フィッシング詐欺とは？手口や対策方法をわかりやすく解説

フィッシングとは、偽のメッセージやウェブサイト、ソーシャルエンジニアリングを利用して、個人や企業から重要な情報やお金を盗み出すオンライン詐欺行為の一種です。

フィッシング詐欺は2005年頃に生まれ、現在もサイバー攻撃の中で最も普及している手法のひとつです。現在に至るまで様々な手口を駆使しており、簡単に見分けることが難しいものも中には存在します。最近では、Amazonや楽天になりすましたフィッシングメールが横行しています。

フィッシング対策協議会のフィッシングレポート 2022によると、2021年はフィッシング情報の報告件数が前年に比べて大幅に増加し、大手ECサイトやクレジットカード会社など、有名上場企業や実在の企業になりすます手口が多く報告されています。

フィッシング詐欺は、人を騙して銀行振り込みをさせるのと同じくらい単純な手口ですが、内容は年々巧妙化しており、ユーザーの心理的不安を煽るような悪質なものも少なくありません。また、情報を盗むタイプのフィッシングは、サイバー犯罪者がマルウェアを使って個人や企業に関する多くの情報を入手するという手口を用います。

次に、フィッシング詐欺の主な手口について少し詳しく説明します。

フィッシング詐欺の手口を知ることで、詐欺に早く気づいたり、引っかかりにくくなったりする可能性があります。ここからは、フィッシング詐欺の事例について、詳しく解説します。

• ソーシャルエンジニアリング：ソーシャルエンジニアリングとは、情報通信技術を使わずに、人間の心理的な隙や不注意・心の弱さなどの行動ミスを利用して、パスワードやIDなどの重要情報を盗み出すサイバー攻撃手法です。メールに、恐怖を煽ったり、何かを催促したりするような内容が含まれている場合は、フィッシング詐欺である可能性が高いので、注意してください。
• リンクの操作：メール内のURLやリンク先のサイトを本物と似せて、直感的にわかりにくいように偽装し、ターゲットを騙すのもフィッシング詐欺の一般的な手口です。実際、過去にはJR東日本が運営するチケット・ツアー予約サイト「えきねっと」を装ったフィッシングメールが流行した事例があります。不審なメールを受信した場合は、安易にURLをクリックしないことをお勧めします。
• フィルタリングの回避：最近ではフィッシング対策のルールが追加され、フィッシングメールはスパムメールとして判定されることが多くなっていますが、スパムフィルターに引っかからないようにランダムな文字列を追加したり、HTMLを悪用したりするケースもあるようです。フィルターを欺くためのテクニックは他にもたくさんあります。サイバー犯罪者は、これらの手法を組み合わせて、複雑で悪質なフィッシング詐欺メールを作り出しているのです。

フィッシングメールの内容は年々巧妙化しており、ユーザーの心理的不安を煽るような悪質なものも少なくありません。フィッシングメールにより、オンラインバンキングやクラウドサービスなどで使用するパスワードなどの個人情報が盗まれると、不正ログインにより身に覚えのない請求書が届くなど、さまざまな被害が発生する可能性があります。

ここからは、フィッシング詐欺の種類と事例を紹介します。

メールフィッシングは、メールの仕組みを使ったフィッシング詐欺の手口です。メールフィッシングは、次の3種類に細かく分けることができます。

スピアフィッシング

特定の個人を狙うフィッシング攻撃のことは「スピアフィッシング」と呼ばれています。フィッシングメールを送信する前に、サイバー犯罪者はターゲットを調査します。 ターゲットの公開アカウントから情報を収集したり、ハッカーがターゲットの働く会社を見つけ出したりして、ターゲットに関する情報を入手します。

これらの情報があれば、サイバー犯罪者は、ターゲットの同僚や友達など信頼できる人物のふりをすることができます。

スピアフィッシングでよく使われる手口は、ビジネスメールでの詐欺です。サイバー犯罪者が、権力のある上級社員を装い、電信送金や、振込口座の変更、源泉徴収情報などを依頼します。

ホエーリング

ホエーリングとはスピアフィッシングの一種で、攻撃者が企業の役職者になりすまして、トップレベルの幹部や企業のデータ、財務の責任者たちを狙う手口を意味します。

他のフィッシング詐欺に比べてなりすましの難易度が高いため、サイバー犯罪者はターゲットの調査にかなり多くの時間を割きます。大物の標的をだますのは難しいですが、非常に大きいリターンが得られることもあります。

さらに、社内で大きな権限を持っている人が、業務関連の連絡に個人用のメールアドレスを使っている場合もあり、会社のメールに比べるとセキュリティ対策が甘いこともあります。

クローンフィッシング

クローンフィッシングは、不特定多数に宛てたメールを用いたフィッシング詐欺のこと。この種のフィッシング攻撃を機能させるために、攻撃者はターゲットの受信トレイを注意深く監視しています。さらに、攻撃者はターゲットが最近受信したメールを基にクローンを作成します。内容のほとんどはそのままで、添付ファイルにマルウェアが含まれていたり、URL先がフィッシング詐欺用のウェブサイトにリダイレクトされていたりすることが多いです。

このメールにはオリジナルをやや変えた情報が含まれていて、送信者のメールアドレスが詐称されていたり、オリジナルと酷似した新しいアドレスが作成されていたりします。

ビッシングは電話を利用した手口で、電話を使ってクレジットカード会社や銀行などの関係者を名乗り、ターゲットにクレジットカードの番号や口座情報、パスワード、生年月日などの情報を巧みに聞き出して、カードを不正使用します。ビッシングの危険性として、電話上でのやり取りだけで詐欺だと見破るのは非常に困難であることが挙げられます。

スミッシングはSMSを利用したフィッシング詐欺で、SNSなどのアカウントに成りすまし、SMSでメッセージを送信します。メッセージの中には、正規サイトに良く似せて作られたフィッシングサイトや、不正なスマホアプリをダウンロードさせるページなどに誘導させるURLが挿入されています。

アングラーフィッシングとは、サイバー犯罪者が正規のカスタマーサービス担当者になりすまし、ターゲットに個人情報を提供するよう仕向ける攻撃手口です。

たとえば、ターゲットがオンラインやSNSで商品を購入し、苦情を申し立てた場合、サイバー犯罪者は偽のアカウントを使ってカスタマーサポートスタッフになりすまし、ターゲットに個人情報をフォームに記入させることがあります。

カレンダーフィッシングとは、攻撃者がGoogleのカレンダー機能を悪用して攻撃を仕掛けるフィッシング詐欺です。Googleカレンダー以外にも、iPhoneの標準カレンダーを悪用するiPhoneカレンダーウイルスも同じ手口です。

具体的には、サイバー犯罪者がフィッシングサイトへのリンクが記載されたカレンダーの予定への招待を一方的にターゲットに送信し、 リンクのクリックを促すというものです。

たとえば、ターゲットがリンクをクリックすると、賞品を提供するアンケートサイトにリダイレクトされます。賞品を受け取るためには、クレジットカード情報のほか、名前や電話番号、 住所などの個人情報の入力を求められます。入力したデータはサイバー犯罪者に送られ、 金銭やさらなる個人情報の窃取に悪用されることになるのです。

多くの場合、利用者はフィッシングメールによりフィッシングサイトへ誘導されますが、以下に気をつけるべきポイントやフィッシングサイトの見分け方をまとめました。

1. URLアドレスを確認する

受信したメールにURLアドレスが挿入されていて、リンクを開こうとしている場合は事前に注意深くURLを確認しましょう。

企業名やサービス名のつづりが微妙に異なっていたり、余計な文字列が含まれていたりする場合は、フィッシング詐欺用の偽サイトである可能性が高いです。

2. SSLで暗号化された安全な通信か確認する

通常、クレジットカード情報やパスワードなど機密性の高い情報を入力するサイトは、情報を暗号化するSSL通信を導入しています。気密性の高い情報を入力するサイトで、SSL通信を導入していないものは、むやみやたらに信用しない方がいいでしょう。

ブラウザーのアドレスバーに表示されるURLが「http://」ではなく「https://」で始まっていたり、アドレスバーに鍵のマークが表示されていたりするサイトは、SSL通信を導入しているサインなので、しっかり確認しましょう。

ただし、偽サイトでも「https://」で始まるものも中には存在するため、サイトで機密情報を入力する際は、細心の注意を払うべきです。

3. メールやメッセージのリンクを直接クリックしない

上記で紹介した恐怖を煽るようなメッセージが含まれているメールが届いた場合、メール内に記載されているURLを直接クリックするのは避けましょう。

ブックマークからアクセスするか、直接URLを入力してアクセスするのが得策です。

4. 無料Wi-Fiに接続しない

カフェやホテル、空港などで提供されている公衆無料Wi-Fiの中に、偽のアクセスポイントが紛れ込んでいることがあります。

偽のアクセスポイントに繋いでしまうと、個人情報がいとも簡単に盗まれてしまいます。身元不明のアクセスポイントである無料Wi-Fiを使ってウェブサイトにアクセスしたり、個人情報を入力したりするのは絶対に避けましょう。

5. 安全なブラウザを使用する

Google Chromeにはフィッシング検出機能が備わっていて、フィッシング詐欺の要素があるサイトに接続しようとすると「偽のサイトにアクセスしようとしています」という警告が表示されます。

この警告画面が表示されるサイトではフィッシング詐欺やサイト改ざんによる危険性があるため、十分に注意しましょう。

6. VPNアプリをインストールする

ある特定の地域では、公衆Wi-Fiの使用を避けることは難しいかもしれません。どうしても公衆Wi-Fiに接続する必要がある場合は、事前にVPNアプリをお使いのスマホやパソコンにダウンロードしておきましょう。

VPNとは、バーチャル・プライベート・ネットワークの略で、インターネット上の拠点間に仮想の専用サーバーを設けて安全なネットワークを実現する仕組みのこと。

駅や空港、カフェ、バスなどで提供されている無料のWi-Fiを安全に利用するために使える手段です。

公衆Wi-Fiにお使いの端末を接続している時にVPNを使えば、あなたの端末とVPNサーバー間の通信を暗号化し、第三者による通信内容やデータの盗み見などを防ぐことができます。

さらに、VPNの中でも影響力のある技術サイトやITセキュリティ専門家から認められているNordVPNは、VPNを超えたセキュリティ機能「脅威対策」を提供しています。この脅威対策機能を利用することで、悪質なトラッキングや広告、マルウェアのブロックが実現します。これにより、より安全かつ良質なインターネット環境を構築することができます。

NordVPNは、最大6台のデバイスを同時に保護します。Windows、macOS、Linux、Android、iOSと互換性があるので、お使いのほとんどデバイスに導入することができます。

フィッシング詐欺に遭った場合は、迅速に対応することが重要です。以下には、フィッシング詐欺の疑いがある場合の対処方法と、フィッシング詐欺の被害に遭った場合の対処方法について、それぞれ説明します。

金融機関や普段利用しているサービスの企業から、いつもと違う手続きを求めるメールが届いた場合は、内容を鵜呑みせず、確認することが大切です。

フィッシング詐欺かどうかの判断が難しい場合は、メールを送ってきた会社に問い合わせてみましょう。ただし、メールに記載されている相手先の情報が正しいとは限らないので、電話をかける際は、正規のウェブサイトや金融機関・企業からの郵送物などで電話番号を調べてからにしましょう。

フィッシング詐欺に引っかからないように注意していても、サイトがあまりにも精巧にできていると、気づかないうちに個人情報を入力してしまうこともあるかもしれません。ここからは、個人情報を入力してしまった場合の対処法をお伝えします。

• 金融機関のサポート窓口やカード会社に連絡する：フィッシング詐欺で個人情報を入力してしまった場合は、すぐに金融機関のサポート窓口や契約しているカード会社などに連絡しましょう。また、クレジットカード会社によっては、個人情報やクレジットカードを不正に使用された場合の保証制度を設けているところもありますので、被害に遭った場合はすぐにクレジットカード会社に連絡することが大切です。
• フィッシング110番窓口やサイバー犯罪窓口に通報する：金融機関やクレジットカード会社に連絡した後は、公的機関への通報・相談も検討しましょう。各都道府県には、フィッシング詐欺を専門に扱う「フィッシング110番窓口」や、インターネット犯罪に対応する「サイバー犯罪窓口」があります。より多くの人が同じ経験をしないよう、フィッシングサイトの被害に遭った際には、情報提供することをおすすめします。また、金融被害やトラブルについては、国民生活センター、全国銀行協会に相談することができます。