ユーザーを偽サイトに誘導し、IDやパスワードなどのログイン情報を抜き取る「フィッシング詐欺」。
インターネットの普及とともに手口も巧みになっており、近年は個人だけでなく企業を標的にしたフィッシング詐欺も増加傾向にあります。
この記事では、フィッシング詐欺とはどんな詐欺なのか、その手口を解説しつつ、フィッシング詐欺に遭わないための6つの対策をご紹介します。
フィッシング詐欺とは?
フィッシング詐欺の語源は、相手をだまして釣り上げるという意味の「fishing」です。大手会社のHPや管理画面を偽装したURLに誘導し、クレジットカード番号やID・パスワード、暗証番号などの情報を盗み取る行為を意味します。
盗まれた個人情報は本人の「なりすまし」に利用され、不正行為などに悪用されるため、フィッシングされない(釣り上げられない)ための対策が必要です。
フィッシング詐欺の件数は増加中
インターネットやSNSの普及とともに、ネットのフィッシング詐欺の被害件数も年々増加しています。
上記のグラフはセキュリティソフト「ウイルスバスター」をリリースしているトレンドマイクロ社が2021年10月に実施した調査の結果ですが、特にスマホ利用者が詐欺サイトに誘導されて被害に遭うケースの増加が顕著です。
フィッシング詐欺に遭わない(釣り上げられない)ためには、「餌」となる偽サイトに誘導されない、誘導されても個人情報を入力する前に偽サイトと見抜く力が必要です。
デジタル時代に注意すべきフィッシング詐欺の手口
フィッシング詐欺に騙されないためには、フィッシング詐欺の手口を知っておくことが重要です。続いては、フィッシング詐欺の代表的な4つの手口をご紹介します。
- なりすましメール詐欺
- なりすましSMS詐欺(スミッシング詐欺)
- なりすましSNS詐欺
- ファーミング
いずれも、インターネットが普及した昨今は本当によく見かける手口です。
なりすましメール詐欺
なりすましメールはフィッシング詐欺として古典的な手法ですが、今なお多くの詐欺メール・偽メールが出回っています。
有名な大手企業になりすましてメールを一斉に送信し、メールの受信者をだます文章や脅迫する文言で偽サイトに誘導。ログインやクレジットカードの再登録などを促し、情報を抜くのが、なりすましメール詐欺の特徴です。
中には、メールに添付したファイルを開封・実行させ、デバイスにマルウェアなどを仕込むなりすましメールもあります。
なりすましSMS詐欺(スミッシング詐欺)
なりすましSMS詐欺はスミッシング詐欺(SMSとフィッシング詐欺を結び付けた造語)とも呼ばれ、なりすましメール同様ランダムに送信されてきます。
以前はSMSの利用率はそれほど高くありませんでしたが、昨今は管理画面へのログイン時にSMS認証を導入する金融機関やECサイトなども増え、SMSが以前より身近になってきました。
さらに、メールと違って迷惑フォルダに振り分けられることもないことから、近年被害が増加傾向にあります。
なりすましSMSで装われることが多いのは、銀行などの金融機関や宅配業者です。これらの業者を語るSMSが届いたら、なりすましの可能性があることを頭に入れておきましょう。
なりすましSNS詐欺
近年はSNSの種類も多様化し、利用するのが当たり前の時代となってきました。それに伴い、企業の偽SNSアカウントも多くみられるようになってきています。
偽SNSアカウントから誘導されるURLは偽のフィッシングサイトであり、個人情報の盗難が目的です。
企業のSNSアカウントからDMが届いた際は、なりすましかどうかを確認する癖を付けましょう。
ファーミング
ファーミングとは、ユーザーのデバイス上で悪意のあるコードを実行し、偽サイトに誘導する行為です。メール・SMS・SNSといった媒体経由でURLを踏ませるのではなく、ユーザーのデバイス設定を乗っ取り、正規のサイトにアクセスした際に、自動的に偽サイトにリダイレクトしてしまうのです。
そのため、現実にはフィッシング詐欺とは異なりますが、最終的に偽サイトに誘導し、個人情報を抜き取るという最終ゴールはフィッシング詐欺と同様です。
なりすましメールなどで偽のURLを踏ませるという手順を省ける分、ファーミングの方が厄介とも言えますね。デバイスが悪意のあるマルウェアに感染することで、起きうるリスクです。
ネット経由のフィッシング詐欺を回避するための4つの対策
続いて、上記でご紹介したフィッシング詐欺の被害を回避するための対策方法をご紹介します。大切な個人情報を盗まれないために、下記4つの対策はぜひ実行しましょう。
- フィッシング詐欺に強いセキュリティソフトを導入する
- パスワードは使いまわさない
- ブラウザではなく公式アプリを利用する
- なりすまし詐欺メールに注意する
フィッシング詐欺に強いセキュリティソフトを導入する
フィッシング詐欺の手口を知り、騙されないように気を付けることはとても大切ですが、すべてのリスクを回避するのは至難の業です。
特に、普段利用しているサービスの企業名を語るなりすましメール・SMS・SNSが届くと、よほど注意深く対処できる人でないと偽サイトに誘導されてしまうのではないでしょうか。
さらに、ファーミングのようにデバイスがマルウェアの感染してしまうと、いくら注意していてもリスクの回避は困難です。
そういった事情を踏まえ、フィッシング詐欺のリスクをできるだけ低下させるためには、「フィッシング詐欺などのネット詐欺に強いセキュリティソフト」の導入がおすすめ。セキュリティソフトと一口に言っても、搭載されている機能はソフトによって異なりますので、フィッシング詐欺に強いソフトを選びましょう。
ここでは、フィッシング詐欺機能が充実した3つのソフトをご紹介します。
ウイルスバスタークラウド
トレンドマイクロ社が手掛ける国産セキュリティソフト「ウイルスバスター」には、フィッシング詐欺をはじめとする「ネット詐欺」を防ぐための機能が多数搭載されています。
子どもがアクセスできるWebサイトも制限できるため、子どもがフィッシング詐欺にかかるリスクの低減可能です。
日本国内の専門家チームを結成し、日本特有のネット詐欺に対してつねに情報を収集・対策している点も、安心できるポイントと言えるでしょう。
フィッシング詐欺対策に重点を置きたいなら、まず検討すべきセキュリティソフトです。
ノートン 360
個人向けのセキュリティソフトとしては最も多機能と言える「ノートン 360」にも、フィッシング詐欺対策機能が搭載されています。
詐欺サイトへのアクセスを遮断するだけでなく、怪しいネットワークからデバイスへのアクセスも遮断してくれるため、二重の対策が可能です。
近年注目度が高まっているVPN接続機能も追加料金なしで利用できるため、フリーWi-Fiなど安全性に不安がある通信を利用する方にもおすすめです。
マカフィーリブセーフ
1つのライセンスで台数無制限のデバイスに利用できる「マカフィーリブセーフ」には「ウェブアドバイザー」という機能が搭載されています。
この機能を利用すると通常の検索結果に表示されたWebサイトの安全性も確認することができるため、検索エンジン経由で怪しいサイトにアクセスしてしまうといった事態も防げます。
なりすましメールから危険なサイトに誘導された際はアラートで警告してくれる機能もあり、複数台のデバイスをまとめてフィッシング詐欺から守りたい方におすすめです。
ブラウザではなく公式アプリを利用する
普段から利用頻度の高いサービスが公式アプリをリリースしている場合は、管理画面へのアクセスをアプリ経由に統一してしまうことをおすすめします。
なりすましメール・本物の案内メール問わず、届いたメールに記載されたURLからはアクセスせず、アプリからアクセスする習慣を付ければ、偽サイトに誘導されることはありません。
PCの場合は、正規のサイトをブラウザのブックマークに登録し、必ずブックマークからアクセスするようにすれば、同様の効果が見込めます。
パスワードは使いまわさない
複数のサービスに対して共通のパスワードを使いまわしていると、いざ1つのサイトで流出した際にすべてのサービスで被害を受けるリスクがあります。
そのため、以下のようなサイトを利用してパスワードを自動生成し、サービスごとに使い分けるのがおすすめです。
「ランダムに生成された複数のパスワードは覚えきれない!」という方には、ID・パスワードの管理ツールがおすすめ。
1Passwordなどメジャーな管理ツールを利用すれば、PC・スマホなどデバイスを問わず、台数無制限でID・パスワードの一元管理が可能です。
1Passwordのパスワードだけを覚えておけば、すべての複雑なパスワードは1Passwordが記憶してくれるため、非常に便利ですよ。パスワードの自動生成機能も付いているため、パスワードに関するすべてをこのツールで一元管理できます。
なりすましメール・SMS・SNSに注意する
フィッシング詐欺に強いセキュリティソフトを導入することでかなりの安全性が担保できますが、ご自身でもなりすまし系のメール・SMS・SNSに対して用心すれば、より安心感が高まります。
具体的に意識したいのは、以下2つのポイントです。
- メール・SMS・SNSに記載されているURLをむやみにクリックしない
- メール・SMS・SNSの送信元アドレスを確認する
メール・SMS・SNSに記載されているURLをむやみにクリックしない
こちらは、フィッシング詐欺対策の基本です。
メール・SMS・SNSなどに記載されたなりすましの可能性があるため、確実に本物だと確信が持てる場合以外は記載されたURLのクリックは控えましょう。
また、ネット上の掲示板などに掲載されているURLも、誘導先が偽サイトである可能性を否定できません。原則として、URLをクリックして誘導されるサイトに一律で用心するようにしてください。
メール・SMS・SNSの送信元アドレスを確認する
以下は、筆者に届いたなりすましメールの一例です。「楽天e-NAVI」という楽天カードを装った詐欺メールで、メール文面も不安をあおる内容となっています。
ログイン画面に誘導するボタンも本物そっくりに作られており、一見不安になりますが、こういった場合は送信元アドレスを確認してみましょう。
今回の場合、送信元として表示されている文言は「楽天e-NAVI」ですが、クリックするとメールアドレスが確認できます(確認方法は、メーラーによって異なります)。
すると、楽天とは全く関係のないメールアドレスが確認できました。この時点で、なりすましの詐欺メールであることが確定できます。
このほか、リンクの部分にカーソルを当てると、ブラウザの左下に誘導先のURLが表示されるため、その部分を確認することでも詐欺メールかどうかを見分けることが可能です。
【番外編】訪問サイトがSSL化されていても安全とは限らない
ネット上には、「SSL化されているサイトは安全で、SSL化されていないサイトは安全ではない」という古い情報も残っています。
しかし、この情報は正確ではありません。
現在は詐欺サイト・偽サイトもSSL化が当たり前になりつつあり、中には本物のサイトと似せた別ドメインを取得し、SSL化してなりすましているフィッシングサイトがあるため、要注意です。
ウイルスバスターがフィッシング詐欺をはじめとしたネット詐欺に強い理由
上記の対策編でフィッシング詐欺に強いセキュリティソフトをご紹介しましたが、中でもウイルスバスターはフィッシング詐欺をはじめとしたネット詐欺対策に力を入れています。
ウイルスバスターがフィッシング詐欺に強い理由は、以下の通りです。
- ネット詐欺対策機能が充実している
- 詐欺サイトの検出を強化する取り組みを継続実施している
ネット詐欺対策機能が充実している
ウイルスバスターには以下4つのネット詐欺対策が標準搭載されています。
- Web脅威対策
- 詐欺メール対策
- 偽警告/サポート詐欺対策
- Trendツールバー
それぞれの詳細は、以下の通りです。
Web脅威対策
こちらは、個人情報や金銭を狙ったフィッシング詐欺に代表される詐欺サイトへのアクセスをブロックする機能です。
有害・無害の判断に使用されるのは、トレンドマイクロ社のデータベースに蓄積された「過去の不正プログラム転送・オンライン詐欺に関わった危険性の高いWebサイトの情報」。
アクセスしようとしたURLの情報を暗号化してトレンドマイクロのサーバに送信し、そのWebサイトの安全性をチェックします。
詐欺メール対策
こちらは、詐欺メールを検出して警告画面を表示する機能です。
Webメール上で、フィッシング詐欺やセクストーション等、情報や金銭を窃取する目的で利用者を騙す詐欺メールを検出し、警告画面を表示します。
対応しているのは、以下の Web メールサービスです。
- Gmail
- Yahoo!メール
- Outlook.com
※「標準 HTML 形式」のみ
※MacOS は Gmail のみ
偽警告/サポート詐欺対策
こちらは、「偽のセキュリティ警告文を表示して偽のサポートセンターへ電話をするように仕向けるサポート詐欺サイト」を検出し、電話をしないように警告画面を表示する機能です。
偽の警告文の判定には、AI(人工知能)技術が応用されています。
Trendツールバー
こちらは、Webブラウザにインストールして利用します。
Webサイトの検索結果やメール内のURLの安全性を評価し、色別で表示する機能です。アクセスしようとしているサイトの安全性や危険性を、視覚的に判断できます。
また、以下の機能の有効・無効の設定も、Trendツールバーにて行います。
- Web サイトの安全性をチェックする「Web 脅威対策」、「検索結果の URL の安全性通知」
- メールの安全性をチェックする「詐欺メール対策」
- 口座情報やカード情報から守る「決済保護ブラウザ」
詐欺サイトの検出を強化する取り組みを継続実施している
上記でご紹介した複数の機能を支えているのが、トレンドマイクロ社のデータベースと日本国内の専門家チームです。
フィッシング詐欺をはじめとするネット詐欺のトレンドは国によって異なるため、日本におけるフィッシング詐欺に対抗するためには、日本ならではの独自性にこだわった対策が必要です。
その点、ウイルスバスターの機能は、「日本」という国に特化した情報収集・解析に支えられているため、それだけ信頼度も高くなります。
この点は、日本企業ならではの強みと言えるでしょう。
フィッシング詐欺に遭ってしまった場合は速やかに関係機関に連絡を
最後に、フィッシング詐欺に遭ってしまった場合の対処方法をご紹介します。
最も重要なのは、「盗まれた個人情報の悪用を防ぐ」こと。そのためには、盗まれたID・パスワードでのサービス利用を停止する必要があります。
詐欺サイトに入力した個人情報によって停止するサービスは異なりますが、フィッシング詐欺では主に下記3つの個人情報が狙われます。
- クレジットカード情報
- 銀行や証券会社などの口座情報
- 各種SNSのアカウント情報
入力した内容に応じて各サービス会社に連絡し、対応を相談してください。
まとめ
フィッシング詐欺の形は年々巧妙になっており、騙されないためにはしっかりとした対策が必要です。
個人として気を付けるべきポイントを押さえつつ、フィッシング詐欺対策が充実したセキュリティソフトを導入してリスクに備えましょう。