2017.05.16

フィッシング詐欺とは

詐欺師のイメージイラスト

詐欺と言えばクリック詐欺や架空請求、迷惑メールなどの古典的な手法が有名ですが、このほかにもフィッシング詐欺と呼ばれる悪質な手口でユーザーの情報を盗み取る詐欺があります。
ここではフィッシング詐欺の基本的な手口からその予防策についてまでご紹介していきます。

フィッシング詐欺とは

フィッシング詐欺とは、出会い系サイトの運営会社と称した人物が電子メールを送り付けて偽のURLにアクセスするよう誘導させ、そこからユーザーの氏名、住所、メールアドレス、クレジットカード番号などを盗み出す詐欺のことを言います。
フィッシングはfishing(釣り)とsophisticated(洗練)の2種類の単語を組み合わせた造語と言われています。
最近は手口も非常に巧妙なものとなっており、弁護士や警察官と名乗ってメールしてきたり、既存のサービスと見分けがつかないような偽サイトを作ってユーザーを誘導するなど、ネットに慣れている人でもほとんど見分けがつきにくい状態となっています。
さらにスマホが普及したことにより、ここ数年の間ではパソコン向けのウェブサイトよりもスマホ向けの偽サイトによる被害が拡大しているようです。

フィッシング詐欺の誘導パターン

詐欺師とパソコンのイラスト

では、フィッシング詐欺の代表的な手口について以下に解説していきます。

メールによる誘導

フィッシング詐欺の中でもっとも見分けがつきやすい手口となっています。
送信者は出会い系サイトの運営会社、クレジットカード会社、銀行、弁護士、警察官、税務署など、あらゆるサービスや公的機関の名前を持ち出して接触してきますが、すべてデタラメです。

しかしこの手の詐欺で悪質なところは公的機関やサービスがすべて存在している会社なので、たまたま利用しているユーザーに送り付けられた場合、本当にその運営会社から届いたのではないか?と思いアクセスしてしまうことにあります。
詐欺業者はそれを狙ってランダムにユーザーやメール内容を変えて送りつけてきます。

また、指定されたURLにアクセスすると、既存するサイトと類似したサイトコンテンツとなっているため、注意深く観察しなければそれが偽サイトだとは気付かない仕組みとなっています。
誘導されたとおりにクレジットカード番号や口座番号などを入力すると知らず知らずのうちに悪用されてしまうという手口です。

SNSや知名度の高いサービスに見せかけてアクセスさせる手口

誰もが知る有名なSNS、信頼のあるサービスはその名前だけでもブランド力になります。
詐欺業者は既存するサイトと瓜二つのサイトを作り出して新規ユーザーが登録するのを待ちます。

出会い系サイトならポイント課金にクレジットカード番号を入力する方は多いですから、出会い系サイトの偽サイトはかなりの数で増えています。
よく見てみるとサイトのロゴが違う、アルファベットが大文字のところを小文字変換している、本来ないところに記号がついているなどの場合は偽サイトの可能性大です。

フィッシング詐欺対策URL→https://www.antiphishing.jp/stop_phishing/jirei.html

フィッシング詐欺で騙されないために気を付けるべきこと

鳥キャラと禁止マークのイラスト

サイトから詐欺を行う業者は、ユーザーに偽サイトを訪問してもらうという最初の段階をクリアする必要があります。
既存するサイト、信頼できるサービスに見せかけてユーザーから信頼を得られたところで業者は次の「個人情報取得」というステップに進みます。ここではサイト訪問時に情報を抜き取られないようにするポイントについて解説していきます。

URLを確認する

基本的なことですが、まずはサイトのURLが正しいものであるかどうか確認してください。アドレス自体が存在しない、ドメインがサイト名と全く異なる、IPアドレスが表記されているといった場合はかなり怪しいサイトだと思った方がいいでしょう。

SSLサーバー証明書を確認する

URLもサイト同様に本物のように作り込むことができます。
しっかり確認していたつもりなのによく見ると本物と一文字違い、表記を少しだけ変えているというのはよくある話。
しかしSSLサーバー証明書を確認すれば本物と偽物の違いはすぐ見抜くことができます。

SSLサーバー証明書とは、運営会社の情報や送信情報の暗号化する機能を知らせる電子証明書のことを言います。
例えばネット上で決済が必要となる通販サイト、個人情報を入力する求人情報サイト、資料請求などが必要なサイトでは必ずと言っていいほどこのSSLサーバー証明書が使われています。
SSLサーバー証明書が使われている場合はアドレスの頭に『https』という表記と共に鍵のマークが出現します。

証明書の種類によってはアドレスバーの頭に社名などを入れることもできるので必ずしも『https』が最初にくるとは限りません。
しかし、いずれの場合も本物のSSLサーバー証明書であり、偽サイトの場合は身元を公開することができないためこうしたセキュリティを導入していることは不可能です。よって、SSLサーバー証明書を使うことはできないのです。

ポップアップで情報入力を促されても従わない

サイトを使う業者はすべてサイト経由で個人情報を抜き取るように思われがちですが、業者の目的はサイトに訪問してもらうことではなく個人情報の抜き取りですから、情報さえもらえたら場所はどこでもいいのです。
サイト経由以外でありがちなのがポップアップ画面から情報入力を促すという手口。

例えば銀行のサイトを閲覧していたら突然にポップアップ画面が出現して「口座番号と暗証番号を入力してください」と誘導されると信用してしまいますよね?
しかもポップアップとなれば上記でご説明したSSLサーバー証明書やURLの確認も行えなくなるので、本当に銀行から誘導されているのか、それとも詐欺なのか、判断がつかなくなります。
ただ、あなたが何らかのアクションを起こしている最中に画面が現れたならまだしも、サイトを閲覧しているだけでこのような症状が発生したら要注意です。

通常、ポップアップ画面で情報入力を促すのはユーザーが何かしらのアクションを起こした場合に限ります。
もし心当たりがない場合は例え本物のサイトを開いていたとしても情報を入力しないようにしてください。

まとめ

鳥キャラとチェックリストのイラスト

インターネットによる詐欺犯罪は年々進化しています。
しかしフィッシング詐欺の場合、大きく分けて『メールによる接触』と『ユーザーがサイトに訪問する』という2つの前提があってこそ成り立つ詐欺であり、この課題をクリアできない限りその先にある個人情報入手には進めません。
ユーザー自身がこの壁を越えなければ、業者はそれ以上侵入を試みることも不可能なので、まずは送信者情報やサイト情報しっかりと確認するようにしましょう。

また、セキュリティソフトを導入して外部からの攻撃、侵入、接触にも対応できるよう万全の対策を整えておくことも忘れてはなりません。
あなたのネットライフが安全かつ豊かなものとなることを願っています。