめ
- 典型的な誘い文句
- 「あなたのアカウントに変な動きがありました。今すぐログインして確認してくださいね。」などと、不安をあおる。
- 「緊急のお知らせです!」 「ご注文がキャンセルされました」「お荷物の不在通知です」といった、思わず焦ってしまうような通知を装う。
- 「ポイントがもうすぐ期限切れ!」「豪華なプレゼントが当たるチャンス!」など、ついつい心が動いてしまうような言葉で誘い込もうとする。
- 「法的措置を取ります!」 「裁判所からの大切なお知らせです」「未払い料金がありますよ」などと、強気な言葉であなたを脅す。
一番大切なのは、「知らない連絡は、まず疑う!」という気持ちを持つこと。
正規のサービスからの重要なお知らせは、メールだけでなくアプリの通知や郵送など、いろんな方法で教えてくれるはずです。
だから、ちょっとでも怪しいメールやSMSが来たら、慌てずに冷静に対応するように心がけましょうね。
⑦ 不自然な入力フォームや個人情報の要求
フィッシング詐欺サイトは、本物のサイトをそっくり真似て作られていますが、よーく見ると「あれ?」と思うような、ちょっと変なところがあるんです。
特に、何か情報を入力するフォームや、個人情報を求められる場面には、フィッシング詐欺ならではの特徴が出やすいので、注意して見てみてくださいね。
不自然な入力フォームの特徴
「この入力フォーム、なんかおかしいな?」と感じたら、こんな点に注目してみましょう。
見た目がちょっと雑
全体のレイアウトがバラバラだったり、使われている文字のフォントや大きさが統一されていなかったり。
なんだか「急いで作ったのかな?」と感じるような、プロっぽさに欠ける印象を受けたら怪しいですよ。
鍵マークがない(安全じゃないかも)
ウェブサイトのアドレスが「http://」で始まっている場合や、アドレスバーに鍵マークが表示されていない場合は、通信が暗号化されていない証拠。
個人情報を入力するには、大変危険なサインです。
やたらと情報を求めてくる
本来のサイトでは必要ないはずの情報(例えば、クレジットカードのセキュリティコードを何度も入力させられたり、銀行口座の暗証番号まで聞かれたり)を求められたら、それはおかしいと思ってくださいね。
エラーメッセージがわかりにくい
もし入力ミスをした時に、エラーメッセージが英語のまま表示されたり、何を言っているのか意味不明だったりしたら、怪しいサイトかもしれません。
自動入力が効かない
普段使っているブラウザの、パスワードなどを自動で入力してくれる機能が使えない、というのも一つのサインになることがあります。
パスワードが必要な場合、本物のウエブサイトならブラウザに記憶されいるので、IDとパスワードを自動入力しますでしょ?
「自動入力が効かない」というのは私自身の実験(実体験というより実験ね)からも言えることで、偽のサイトだと自動入力が反応しないんですね。
自動入力機能は単純に便利だから使っていますが、フィッシング詐欺防止に一役買ってくれているというのがよくわかります。
不自然な個人情報の要求の例
「このサイト、なんか変なことまで聞いてくるな?」と思ったら、詐欺かもしれません。
こんな個人情報の要求には、特に警戒してくださいね。
クレジットカード情報の根掘り葉掘り
カード番号だけでなく、セキュリティコード(カードの裏にある3桁か4桁の数字)を何度も入力させたり、カード裏の署名欄の番号まで聞いてきたりすることがあります。
これは、普通じゃありえません!
銀行口座の奥深くまで要求
口座番号はもちろん、暗証番号やPINコード、さらにはネットバンキングのログインIDやパスワードまで聞いてくるようなら、もう完全にアウト。
銀行がこんな個人情報をまとめて要求することはありませんからね。
ID・パスワードを何度も
ログインIDとパスワードを別々に入力させた後、確認のためにもう一度同じ情報を入力させる、なんていう回りくどいことをしてくる場合も注意が必要です。
「そんなものまで?」な機密情報
指紋認証や顔認証といった生体認証の情報、マイナンバー、そしてその暗証番号の登録まで求められたら、絶対に教えてはいけません。
これは、あなたの最も大切な情報ですからね。
サービスに全く関係ない質問
あなたの趣味や好きなもの、家族構成など、サービスを使うのに全く必要ない個人的な情報を聞いてくることがあります。
「なんでそんなことまで知りたいんだろう?」と思ったら、それは怪しいサインです。
一番大切なのは、個人情報を入力する前には、いつも「本当に大丈夫かな?」って慎重になること。
そして、少しでも「ん?」って不審な点があれば、絶対に安易に入力しないでくださいね。
こちらの記事では、実際に偽物Amazonのログイン画面にメアドとパスワードを入力してみた実験について書いています。
ぜひ参考にしてみてください。
偽物Amazonのログイン画面にメアドとパスワードを入力してみた
フィッシング詐欺から身を守るための7つの心構え
巧妙化するフィッシング詐欺から大切な情報を守るには、常に警戒心を持つことが重要です。
偽サイトは本物そっくりに作られていますが、注意深く確認すれば必ず見抜けるポイントがありますよ。
特に以下の7つの点を意識し、「少しでも怪しいと感じたら、立ち止まって確認する」 習慣をつけましょう。
- 1. URLを隅々まで確認する
- 2. 不自然な日本語に注意する
- 3. 鍵マーク(SSL証明書)の詳細を確認する
- 4. 連絡先・運営者情報は必ず裏付けを取る
- 5. 緊急性を煽る文言に騙されない
- 6. 身に覚えのないメールやSMSからの誘導を疑う
- 7. 不自然な入力フォームや個人情報の要求に警戒する
フィッシング詐欺は、私たちの身近に潜む脅威です。
この記事で紹介した7つのポイントを意識して、日頃から安全なネット利用を心がけていきましょう。
何か「これってどうなんだろう?」と不安に思うことがあったら、いつでも立ち止まって確認する習慣をつけるのが一番の防御策です。