現在地
ホーム>知る・楽しむ>ソナエル・ラボ
日頃のそなえ

2019.05.23

【見抜けないほど巧妙に!?】フィッシング詐欺の最新事情をチェック!

日頃のそなえ

2019.05.23

【見抜けないほど巧妙に!?】フィッシング詐欺の最新事情をチェック!

「フィッシング詐欺」といえば、いかにも怪しいメールが届き、すぐ偽物だとわかるWebサイトに誘導するもので、自分は引っかからないだろう……と思っていませんか?実は、最新のフィッシング詐欺は専門家も戸惑うほどに手口が巧妙化しているのです。今回は、フィッシング詐欺の最新の傾向や対策について、「フィッシング対策協議会」の駒場一民さんにお話を伺いました。


190523_thumb01.jpg
駒場一民さん
「フィッシング対策協議会」事務局 証明書普及促進ワーキンググループ副主査。
さまざまなメディアやセミナーなどで、フィッシング詐欺に関わる最新情報などを発信。


そもそも「フィッシング詐欺」とは?

190523_thumb02.jpg

引用:フィッシング対策協議会「STOP!フィッシング詐欺について」

実在する企業を騙るメールなどでアカウント情報や個人情報、金銭を騙し取る
フィッシング詐欺は、実在の企業を騙って個人情報や決済情報、金銭を騙し取る犯罪です。例えば「あなたのIDが乗っ取られていますので、至急パスワードを変更してください。変更手続きはこちら」というURL入りのメールを送りつけて、偽のWebサイトを表示させます。ユーザーは偽サイトと気づかず、ログインIDやパスワードなどを入力することによって、不正に情報を抜き取られてしまうのです。
警察庁が発表した「平成29年中におけるサイバー空間をめぐる脅威の情勢等について」によると、2017年のインターネットバンキングを狙ったフィッシング詐欺の発生件数は425件、被害総額は約10億8,100万円にものぼりました。また、一般社団法人日本クレジット協会の発表「日本のクレジット統計 2017年(平成29年)版」では、2017年の番号盗用被害額は約176.7億円にものぼりました。

銀行からクレジットカード、ネットショッピングへと手口が変化
手口は年々、変化しています。2014年頃には銀行のオンラインバンキングを騙る手口が横行しました。IDとパスワードはもちろん、振り込みなどの際に必要になる認証番号カードや暗証カードなどの番号表(乱数表)を使った情報も抜き取る手口だったので、これをきっかけに一定時間ごとに自動的に新しいパスワードに変更され、しかも、一度しか使うことができないパスワードであるワンタイムパスワード(OTP)が使われるようになり、以前よりも銀行を騙る手口は見られなくなりました。
続いて増え始めたのが、クレジットカード会社を騙り、決済情報を抜き取るもの。Web上で利用明細を確認できるサービスを装い、カード番号だけでなくセキュリティコードも入力させてしまうのです。さらに、利用者数の多い大手ネットショッピングサイトのIDやパスワードとあわせて、サイトに登録しているクレジットカード情報などを狙う手口も登場しています。

SNSを乗っ取り、友達にプリペイドカードを買わせる手口も
2016年には、SNSのIDとパスワードを不正に取得してアカウントを乗っ取り、乗っ取ったアカウントで友達にプリペイドカードを買うよう頼んで騙し取る手口の詐欺も登場しました。このように一見お金に関係がないように見えるアカウント情報でも、詐欺に利用されてしまうことがあるのです。

2019年現在、フィッシング詐欺の最新の手口は?

190523_thumb03.jpg
宅配便の不在通知を騙り、キャリア決済を不正利用する新たな手口も
一見お金に関係がないといえば、最新の手口もそうです。宅配便の不在通知を装ったショートメッセージで偽のWebサイトへ誘導し、携帯電話番号と認証コードを入力させて抜き取ります。
当初はフィッシング対策協議会でも「これらの情報だけでは、利用明細を見るくらいしかできないのでは?」と考えられていたのですが、実は狙われていたのは携帯電話の利用料金と併せて買い物やサービスの代金を支払う、いわゆる「キャリア決済」でした。ユーザーに気づかれないようにキャリア決済でプリペイドカードを買い、第三者へ送っていたのです。携帯電話料金の明細を日々チェックするという人は多くはないですから、被害に気付くのが遅くなるのも特徴です。

ワンタイムパスワードの限界?銀行も再び狙われ始めている
銀行などのワンタイムパスワードも、最近はリアルタイムで犯人が待ち構えていて、ユーザーが入力してからパスワードが無効になるまでの短い間にパスワードを抜き取り、不正利用する手口が登場しています。リアルタイムで待ち構えているような偽サイトに入力してしまったとなれば、完全に安全な認証方法は今のところないのが実情です。

冷静さがカギに!フィッシング詐欺を防ぐ心がけ

190523_thumb04.jpg
メールの文面やWebサイトのデザインだけで見抜くのは難しい
2014年頃のフィッシング詐欺メールは、明らかに拙い日本語が使われていたりして、一目でわかるものが多かったのも確かです。ただ、年々メールの文面やWebサイトの見かけだけで見抜くのは難しくなってきています。それを踏まえて、以下のことを心がけてみてください。

・自分に本当に関係のあるメールか確認する
使っているものとは違う携帯電話会社からのメールや、持っていないクレジットカード会社からくるメールはまず自分に関係がないはずです。身に覚えのない宅配便の不在通知なども同様です。実際に、お中元やお歳暮、クリスマスシーズンなど宅配便の利用が多い時期は、宅配便を騙るメールが増える傾向がありました。犯人は、「お届け物があるかもしれない」と油断しがちなタイミングを狙っていると考えられます。

・メール内のURLはクリックせず、ブックマークやアプリで開いてみる
慌ててメール内のURLをクリックしないでください。その企業・サービスの公式専用アプリからログインしたり、普段使用しているブラウザに登録してあるその企業・サービスのブックマークを経由してWebサイトにログインしたりして、メールの内容と同じお知らせがあるかを確認してみましょう。

・サポートセンターに問い合わせてみる
企業・サービスに電話やチャットなどのサポートセンターがある場合は、そのメールが本当に企業・サービスから送られたものか確認してみるという方法もあります。ただし、サポートセンターの連絡先はメールに書かれている電話番号やチャットアドレスではなく、企業のホームページ等に掲載されているものを使用することが重要です。

・WebやSNSの検索で同じ手口が報告されていないか調べる
フィッシング詐欺のメールは夜間や週末に送られることが多く、企業やフィッシング対策協議会の対応が追いつかないこともあります。そんな時は、メールの文面の一部をコピーしてWeb検索をかけてみたり、SNSで検索したりして、同じ手口のフィッシング詐欺事例が紹介されていないかチェックしてみてください。その情報自体の信頼性を確かめる必要はありますが「これは詐欺かもしれない」と考えるきっかけにもなるはずです。日頃からの情報収集も身を守る一つの方法です。フィッシング対策協議会の緊急情報(https://www.antiphishing.jp/)にも情報が掲載されているので、チェックしてみてください。

・入力している情報は「本当に必要か」一度立ち止まって考える
フィッシング詐欺のメールは「至急」や「〇時間以内に~」などといってユーザーの行動を煽ることが多いですが、それをまず疑いましょう。問い合わせの余裕も与えないということが、まず怪しいのです。
それから、不必要な情報を聞かれていないかも注意してみてください。例えばクレジットカード会社が、パスワード変更のためだけにセキュリティコードを入力するよう求めてくるということはまずありません。宅配便の再配達のために、携帯電話の認証コードを入力するよう求めてくるのも、よく考えると不自然です。うっかり入力する前に、一度立ち止まって考えてみることが大切です。

もしもフィッシング詐欺と思われるWebサイトなどに情報を送信してしまったら……
実際に被害に遭われた方はパニックを起こしがちなのですが、まずは落ち着いてください。カードの情報を入力してしまったなら、カード利用を止める手続きをすれば被害は広がりません。支払い後でも、ご本人の意志による決済でないことがはっきりしていれば、多くの場合補償を受けることができます。ただ、それも被害に気づいて対処した場合の話ですので、利用明細もきちんと確認するようにしてください。

190523_thumb05.jpg
フィッシング詐欺の被害に遭った方の中には「普段ならこんな手口には引っかからないけれど、夜疲れて帰ってきたタイミングで目にして、うっかりURLを開いて入力してしまった」という方もいました。このように、ネットリテラシーが高ければ被害は防げるというものでもありませんから、油断せずにまずは一度立ち止まるように心がけてください。

契約内容の確認や
事故発生時の連絡が簡単に!!

ページの先頭へ