フィッシング詐欺とは?
フィッシング詐欺とは、送信者を偽ったメールやSMSを送りつけ、貼り付けたリンクをクリックさせて偽のウェブサイトに誘導し、クレジットカード番号やアカウント情報(ユーザーIDやパスワードなど)といった重要な個人情報を盗み取る詐欺のことです。こうした詐欺師たちは、銀行口座の情報やクレジットカード情報、さらにはログイン認証情報などを狙っています。
フィッシング詐欺は多くの場合、ソーシャルエンジニアリングの手法を使い、人間の心理的な隙を突いて騙すのが特徴です。例えば、緊急を装ったメールで不安を煽り、冷静な判断を妨げて重要な情報を引き出そうとします。フィッシング攻撃は、多くの人々を対象に無差別に仕掛けられることが一般的ですが、特定の個人や組織を狙った「スピアフィッシング」や、経営層などの重要人物を標的にした「ホエーリング」と呼ばれるより精巧な攻撃も存在します。
主にオンライン上で、メールやSNSを通じて行われることが多いフィッシング詐欺ですが、電話やSMS、さらには偽のチャットアプリやQRコードなど、さまざまな手法で被害が拡大しています。例えば、Facebookアカウントの乗っ取りはフィッシング詐欺の一環としてよく見られ、乗っ取られたアカウントを使って友人に偽メッセージを送り、さらなる被害を拡大させるケースもあります。
なお、フィッシング対策協議会の「フィッシングレポート2024」によると、2023年上半期はフィッシング詐欺に関連したクレジットカードの不正利用やインターネットバンキングの不正送金被害が急増し、年間の被害件数と届け出件数が過去最多となっています。実際の被害例としては、楽天やAmazonなどの大手ECサイト、クレジットカード会社、マイナポイント事務局、公共サービス、交通系サービスを装ったフィッシングメールが報告されています。
フィッシング詐欺の手口
フィッシング詐欺の手口をあらかじめ知っておくことで、詐欺に早く気づいて引っかかりにくくなったり、アカウント乗っ取りや個人情報の盗難被害を未然に防ぐことができます。ここからは、フィッシング詐欺の事例について、詳しく解説します。
メールに貼られたフィッシングサイトへのリンク
銀行やクレジットカード会社を装ったメールで送られてくることが多く、リンクをクリックさせて本物そっくりの偽サイトに誘導します。これは「フィッシングメール」と呼ばれます。
例: 楽天やAmazonを装った詐欺メール
主な見分けポイント: 送信者アドレスやURLの不自然さに注意。
SNSのメッセージから偽サイトへ誘導
LINEやFacebook、TwitterなどのSNSを通じて、偽サイトへのリンクを送りつける手口です。
例: 「友達からのメッセージに見せかけて送られることもあります。スミッシングと関連。
主な見分けポイント: 不審なメッセージやリンクはすぐに開かない。
検索結果に表示されるフィッシングサイト
GoogleやYahoo!などの検索結果に偽サイトが紛れ込むことがあります。広告表示やSEOを悪用して誘導。
例: 有名ECサイトの偽ショップが検索上位に表示される場合も。
主な見分けポイント: URLの正確さとSSL証明書の有無を確認。
偽のサポートや営業担当者からの電話
公式を装ったサポートや営業担当者を名乗り、個人情報や認証コードを聞き出そうとする「ビッシング」という手口があります。
例: クレジットカード会社を名乗る電話で「不正利用を確認した」と伝えるケース。
主な見分けポイント: 不審な電話はすぐに応じず、公式窓口に確認を。
SMSで送られる怪しいリンク
ショートメッセージを使った詐欺「スミッシング」も多発しています。SMSに記載されたリンクをクリックさせる手口です。
例: 銀行を装ったSMSで偽サイトへ誘導。主な見分けポイント: SMS内のリンクは慎重に扱う。
カレンダーに登録される詐欺イベント
最近は、スマホのカレンダーに偽のイベント通知を送りつけ、リンクをクリックさせようとする新しい手口も報告されています。特にiPhoneユーザーの間では「カレンダーウイルス」と呼ばれる現象が広まっており、知らないうちにカレンダーに大量の怪しいイベントが登録されてしまうケースが増えています。これらの通知には不安を煽る文言が含まれており、クリックさせてフィッシングサイトに誘導するのが目的です。
例: 「あなたのアカウントが停止されます」といった不安を煽る通知。
主な見分けポイント: 不明なカレンダー通知は無視し、設定から削除を。
フィッシング詐欺の実例
ここでは、実際に日本で発生した代表的なフィッシング詐欺のケースを紹介します。これらは被害が大きく報道されたものや、特に注意が必要な手口です。
- 1.楽天市場を装ったフィッシング詐欺(2020年頃〜) 楽天市場からの公式通知を装い、偽のログインページに誘導。ユーザーのID・パスワードやクレジットカード情報を盗む手口で、多くの被害が報告されました。
- 2.Amazonを名乗るフィッシングメール詐欺(2021年〜) 「アカウントが停止されました」などの文言で不安を煽り、偽サイトに誘導。日本国内のAmazonユーザーを中心に被害が拡大しました。
- 3.マイナポイント事業を騙るフィッシング(2022年) 政府のマイナポイント制度に便乗し、個人情報やマイナンバーの入力を促す詐欺サイトが多数出現。特に高齢者が狙われる傾向が強いです。
- 4.クレジットカード会社を装ったSMS詐欺(スミッシング)(2023年) 銀行やカード会社を名乗るSMSに記載されたURLをクリックさせ、偽アプリのインストールや個人情報の入力を誘導。スマホユーザーを中心に被害拡大。
- 5.交通系ICカードサービスを狙ったフィッシングメール(2023年) SuicaやPASMOなどのチャージやアカウント停止を装い、偽のログインページへ誘導する詐欺メール。利用者のチャージ残高や個人情報が狙われました。
- 6.PayPalを装ったフィッシング詐欺(継続的に発生)
「アカウントに不正アクセスがありました」や「利用制限がかかっています」などの通知を装ったメールやSMSを送り、PayPalのログイン情報やクレジットカード番号を盗もうとする詐欺が多発。海外のサービスであることから英語混じりの内容も多く、見落としやすいため注意が必要です。
フィッシング詐欺を見破る8つの方法
フィッシング詐欺の被害に遭わないためにも、普段から万全なセキュリティ対策を実行しておくことが必要不可欠といえます。しかし、フィッシング詐欺を見破るためには、どのようなことに注意しておけばよいのでしょうか。こちらでは、フィッシング詐欺を見破るための7つの方法について解説します。
1.不審なリンク
LINEなどのメッセージアプリやSMS、メールサービスで不審なリンクを含んだメッセージやメールを受信した場合は、絶対にクリックしないようにしましょう。特にURLの文字列がわからない短縮URLの場合は、偽サイトへの誘導の可能性が高いといえます。
たとえ、家族や友人からのメッセージだとしてもURLだけが添付されたり、やりとりの内容がいつもと違和感がある場合はLINEやInstagramなどのアカウントの乗っ取りをされている可能性があるので、その場合は返信しないで他の連絡手段を使って本人に直接確認するようにしましょう。
2.差出人のメールアドレスがいつもと違う
メール本文の名前は友人や同僚だが、いつもと異なるメールアドレスから送られてきた場合は、偽物の可能性があります。サイバー犯罪者が友人や同僚の個人情報を盗み出して偽のメールアドレスを作成し、あなたを騙そうと送ってきているかもしれません。
犯罪に巻き込まれないためにも普段から差出人のメールアドレスを細かく確認するようにし、もしもメールアドレスが違う場合はフィッシング詐欺の可能性が高いので絶対に返信しないようにしましょう。
3.緊急または脅迫的な表現
銀行や大手企業から顧客情報の更新などと偽って緊急や脅迫的な表現の内容を含むメールが届いた場合はフィッシング詐欺の可能性があります。たしかに各オンラインサービスで顧客情報の更新などで個人情報が求められることはよくありますが、本物の大手企業の場合は、どのような時も緊急や脅迫的な表現を使うことはありません。
特に「ただちに」や「24時間以内」になどと緊急を要する表現を使用している場合は、まずフィッシング詐欺といって間違いありません。返信したり、添付されているリンクをクリックしてしまうとサイバー犯罪者の思うつぼなので無視しましょう。頻繁に届く場合は、メールサービスの設定を変更したり、警察にあるサイバー犯罪専門の窓口に相談してみるとよいでしょう。
4.一般的な挨拶
GWや夏休み、年末年始など1年のうちにいくつかある長期休みやイベント、キャンペーン期間中に各企業からメールが届く場合がありますが、これに便乗したフィッシング詐欺メールも存在します。サイバー犯罪者は、アンケートに答えると商品プレゼントやお得なキャンペーンを実施中と偽ったメールを不特定多数に送り付け、個人情報を入力させようと促してきます。
5.信じられないほど良い特典
近年、各企業からキャンペーンや新商品、バーゲン情報のメールが届くことが珍しくありませんが、なかには法外な割引価格だったり、他社と比べてあまりにも安すぎるという、うますぎる内容のオファーが届いた場合は要注意です。
フィッシング詐欺の基本はターゲットを釣ることなので、サイバー犯罪者はユーザーが喜んで飛びつくような内容のオファーを含んだメールを送ってきます。冷静になって考えればありえないということはすぐにわかるのですぐに返信したり、添付されているリンクをクリックしないようにしましょう。
6.不審な添付ファイル
たとえ、大手企業から届いたメールでも見覚えのない不審なファイルが添付されている場合は、フィッシングメールでマルウェアなどが含まれている可能性があります。もし、フィッシング詐欺メールに添付されているファイルを開いてしまったら、デバイスがマルウェアに感染してデバイス内の個人情報の盗難の被害や遠隔操作されたり、最悪の場合は使用不能に陥る危険があります。
7.スペルミスや文法の間違い
届いたメッセージやメールの内容でスペルミスや文法の間違いがあった場合、日本人をターゲットにした外国人犯罪者(または犯罪者がAIを使った)が作ったフィッシング詐欺メールの可能性があります。また、スペルミスや文章が不自然な場合以外にも、文字のフォントやスペース、改行、句読点の使い方が明らかにおかしく、違和感を感じた場合もフィッシング詐欺の可能性があるので、絶対に返信しないようにしましょう。
8.不自然な個人情報の要求
通常では求められない個人情報を要求される場合(例:マイナンバー、銀行暗証番号、セキュリティコードなど)は要注意。正規の企業がこのような情報をメールで聞くことはまずありません。フィッシング詐欺の被害に遭った場合の対処法
仮にもし、フィッシング詐欺にあったら、被害を最小限に抑えるためにもできるだけ早く対応することが重要です。以下では、フィッシング詐欺の疑いがある場合の対処方法と、フィッシング詐欺の被害に遭ってしまった場合の対処方法について、それぞれ説明します。
フィッシング詐欺の被害に遭った場合の対処法
まず、金融機関やよく利用しているサービスの企業から、いつもとは異なる手続きを促すようなメールを受け取った場合は、すぐに指示に従わず、内容を慎重に確認することが重要です。少しでも不審に感じた場合は、記載されたリンクをクリックしたり、個人情報を入力する前に、公式サイトに掲載されている連絡先や、過去の郵送物などに記載された電話番号を利用して、直接企業に確認しましょう。メールに書かれた電話番号やURLは、偽の可能性があるため注意が必要です。
万が一、誤ってフィッシングメールを開いてしまったり、偽サイトに個人情報を入力してしまった場合でも、慌てずにすぐに対応を開始しましょう。たとえば、クレジットカード番号やオンラインバンキングのID・パスワードなどを入力してしまった場合は、速やかにカード会社や銀行に連絡して、利用停止や再発行の手続きを依頼してください。
被害が実際に発生している、もしくはその可能性がある場合には、最寄りの警察署や都道府県警察の「サイバー犯罪相談窓口」へ報告を行うことも忘れないようにしましょう。被害届を提出することで、捜査につながるだけでなく、カード会社や金融機関での補償申請において、重要な証拠として扱われる場合があります。
少しでも早く対応を行うことで、被害の拡大を防ぐことができます。不審なメールを受け取ったときは、「おかしい」と感じた直感を大切にし、冷静に確認する姿勢を忘れないようにしましょう。
フィッシング詐欺の対策
フィッシング詐欺は日々巧妙化しており、サイバー攻撃の一種としても非常に身近で深刻な脅威となっています。完全に防ぐのは難しいものの、普段から適切な対策を取ることで被害のリスクを大きく下げることができます。以下のポイントを意識して、安全なオンライン生活を心がけましょう。
- 不審なメールやメッセージのリンクを絶対にクリックしない
特に短縮URLや送信元に覚えがないリンクは要注意です。 - 不審なメッセージには返信せず、送信者に別の手段で確認する
家族や同僚からのように見えても、乗っ取りの可能性があります。 - 多要素認証(MFA)を有効にする
利用可能なサービスでは必ず設定しましょう。MFAがなければ2段階認証を使うのも有効です。 - セキュリティ対策ソフトを導入する
ウイルスやマルウェアの検知・ブロックに有効です。 - OSやアプリを常に最新の状態に保つ脆弱性の悪用を防ぐためにも、定期的なアップデートが欠かせません。
- VPNを利用して通信を暗号化する
公共のフリーWi-Fi使用時は特にVPN接続が推奨されます。 - アカウントの漏えい状況を定期的にチェックする
パスワード流出に気づかず使い続けていると、被害に直結します。 - オンラインセキュリティの知識を周囲と共有する
自分が守るだけでなく、家族や友人への注意喚起も大切です。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保
