一番身近で有名ともいえる「フィッシング詐欺」。
手口も以前より多種多様になり、現在も詐欺に合う件数が減っていきません。
フィッシング詐欺に引っかかる前に、手口や対策方法を知って回避していきましょう!
2025年2月の情報によると、2024年の1年間で、フィッシング詐欺メールの報告が170万件以上あったそうです。
前年と比べると約52万件も増加しており、これは過去最多の数だそうです。
メールの内容は、クレジットカード会社を名乗るものが36%、通販サイトが24%、電気、ガス会社が8%、金融機関が6%という比率になっており、クレジットカード会社を装ってクレジットカード情報を抜き取ろうとしてくることが多いようです。
フィッシング詐欺とは、送信者を偽ってメールやSMSを送り、クレジットカード情報やログイン情報、口座情報などを抜き取って悪用しようとする詐欺の手口です。
フィッシングは英語で書くと「phishing」となり、“釣り”を意味する「fishing」と“洗練された”を意味する「sophisticated」を合わせた造語で、『洗練された手口で人をひっかける』ことを表しています。
フィッシング詐欺の仕組みとしては、なりすましメールを作成し、偽サイトのURLを貼ってターゲットに送信します。
そのサイトも詐欺集団が作ったもので、そこにクレジットカード情報やログイン情報を入力・送信することで個人情報が詐欺集団に送られる、という仕組みです。
送信されるとカードの不正利用やアカウントが乗っ取られて個人情報を抜かれてしまいます。
以前は文章が変だったりサイトが嘘くさかったりと、見分けるのが簡単でした。
しかし、最近はメール文も普通で偽サイトもしっかり作り込んであるので、気づかずにそのまま情報を送ってしまうケースが増えています。
騙されないために、ここでフィッシング詐欺の手口を知っていきましょう。
一番多いのが、メールアドレスにクレジットカード会社や大手企業、公共機関を偽った文章を送り、添付したURLで偽サイトに誘導し、個人情報を抜き取るやりかたです。
メールアドレスは本物と似ているものを使用して判別がつきにくくしています。
(例:Oを「o」や「0」で表記しているなど)
内容は、「不正利用が発覚しました」、「すぐに再ログインしないとアカウントが停止されます」といった、相手を焦らせて判断を鈍らせる文言を使ってくることが多いです。
SMSは、スマートフォンに標準搭載されているショートメッセージアプリです。
SMSはメールよりも開封率が高いため、フィッシング詐欺に使われてしまっています。
よくあるのは宅配業者を名乗ったメッセージで、「不在だったので再配達の申請をしてください」といった内容で偽サイトに誘導し、そこでログイン情報を入力させるという手口です。
SMSは電話番号だけで送信できるので、ランダム入力で多くの人に届きやすいという特徴があり、被害にあいやすいです。
SEOポイズニングとは、SEO(検索エンジン最適化)手法を悪用した詐欺の手口です。
GoogleやYahooなどの検索エンジンで検索結果の上位に不正サイトを表示させ、サイトをクリックしてしまうとウイルスに感染したり、詐欺サイトに誘導されて情報を盗まれたりします。
上位表示されているとつい安心してしまいがちですが、サイトに入ったらまず、URLが暗号化されているか、文章がおかしくないか、大幅値引きがされているなどの不審な点がないかを確認しましょう。
XやインスタグラムなどのSNSからの詐欺も増えています。
DMに「当選しました!当選金を送りますので、下記のURLより口座情報を入力してください。」というような興味を引く内容の文章を送り、URLを添付して偽サイトへ誘導して口座情報を盗みます。
また、別の媒体でフィッシング詐欺に遭った友達のアカウントから「プリペイドカードを送って」などのDMが送られてくるなど、フィッシング詐欺から新しい詐欺につながる可能性もあるので、SNSは特に注意が必要です。
パソコンなどでサイトを閲覧した際に、画面右下やポップアップで「警告!ウイルスに感染しています!」などの画面が表示されたことはありませんか。
あれもフィッシング詐欺の一つで、不正アプリをダウンロードさせることが目的です。
画面に従ってアプリをダウンロードしてしまうと、莫大なお金を請求されたり、デバイスをハッキングされたりしてしまう恐れがあります。
あの警告文が出てもウイルス感染していないと考えて、落ち着いて警告文について調べましょう。
秒数を出して焦らせてくるものは確実に偽物なので、騙されないようにしてください。
スピアフィッシングとは、企業や特定の相手に対して行うフィッシング詐欺です。
特定の相手に対して行われるため、内容の精度が高く、見分けるのがより難しくなっています。
主に大多数の個人情報や大金を狙っていることが多く、上場企業などが狙われます。
取引先など、企業側が信用しやすい相手になりすましてメールを送り、ウイルス感染をさせたり情報を抜き取ったりします。
また、企業のSNSを乗っ取って怪しい投稿を行った事例もあります。
このように、さまざまな手口で相手はフィッシング詐欺をしかけてきます。
詐欺に引っかからないためには、どのような対策が必要なのでしょうか。
今からできる対策方法を見ていきましょう。
対策方法としては、迷惑メールを開封しないのが一番です。
そこで活用してほしいのが「メールフィルタリング」です。
迷惑メールを自動的に仕分けして、受信フォルダーとは別のフォルダーに振り分けてくれます。
受信メールに入ってこないので、開封することなく削除できます。
フィッシング詐欺では、ランダムで送信している場合もありますが、最近はアプリやサイトへの会員登録によって流出している可能性が高いです。
そこで、信用度の低いアプリやサイトで会員登録する際は、それ専用のメールアドレスをGoogleかYahooで作って利用することをおすすめします。
すこし手間ではありますが、流出してもそこまで被害がないですし、詐欺に遭う確率も減ります。
公式から届いたメールがあれば、それをお気に入り登録しておきましょう。
そうすることで、公式からのメールと偽物のメールを一目で判断できます。
SMSのフィッシング詐欺対策としては、迷惑メールフィルターサービスやリンク付きSMS拒否機能、アドレス帳以外の人のSMSを受信しない機能などを利用しましょう。
キャリアによって使える機能は違うので、ご自身のキャリアで確認してみてください。
ウェブフィルターを利用することで、不正サイトや危険性の高いサイトへのアクセスをブロックしてくれます。
万が一URLをクリックしてしまっても、システム上で危険と判断したらブロックして警告を出してくれるので、情報入力前に怪しいサイトだと気づくことができます。
企業の場合はフィッシング詐欺に引っかかった際の被害が個人に比べてかなり大きいので、まず詐欺メールが入り込まないように入り口で排除する必要があります。
そのためには、有料のセキュリティソフトを導入しましょう。
セキュリティソフトを導入すれば、フィッシング詐欺だけでなくウイルス検知や排除もできるので、安心して働く環境が整います。
おすすめのセキュリティソフトはいくつかあるので、ぜひそちらの紹介記事も合わせてご覧ください♪
セキュリティだけでなくシステム運用もしてくれる!富士フイルムBIの「Beat」
外部・内部の両方から企業を守るフーバーブレインの「D-Gard UTMシリーズ」
フィッシングメールは各従業員のメールに届くため、いくら企業が対策をしていても従業員がそのことを知らなければ被害に遭う可能性があります。
セキュリティソフトの導入をしつつ、最近のフィッシングメールについて情報共有し、どういったメールが危険なのか、怪しいと思ったらどう対処すればいいのかを社内周知しておきましょう。
そうすることで、従業員一人一人のセキュリティ意識が高まり、フィッシング詐欺を防止できます。
送信ドメイン認証とは、受信されたメールが正規の送信元から送られてきたかを確認できる技術のことです。
現在SPF・DKIM・DMARCの3種類がありますが、DMARCが一番なりすましメールの検出能力が高いです。
これを利用することで、受信メールの安全を担保できます。
定期的にシステムをアップデートすることで、システムの脆弱性をなくすことができます。
フィッシングメールだけでなく、ウイルスや不正アクセスなどのサイバー攻撃全般を防ぐことにつながるので、アップデートを忘れないようにしましょう。
対策をしていても、それをすり抜けてフィッシングメールが届くこともあるでしょう。
対策が万全だからと言って完全に安心してはいけません。
届くメールは全て怪しいものと仮定して、怪しい部分がないか確認していきましょう。
詐欺メールのアドレスは、本物と少し変えてある場合があります。
通常、大文字の部分を小文字にしたり、スペースが入っていたりと不自然な点があるはずです。
また、ドメインが本物と異なる場合もあるので、本物のメールアドレスと比較しておかしな点がないか確認しましょう。
文章が変、誤字脱字が多い、句読点が少ないなど、大手企業や公共機関が送ってくるものにしては雑な文章になっていないか確認しましょう。
あとは、「アカウントを停止しました。」「早急に再ログインしないとアカウントが削除されます。」といったような焦らせる一文がある場合は、詐欺メールである可能性が高いです。
文章内にURLがある場合、むやみにクリックせず、公式サイトのURLと合っているか確認しましょう。
URL先でログインやクレジットカードの番号を入力しろ、と言った指示がある場合はフィッシング詐欺の可能性が高いです。
「どうしても放置するのは気になる・・・。」という場合は、その企業や機関に電話してメールが来た旨を連絡し、指示を仰ぎましょう。
インターネットでそのメールの件名や内容を検索すると、同じような質問をしている人がいたり、機関の公式サイトでフィッシングメールの注意を促す文章が公開されていたりします。
その中に同じ内容の情報があれば、それが本物か偽物か判断できます。
一人で考えてもきりがないので、一度検索してそれでも出てこなかったら、公式機関に電話して聞きましょう。
もしフィッシング詐欺に遭ってしまったら、どんな対処をすればいいのでしょうか。
ここで、ケース別の対処方法を知っていきましょう!
銀行口座情報の入力は直接的に被害につながってしまうので、早急な対応が必要です。
まずは入力してしまった銀行に連絡して、フィッシング詐欺に遭ったことを伝えましょう。
個人の場合は、ほとんどの金融機関で被害額を補償してくれます。
ただし、被害に遭った日から30日以内など期間が決まっているため、早急な対応が必要です。
おそらく、銀行利用の一時停止やパスワードの変更などの対処をしてくれます。
あなたのクレジットカード情報を利用して高額な買い物をする可能性があります。
直ちに対象のクレジットカード会社に電話し、フィッシングメールに入力した旨を話しましょう。
クレジットカードの利用停止と再発行申請の案内をしてくれると思います。
その他、カード番号の変更、パスワードの変更といった対応が可能です。
ログイン情報を入力した場合、アカウントが乗っ取られて見覚えのない投稿をされたり、通販サイトの場合は勝手に買い物されたりしてしまいます。
詐欺に気づいたらすぐにパスワードを変更しましょう。
もし同じパスワードを使いまわしているサイトがあれば、該当する全てのサイトでパスワードを変更してください。
もし通販サイトでクレジットカードを登録している場合は、一度その情報を削除してください。
その後、見覚えのない投稿や購入履歴がないか確認してください。
各サービス機関に連絡したら、その後警察にフィッシング詐欺の報告をしましょう。
フィッシング110番で通報できます。
通報することで、今後の被害者を減らすことができます。
なお、フィッシング詐欺で金銭被害に遭った場合もフィッシング110番に電話して、警察に相談しましょう。
ここからは、フィッシング詐欺に関する疑問に答えていきます。
重要かつ役に立つ内容なので、ぜひ確認してください。
人の個人情報はお金になるので、メールアドレス収集を目的とした業者が存在します。
その業者によって集められたメールアドレスが詐欺集団など人のメールアドレスを欲している相手に送られます。
検証サイトやポイントサイト、怪しいサイトへ登録したメールアドレスが盗まれる可能性が高いため、十分注意してください。
普段は使わないそれ専用のメールアドレスを作成するなどの対策が必要です。
また、ランダムにアドレスを入力してたまたまあなたに送られている可能性もあります。
AIなどを使って無作為に送っている場合もあるので、見極める力をつけましょう。
フィッシングメールが届いた場合は、フィッシング110番、サイバー犯罪相談窓口、フィッシング対策協議会に通報できます。
フィッシング対策協議会はメールで報告できるので、一番気軽です。
今後の被害を防ぐためにも、できれば通報しておきましょう。
サイト自体が偽物なので、サイトに訪問した時点で画面をリアルタイムで監視されている可能性があります。
入力だけでも情報が盗まれる可能性があるので、念のためIDとパスワードを変更してください。
口座番号やクレジットカード情報の場合は、該当機関に連絡してパスワード変更などを申し出てください。
フィッシング詐欺は、今も勢いを落とすことなく私たちを狙っています。
引っかからないように情報収集を欠かさず、しっかり対策しましょう!
企業の方は、強固なセキュリティソフトを導入することが先決です。
当社では、お客様の希望や環境に合わせたセキュリティソフトを取り扱っています。
フーバーブレインのセキュリティは当社でも利用していますが、設定した日時に自動でウイルス検知作業を行ってくれるため、毎日安心してパソコンを利用できます。
フーバーブレインのセキュリティは当社でもとてもおすすめなので、強固で安全を確保できるセキュリティソフトを探している方におすすめです!
ぜひ、一度お問い合わせください♪