お客様のIP:不明

·

お客様の状況: 不明

メインコンテンツにスキップ


フィッシング詐欺とは?実例と対策をわかりやすく解説

最近、日本国内でもフィッシング詐欺事件に関するニュースをよく目にしますが、その実態を知っている人はそう多くはありません。こちらの記事では、フィッシング詐欺の実例を紹介しつつ、年々巧妙化するフィッシング詐欺の手口の種類や被害を未然に防ぐ対策方法、そして被害に遭った場合の対処方法など、フィッシング詐欺に関連するさまざまな事について詳しく解説します。

2024年12月31日

読み時間:1 分

フィッシング詐欺とは?実例と対策を簡単に解説

フィッシング詐欺とは?

フィッシング詐欺とは、インターネット上での詐欺行為の一種で、現代において深刻な社会問題のひとつです。具体的には、オンライン上の正規のサービス事業者を騙り、ユーザーに偽のメッセージを送りつけ、偽のウェブサイトへ誘導して個人情報を入力させたり、マルウェアを使って企業の機密情報などを盗み取ります。このフィッシング「Phishing」という言葉は、釣り「Fishing」と洗練「Sophisticated」の造語といわれており、洗練された方法でユーザーを騙して情報を盗むという意味から名づけられました。

フィッシング詐欺が誕生したのは2005年頃といわれており、ここ20年間において誰もが最も遭遇する可能性があるサイバー攻撃のひとつです。フィッシング詐欺の手口は日を追うごとに進化しており、なかには私達日本人が日常的に使用しているようなサービスを偽っているものも多く、それらを見分けることが難しいため、多くの被害が続出しています。

フィッシング対策協議会による「フィッシングレポート2024」によると、2023年上半期のフィッシング被害に伴うクレジットカードの不正利用やインターネットバンキングの不正送金による被害が急増しており、年間の被害件数とフィッシング情報の届け出件数が過去最多となりました。フィッシング詐欺によるなりすましの実例としては、ECサイト大手である楽天やAmazonになりすましたフィッシングメール、クレジットカード会社、マイナポイント事務局などの公共サービス、交通系サービスなどが報告されています。

フィッシング詐欺の手口

フィッシング詐欺の手口をあらかじめ知っておくことで、詐欺に早く気づいて引っかかりにくくなったり、アカウント乗っ取りの被害を未然に防ぐことができます。ここからは、フィッシング詐欺の事例について、詳しく解説します。

  • ソーシャルエンジニアリング:ソーシャルエンジニアリングとは、情報通信技術を使わずに、人間の心理的な隙や不注意・心の弱さなどの行動ミスを利用して、パスワードやIDなどの重要情報を盗み出すサイバー攻撃手法です。メールに、恐怖を煽ったり、何かを催促したりするような内容が含まれている場合は、フィッシング詐欺である可能性が高いので、注意してください。
  • リンクの操作:メール内のURLやリンク先のサイトを本物と似せて、直感的にわかりにくいように偽装し、ターゲットを騙すのもフィッシング詐欺の一般的な手口です。実際、過去にはJR東日本が運営するチケット・ツアー予約サイト「えきねっと」を装ったフィッシングメールが流行した事例があります。不審なメールを受信した場合は、安易にURLをクリックしないことをお勧めします。
  • フィルタリングの回避:最近ではフィッシング対策のルールが追加され、フィッシングメールはスパムメールとして判定されることが多くなっていますが、スパムフィルターに引っかからないようにランダムな文字列を追加したり、HTMLを悪用したりするケースもあるようです。フィルターを欺くためのテクニックは他にもたくさんあります。サイバー犯罪者は、これらの手法を組み合わせて、複雑で悪質なフィッシング詐欺メールを作り出しているのです。

フィッシング詐欺一覧

以下では、具体的なフィッシング詐欺一覧を紹介します。

メールフィッシング

メールフィッシングは、メールサービスを悪用したフィッシング詐欺の手口です。メールフィッシングは、基本的に以下の3種類に細かく分けられます。

スピアフィッシング

スピアフィッシングは、特定の個人を狙うフィッシング攻撃のことです。サイバー犯罪者は、まずフィッシングメールを送信する前にターゲットのSNSなどで公開されているアカウントから情報を収集し、ターゲットの働く会社を見つけ出したりするなどターゲットに関して調査を行ないます。ターゲットに関するある程度の情報を入手すれば、サイバー犯罪者はターゲットの友人や家族、会社の同僚などターゲットが信頼している人物になりすまし、ターゲットにアプローチして個人情報やクレジットカード番号、銀行口座情報などの金融情報を盗み出すことができます。

また、スピアフィッシングでの常套手段として多いのがビジネスメールによる詐欺です。サイバー犯罪者が、会社の上司を装って銀行口座情報を聞いたり、携帯電話会社や電機会社等を装って支払い方法の変更を依頼してきたり、各自治体の職員を装って源泉徴収情報などを聞きだそうとしてきます。

ホエーリング

スピアフィッシングの一種であるホエーリングもフィッシング詐欺の手口の一つで、主に企業の役職者になりすまし、幹部や財務部門の責任者を狙って機密データや金融情報を聞き出すのが特徴です。これは、各企業の上層部で権限がある人が業務連絡する際に個人用のメールアドレスを使用していたりするなど、まだままセキュリティ対策が甘い企業が少なくないこともあり、サイバー犯罪者はそのちょっとした隙を狙っています。

この手口は、他のフィッシング詐欺に比べてなりすましをするための難易度が高いですが、長時間ターゲットの調査を行なって十分な情報を得ることができれば、その分非常に大きいリターンが得られる可能性があります。

クローンフィッシング

メールを使って不特定多数に詐欺メールを送り付けるフィッシング詐欺のことをクローンフィッシングと呼びます。サイバー犯罪者は、まずターゲットの受信トレイを注意深く監視しながら、ターゲットが最近受信したメールに類似した偽のクローンメールを作成し、添付ファイルにマルウェアを含めたり、添付したURLをクリックすることでフィッシング詐欺用の偽サイトにリダイレクトされるように仕向けます。

この手のフィッシング詐欺メールに多いのが、送信者の本物のメールアドレスとほとんど同じようにみえますが、実は微妙に詐称されていて非常に気づきにくい偽のメールアドレスを使用している点です。

ビッシング

ビッシングとは、電話をかけてクレジットカード会社や銀行等の関係者になりすまし、ターゲットから生年月日やパスワード、クレジットカード番号、銀行口座情報などの情報を巧みに聞き出して、カードを不正使用する手口です。

この手口を使う犯罪者は、ユーザーに関する情報を事前に調べていることもあり、電話上でのやり取りだけでは本物か詐欺かを見分けるのは非常に難しく、ついつい情報を話してしまって被害に遭ってしまう人が後を絶ちません。

スミッシング

スミッシングとは、SNSなどのアカウントに成りすまし、SMSでメッセージを送信するフィッシング詐欺のことです。フィッシングメール同様に、大手企業の本物のウェブサイトに酷似した偽のサイトへ誘導させたり、マルウェアを含んでいる不正なアプリをダウンロードさせようとしてきます。

アングラーフィッシング

サイバー犯罪者が実在する企業のカスタマーサービス担当者になりすまし、ターゲットに個人情報を提供するよう仕向ける攻撃手口のことをアングラーフィッシングと呼びます。

具体的には、まずサイバー犯罪者は知名度の高い大手企業の偽のカスタマーサポートのウェブサイトや電話番号を作ります。それをみて問い合わせてきたユーザーに対して、カスタマーサポートスタッフになりすました犯罪者が、真摯に対応していると見せかけて巧みに誘導し、クレジットカード番号など個人情報を聞き出したり、フォームに記入させようしてきます。

カレンダーフィッシング

サイバー犯罪者がGoogleのカレンダー機能を悪用して攻撃を仕掛けるフィッシング詐欺のことをカレンダーフィッシングと呼びます。具体的には、サイバー犯罪者がカレンダー内でアンケートに答えると豪華商品プレゼントなどと偽ったフィッシング詐欺サイトへのリンクを含む招待を一方的にターゲットに送信し、リンクをクリックさせようとする手口です。

Googleカレンダーだけでなく、iPhoneで利用できるカレンダーを悪用するiPhoneカレンダーウイルスも同じ手口です。リンクをクリックしてしまうと偽のアンケートサイトにリダイレクトされ、各賞品を受け取るために住所や電話番号、クレジットカード情報などの個人情報の入力が求められますが、もちろん偽物なので入力したデータは全てサイバー犯罪者に盗まれてしまいます。

フィッシング詐欺の実例

ここでは、普段の生活の中で遭遇する可能性のある主なフィッシング詐欺の実例を紹介します。

  • 銀行なりすましメール:サイバー犯罪者が銀行になりすましてメールを送ってくるケースがよくあります。サイバー犯罪者は、銀行と本物そっくりのメールを送ってきて、口座情報更新のために再度個人情報の入力が必要ですなどと偽って、個人情報を盗もうとしてきます。
  • ソーシャルメディアアカウント回復詐欺:SNSをはじめとするソーシャルメディアのメッセージやメールで、「あなたのアカウントは一時的に制限されています。この制限を解除するには、アカウントの詳細を確認していただく必要があります」や「あなたのアカウントはプライバシーポリシーの違反により削除予定です」などという偽の内容を送り付けて、精神的に追い込んでアカウントを回復させるために個人情報を入力させる手口はよくあります。また、SNSだけでなく、クレジットカード会社や金融機関などを偽る場合も最近増えています。
  • 還付金詐欺:最近、お年寄りを中心に被害が多いのが還付金詐欺です。この手口の特徴は、犯罪者が電話で医療費の過払い分や年金の未払いなどによって還付金、過払い金、払戻金、給付金があると偽の説明をし、ターゲットにATMを操作させて、お金をだまし取ります。電話だけでなく、メールやSMS、郵便物など多岐にわたるため、このような書類が届いた場合は注意が必要です。
  • 偽のテクニカルサポート電話:偽のテクニカルサポート電話による詐欺事件も、最近非常に多いです。過去に実際にあった主な手口は、ターゲットのパソコンの画面に突然、ウイルス感染したかのような偽の画面を表示させてユーザーの不安を煽ります。焦ったユーザーは画面に表示されているカスタマーサポートに電話をかけて、サポート代として金銭を騙し取ったり、マルウェアを含んだ偽のセキュリティソフトをダウンロードさせようとしてきます。
  • 宅配便業者を装った不在通知詐欺:SMSで身に覚えのない荷物の不在通知が届いた場合は電話番号が悪用されている可能性があります。IDやパスワードをはじめ、個人情報などを盗むための手口の可能性があるので絶対に入力しないようにしましょう。また、注文していない商品が届いた場合も注意が必要です。この手の詐欺は、ターゲットに一方的に商品を送り付けることで、金銭を得ようとする詐欺の手口で、配達通知詐欺とともに最近、日本国内でも被害が増えています。
  • 義援金詐欺:過去に地震や災害、新型コロナウイルスのパンデミックなどに便乗して、義援金の募集と謳う電話やメールを送りつけて、支払いをさせて個人情報や金銭を騙し取る事例が起きています。特に日本では災害が多いので、この手の人の善意を悪用する詐欺が多く、災害のたびに発生する深刻な社会問題のひとつといえます。

フィッシング詐欺を見破る7つの方法

フィッシング詐欺の被害に遭わないためにも、普段から万全なセキュリティ対策を実行しておくことが必要不可欠といえます。しかし、フィッシング詐欺を見破るためには、どのようなことに注意しておけばよいのでしょうか。こちらでは、フィッシング詐欺を見破るための7つの方法について解説します。

1.不審なリンク

LINEなどのメッセージアプリやSMS、メールサービスで不審なリンクを含んだメッセージやメールを受信した場合は、絶対にクリックしないようにしましょう。特にURLの文字列がわからない短縮URLの場合は、偽サイトへの誘導の可能性が高いといえます。

たとえ、家族や友人からのメッセージだとしてもURLだけが添付されたり、やりとりの内容がいつもと違和感がある場合はLINEやInstagram、Facebookアカウントの乗っ取りされている可能性があるので、その場合は返信しないで他の連絡手段を使って本人に直接確認するようにしましょう。

2.差出人のメールアドレスがいつもと違う

メール本文の名前は友人や同僚だが、いつもと異なるメールアドレスから送られてきた場合は、偽物の可能性があります。サイバー犯罪者が友人や同僚の個人情報を盗み出して偽のメールアドレスを作成し、あなたを騙そうと送ってきているかもしれません。

犯罪に巻き込まれないためにも普段から差出人のメールアドレスを細かく確認するようにし、もしもメールアドレスが違う場合はフィッシング詐欺の可能性が高いので絶対に返信しないようにしましょう。

3.緊急または脅迫的な表現

銀行や大手企業から顧客情報の更新などと偽って緊急や脅迫的な表現の内容を含むメールが届いた場合はフィッシング詐欺の可能性があります。たしかに各オンラインサービスで顧客情報の更新などで個人情報が求められることはよくありますが、本物の大手企業の場合は、どのような時も緊急や脅迫的な表現を使うことはありません。

特に「ただちに」や「24時間以内」になどと緊急を要する表現を使用している場合は、まずフィッシング詐欺といって間違いありません。返信したり、添付されているリンクをクリックしてしまうとサイバー犯罪者の思うつぼなので無視しましょう。頻繁に届く場合は、メールサービスの設定を変更したり、警察にあるサイバー犯罪専門の窓口に相談してみるとよいでしょう。

4.一般的な挨拶

GWや夏休み、年末年始など1年のうちにいくつかある長期休みやイベント、キャンペーン期間中に各企業からメールが届く場合がありますが、これに便乗したフィッシング詐欺メールも存在します。サイバー犯罪者は、アンケートに答えると商品プレゼントやお得なキャンペーンを実施中と偽ったメールを不特定多数に送り付け、個人情報を入力させようと促してきます。

5.信じられないほど良い特典

近年、各企業からキャンペーンや新商品、バーゲン情報のメールが届くことが珍しくありませんが、なかには法外な割引価格だったり、他社と比べてあまりにも安すぎるという、うますぎる内容のオファーが届いた場合は要注意です。

フィッシング詐欺の基本はターゲットを釣ることなので、サイバー犯罪者はユーザーが喜んで飛びつくような内容のオファーを含んだメールを送ってきます。冷静になって考えればありえないということはすぐにわかるのですぐに返信したり、添付されているリンクをクリックしないようにしましょう。

6.不審な添付ファイル

たとえ、大手企業から届いたメールでも見覚えのない不審なファイルが添付されている場合は、フィッシングメールでマルウェアなどが含まれている可能性があります。もし、フィッシング詐欺メールに添付されているファイルを開いてしまったら、デバイスがマルウェアに感染してデバイス内の個人情報の盗難の被害や遠隔操作されたり、最悪の場合は使用不能に陥る危険があります。

7.スペルミスや文法の間違い

届いたメッセージやメールの内容でスペルミスや文法の間違いがあった場合、日本人をターゲットにした外国人犯罪者(または犯罪者がAIを使った)が作ったフィッシング詐欺メールの可能性があります。

また、スペルミスや文章が不自然な場合以外にも、文字のフォントやスペース、改行、句読点の使い方が明らかにおかしく、違和感を感じた場合もフィッシング詐欺の可能性があるので、絶対に返信しないようにしましょう。

フィッシング詐欺の被害に遭った場合の対処法

仮にもし、フィッシング詐欺にあったら、被害を最小限に抑えるためにもできるだけ早く対応することが重要です。以下では、フィッシング詐欺の疑いがある場合の対処方法と、フィッシング詐欺の被害に遭ってしまった場合の対処方法について、それぞれ説明します。

フィッシング詐欺の疑いがある場合

金融機関や普段利用しているサービスの企業から、いつもと違う手続きを求めるメールが届いた場合は、内容を鵜呑みせず、確認することが大切です。

フィッシング詐欺かどうかの判断が難しい場合は、メールを送ってきた会社に問い合わせてみましょう。ただし、メールに記載されている相手先の情報が正しいとは限らないので、電話をかける際は、正規のウェブサイトや金融機関・企業からの郵送物などで電話番号を調べてからにしましょう。

フィッシング詐欺のメールやリンクなどを開いてしまった場合

普段からフィッシング詐欺に引っかからないように注意していたとしても、偽のサイトがあまりにも精巧で本物と見分けるのは至難の業です。現在、日本では気づかないうちにフィッシング詐欺メールや偽サイトで個人情報を入力してしまった結果、情報窃盗の被害に遭ってしまうなんてことは日常茶飯事に起きています。以下では、偽サイトで誤って個人情報を入力してしまった場合の対処法を紹介します。

  • 金融機関のサポート窓口やクレジットカード会社に連絡する:もし、フィッシング詐欺に引っかかって個人情報を入力してしまった場合は、すぐに入力した金融機関のサポート窓口やクレジットカード会社などに連絡することが先決といえます。クレジットカード会社によっては、個人情報やクレジットカードが不正使用された場合に補償があるところもあるので、フィッシング詐欺の被害に遭った場合はなるべく早くクレジットカード会社に連絡するようにしましょう。
  • フィッシング110番窓口やサイバー犯罪窓口に通報する:金融機関やクレジットカード会社のサポート窓口に連絡した後は、公的機関への通報や相談も検討しましょう。各都道府県には、フィッシング詐欺を専門に扱う「フィッシング110番窓口」やインターネット犯罪に対応する「サイバー犯罪窓口」が設けられています。フィッシング詐欺の被害に遭った際には、再び被害に遭わないためのセキュリティ対策を知るためにも、そして自分と同じ被害に遭う人を増やさないためにも情報提供することをおすすめします。フィッシング詐欺以外でも、同じように金融被害やトラブルに巻き込まれた場合は、国民生活センター全国銀行協会に相談することができます。

フィッシング詐欺の対策

今回、フィッシング詐欺の特徴をはじめ、さまざまな手口や実際の事例などを通して多くのことを学ぶことができました。残念ながら今後もフィッシング詐欺は100%なくなることはありません。しかし、私達は普段の生活において適切なセキュリティ対策を実行しておくことで、被害に遭う可能性を限りなく抑えることができます。最後にフィッシング詐欺の被害に遭わないために気をつけるべきポイントをいくつか紹介します。

  • 各オンラインサービスで多要素認証(MFA)が利用可能な場合は必ず導入する(ない場合は2段階認証を導入)
  • 受信したメールやメッセージに不審な点があった場合は、返信する前に送信者に別な方法で直接確認する
  • 不審なメールやメッセージ内のリンクをクリックしない
  • お使いのデバイスにセキュリティ対策ソフトを導入する
  • ソフトウェアを更新し、常に最新版の状態を保つ
  • インターネット閲覧の安全性を高めるために通信内容を暗号化できるVPN(仮想プライベートネットワーク)を使用する
  • 駅やカフェなど不特定多数が使用する公共のフリーWi-Fiを使用する場合はVPNに接続する
  • 自分の各オンラインサービスのアカウントが漏えいしたり、他人に使用されていないかを常に監視する
  • 自分で学んだオンラインセキュリティに関する知識をまわりの人にも伝える

ワンクリックでオンラインセキュリティ対策を。

世界をリードするVPNで安全を確保

こちらでもご利用可能: 繁體中文(台灣), Nederlands, Dansk, Svenska, Italiano, עברית‏, Türkçe, Українська, Suomi, 繁體中文(香港), Deutsch, Português, Norsk, Español, 简体中文, ‪한국어‬, Русский, Français, Bahasa Indonesia, Polski, Lietuvių, English, Português Brasileiro, Español Latinoamericano.


author nozomi 1 png

Nozomi Nishimura

西村望美は、テクノロジーとオンラインプライバシーについて学ぶことを楽しんでいるライターです。サイバーセキュリティについて、わかりやすく説明することをモットーに、知識を共有しています。