フィッシングサイト(偽サイト)とは?危険なサイトの見分け方・事例・対策などを解説
3分で読めます
フィッシングサイトは、ユーザーをだまして詐欺行為や悪質な攻撃を行うために作られた違法なサイトのことです。一見普通のWebサイトに見えても、中にはサイバー攻撃を行ったり、ユーザーを騙したり、情報を開示させたりすることだけが目的で作成されているものもあります。では、どうすれば偽サイトの罠にはまらないで済むのでしょうか。この記事では、フィッシング(詐欺)サイトの特徴や、危険なサイトの見分け方、フィッシングサイトの対策、偽サイトにアクセスしてしまったときの対処法についてご紹介します。
フィッシングサイトとは?
フィッシングサイト(偽サイト、詐欺サイト)とは、フィッシング詐欺で利用される、実在する宅配業者や金融機関、ショッピングサイトなどを装い、アカウントIDやパスワード、クレジットカード番号などの個人情報を悪用するために作られた偽のWebサイトのことです。本物のロゴを使ったり、本物のWebページと全く同じデザインにしたりしているため、一見すると本物と見間違うことがあります。
典型的なフィッシングサイトの手口は、クレジットカード会社や銀行を装ってメールを送り、本物とそっくりの偽サイトにターゲットを巧みに誘導し、クレジットカード番号や口座番号など、情報を入力させて、そこで得た情報を悪用するというものです。
具体的には、フィッシングメールに記載されているURLをクリックすると、偽のWebサイトに誘導されます。そして、名前や住所、IDやパスワード、クレジットカード情報などの個人情報を入力するように促されます。
有害サイトは意図的に注意を引くように作られている傾向にあります。疑わしい記述から違法な内容まで、多岐にわたります。以下にフィッシングサイトの例をいくつか紹介します。
- 怪しげな悪徳商法のサイト。
- 人種差別、扇動、差別的な内容のサイト。
- 不適切な言葉を使用しているサイト。
- 禁止されている製品を販売しているサイト。
- 憎悪を煽るようなサイト。
- その他、各種違法コンテンツが載ったサイト。
フィッシングサイトの仕組みは?
不正なウェブサイトは、SNS、電子メール、SMSなど、多くのコミュニケーションに使うチャネルを通じてユーザーを惹きつけます。検索結果は、検索エンジン最適化(SEO)によって操作されることがあり、危ないサイトや有害なサイトのURLが、Google検索一覧の上位に表示されることがあります。
悪質なサイトの多くは、魅力的な割引や恐ろしい警告メッセージを表示し、利用者の心理を巧みについて、判断を鈍らせるように工夫しています。最終的な目的はほとんど同じで、個人情報や金銭的な情報を開示させることです。
中にはもっと複雑な詐欺サイトもありますが、悪質なサイトを作る攻撃者は、一般的に次の3つのステップでユーザーを騙します。
- ベイティング(餌付け):サイバー犯罪者は、さまざまなチャネルを通じて、誤解を招くようなメッセージでユーザーをWebサイトに誘い込む
- セキュリティー侵害:ユーザーが知らず知らずのうちに、自分の情報やデバイスを攻撃者に晒す
- 実行:ハッカーがユーザーの個人情報を乗っ取ったり、端末をマルウェアに感染させたりする
不正なサイトには、独立したウェブサイト、ポップアップウィンドウ、クリックジャッキングによる正規のウェブサイトへの不正なオーバーレイがあります。これらのサイトは、どのような見せ方であれ、ユーザーをおびき寄せ、騙すために巧妙に機能しているのです。
フィッシングサイトの危険性
フィッシングサイトにアクセスした場合、以下のような危険性には多くのリスクがあり、マルウェアのダウンロードもそのひとつです。フィッシングサイトを通して個人情報が盗まれたらどうなるのかも見ていきましょう。
トロイの木馬: トロイの木馬は、セキュリティシステム(ファイアウォールやアンチウィルス)を回避できるマルウェアです。この種のプログラムは、お使いの機器にインストールされると、機器のポートのロックを解除してハッカーの侵入を可能にし、遠隔操作や個人情報の復元ができるようになります。
スパイウェア: スパイウェアは、ハッカーがターゲットを監視するためのマルウェアです。これらのプログラムはバックグラウンドで実行されます。そのため、特定のソフトウェアを使用して詳細な分析を行わない限り、スパイウェアを検出することは非常に困難です。ログイン情報や銀行データの復元は、ここでの大きなリスクとなります。
アドウェア: アドウェアとは、広告および広告収入を目的として無償で提供されるソフトウェアです。感染すると、不要なウィンドウが同時に表示されるため、最終的にデバイスが完全に使えなくなる可能性があります。そして、これらの不要なファイルを確実に削除するために、クリーニングソフトウェアの採用が不可欠です。
クロスサイトスクリプティング: クロスサイトスクリプティング(XSS)とは、Webサイトを経由して悪意のあるプログラムをWebサイト利用者に送り込み、個人情報を盗み出す攻撃です。具体的には、攻撃者は掲示板などのウェブサイトの脆弱性を悪用し、悪意のあるサイトへ誘導するスクリプトを仕込んで、ユーザーの情報を盗み出します。
WebサービスやSNSの不正使用・乗っ取り: ウェブサービスやSNSを装ったフィッシングサイトにユーザーIDやパスワードを入力すると、アカウントが不正に使用されたり、乗っ取られたりすることがあります。また、パスワードが勝手に変更され、自分のアカウントから締め出されてしまう可能性もあります。
銀行口座の不正使用: 最後に、口座番号の不正使用も考えらます。クレジットカードで買い物をした後に、このような事態が発生することはよくあります。数日後、ターゲットの銀行口座からに不正に出金されるかもしれません。
偽サイト(フィッシングサイト)の見分け方
ハッカーは、ターゲットを惑わせるために、公式のように見えるサイトを作りますが、危険サイトかどうかを判別するにはどうすればいいのでしょうか?ここからは、詐欺サイトの見分け方を伝授します。
URLを確認する
詐欺サイトの被害から身を守るために、Webブラウザに表示されるアドレスを確認しましょう。URLでの見分け方は、ドメイン(「.jp」や「.com」の前にある文字)に注目すること。ドメインがおかしいと感じた場合は、そのページから離れることを強くお勧めします。インターネット上に同じドメインは存在しないため、Webサイトがどんなに本物に見えるように作られていても、ドメインが怪しい場合は、偽サイトであると見分けられます。
SSL対応のサイトでも注意する
SSLは、WebサーバーとWebブラウザの間の通信でやり取りされるデータを暗号化する技術です。URLバーに鍵マークがついていなかったり、http:から始まるURLであったり、SSL化されていなかったりするサイトにはアクセスしないように心がけましょう。しかし、最近では、SSL証明書を無料で取得できるサービスが普及しているため、SSL対応のサイトでも安全ではないものがあります。SSLに対応しているからといって、完全に安心しきってしまうのは危険です。
ネットユーザーの意見を確認する
近年、ネットビジネスの回転率を上げるために、ユーザーや購買者のフィードバックが不可欠になっています。ネットユーザーにとって、意見やフィードバックはURLの信頼性を確認するのに役に立ちます。否定的なレビューがある場合、Webサイトが詐欺である可能性があります。また、あまりにも良すぎるレビューが多い場合も要注意です。実際、ネットユーザーにお金を払って嘘のレビューを書かせている業者もあります。
検索順位をおろそかにしない
もし、「サイトが安全かどうかを見分けるにはどうすればいいのか?」という疑問をお持ちなら、検索順位を考慮しましょう。Googleは、インターネット検索による各ウェブサイトの可視性とランキングに関して明確なルールを課しています。ウェブマーケターが施すSEO対策に加え、URLの信頼性も判断材料になります。
サイトの文章やデザインを確認する
Webサイトのデザインの質が悪い、文章がおかしかい、画像の低解像度が低いまたは画像が非表示になっている、レイアウトが奇妙な場合は、Webサイトが偽物であるサインかもしれません。当たり前のことのように思えるかもしれませんが、Webサイトを訪れた際には、文章やデザインを注意深く見るようにしましょう。特に、あからさまに誤字脱字、漢字変換ミス、文法ミスが繰り返されていたり、日本語がおかしかったりする場合は、偽サイトである可能性が高いです。
メールの件名や本文をネットで検索する
メールの件名や本文に特徴がある文章を抜粋して、インターネットで検索するのも効果的です。被害報告や注意喚起などの情報が見つかれば、被害を未然に防ぐことができます。件名や本文を確認する過程で、不自然な表現に気づくことがあります。
最近では、楽天やAmazonなど有名なECサイトを謳ったフィッシングメールも増えていますので、注意が必要です。
詐欺サイトへの対策
ここからは、フィッシングサイトにアクセスして、被害に遭う前にできる対策を紹介します。
正しいURLにアクセスする
先ほど説明した方法で、URLの真偽を見分けましょう。判断できない場合は、企業の公式ホームページにアクセスし、そこからリンクをたどるのが無難です。ただし、偽サイトの中には、正規のトップページのリンクを貼っているものもあるため、公式ホームページにアクセスできたからといって、すべてのページが安全というわけではありません。
リンクを直接クリックしない
パソコンからリンクを開く場合、リンクを直接クリックするのではなく、リンク上で右クリックし、リンクをコピーして、メモ帳に貼り付けてください。その後、そのリンクが公式のものであるかどうかを慎重に確認しましょう。
信頼できる解析サービスを利用する
いくつかのWebサイト分析サービスが、重要な情報を提供してくれることもあります。ScamAdviser.comやURLVoidはその典型な例です。これらのツールは、サイトの実際の所在地や過去の歴史、クチコミ情報などで総合的に判断し、サイトの信頼性をスコアで表示してくれます。
フィッシング対策を実施する
アンチウィルスソフトの中には、フィッシング対策機能を搭載しているものがあります。このようなソリューションを導入することで、比較的容易にフィッシングサイトを防ぐことができます。たとえば、NordVPNに搭載されている脅威対策機能を有効にすると、ダウンロードファイルのマルウェアを検出したり、マルウェアをホストする危険なウェブサイトを自動的にブロックしたりして、より安全でスムーズなブラウジングを可能にします。
NordVPNで悪意のあるウェブサイトを回避しましょう。
フィッシングサイトの被害に遭ったらどうする?
悪質なWebサイトの被害に遭ったら、すぐに対処しましょう。素早く行動すれば、サイバー犯罪者による被害の範囲を小さくすることができます。ここからは、フィッシング詐欺にアクセスしてしまった場合の対処方法についてご紹介します。
- 詐欺師や犯罪者と連絡を取っていることに気づいた場合、直ちにすべての連絡を絶つ
- 利用中の銀行に連絡し、悪用された可能性があることを伝えましょう。その後、カードの利用停止を行なってください。不正使用されたクレジットカードを解約し、不要な追加請求がこないようにする
- 銀行口座やメールアカウントなど、最も重要なパスワードと暗証番号を更新する
- 詐欺に遭ったことを、サービスプロバイダーや警察に通報する
不正サイトの通報方法
フィッシング詐欺の被害に関しては、まず「フィッシング110番」に通報しましょう。各都道府県の警察署にサイバー犯罪相談窓口が設置されているので、被害に遭った際は相談してみましょう。個人で行動するよりも迅速な対応が期待できます。
また、さらなる被害を防ぐために、フィッシング詐欺の事例をリアルタイムで掲載している「フィッシング対策協議会」にも情報を提供しましょう。さらに、情報を入力してしまった場合は、銀行やクレジットカード会社などの金融機関等にも情報を提供することが必要です。
会社や業務でフィッシングサイトにアクセスした場合は、すぐに上司に相談し、社内の適切なフローに従って、速やかに対処しましょう。メールを介してウイルスに感染する危険性もありますので、企業の場合は迅速な対応と情報共有を心がけ、被害の拡大を防ぐようにしましょう。
まとめ
この記事では、フィッシングサイトについて解説し、危険なサイトを見分けるための方法や、被害を防ぐための対策、被害に遭った際の対処法についてご紹介しました。
インターネット上の無数のWebサイトの中から、偽のサイトを見分けるのは難しいもの。この記事を参考にして、巧妙なケースもしっかりと見抜きましょう。
フィッシングサイト関連のトラブルは、まず都道府県警察のフィッシング専用窓口、またはサイバー犯罪相談の窓口まで通報しましょう。
しかし、実際にフィッシング詐欺の被害に遭う前に、未然に防ぐことが肝要です。そのためには、NordVPNの脅威対策機能などの、セキュリティ対策ツールを活用して、危険なWebサイトをブロックして、怪しいサイトへアクセスできないようにしましょう。
