フィッシングの事例を知ることは、フィッシング被害を防ぐ第一歩ともいえます。
「自分たちが具体的にどう騙されるのか?」を知らないと、フィッシング詐欺の巧妙さを甘く見てしまうからです。
本記事では、「フィッシングとは何か?」の基本を解説したうえで、事例や対策まで解説します。
本記事のポイント
- フィッシングの基礎知識から理解できる
- 事例を使って具体的に解説
- ユーザー(個人)とサイト運営者(企業)の双方の対策を解説
「フィッシングの実態を具体的に知りたい」
「どうすれば防げるのか調べている」
…という方におすすめの内容となっています。
この解説を最後までお読みいただければ、フィッシングの知識を身につけて、被害を未然に防ぐことが可能です。さっそく見ていきましょう。
1. そもそもフィッシングとは?仕組みと最近の傾向
事例ご紹介の前に、そもそもフィッシングとは何か、概要をつかんでおきましょう。
1-1. フィッシングの概要
フィッシングとは、正規のWebサイトにそっくりの偽物のWebサイトを作り、正規のWebサイトの事業者になりすまして、個人情報を盗み取る詐欺行為のことです。
フィッシング詐欺の基本的な流れは、以下のとおりとなります。
- (1)攻撃者が、送信者を偽った“なりすましメール”を送信する。
- (2)なりすましメールを受け取ったユーザーがメールを開封し、不正なURLをクリックする。
- (3)正規のWebサイトにそっくりの偽物のWebサイトが表示され、ユーザーは偽物だと気づかずにアカウント情報を入力する。
- (4)攻撃者は、ユーザーが偽物のWebサイトに入力したアカウント情報を入手する。
- (5)攻撃者は、入手したアカウント情報で正規のWebサイトにログインする。
フィッシング詐欺による実害としては、ネット銀行のサイトなら口座の現金が不正送金される、ネットショップならクレジットカード番号を盗まれて不正使用される、などがあります。
フィッシング(phishing)の語源
ちなみにフィッシングは英語で「phishing」と書き、sophisticated(不正に変造した)と fishing(釣り)を合わせた造語です。
1-2. フィッシングの報告件数の動向
近年、フィッシング件数は増加し続けています。
フィッシングの報告件数が増加している理由として挙げられるのが、「マルウェア(コンピュータウイルス)」の感染拡大です。
マルウェアの手口が巧妙になっている
マルウェアは、攻撃者から送信されたメールに添付されたファイルを開くことで感染しますが。近年ではその手口が巧妙化しています。
近年では、スマートフォンに届いたSMSのURLから不正なアプリをインストールさせる手口も報告されています。具体的な事例は続けてご覧ください。
2. フィッシング詐欺の4つの事例
続いてフィッシング詐欺の事例を4つ、ご紹介しましょう。
- 事例1:宅配業者・通信事業者の偽SMS
- 事例2:ネット銀行の偽メール
- 事例3:偽ECサイト
- 事例4:偽当選サイト
2-1. 事例1:宅配業者・通信事業者の偽SMS
1つめの事例は「宅配業者や通信事業者の偽SMS」です。
宅配業者や通信事業者を装ったSMSは増加しています。以下はIPAの資料からの引用です。
「荷物の宛先不明」「利用料金の支払いが確認できない」などの文面の後にURLが記載されています。文面が簡潔で、これだけでは詳細がわからないため、詳しく確認するためについタップしてしまうユーザーが多いようです。
URLをタップすると、
- フィッシングサイトが開いてアカウントやクレジットカードの情報を入力させる
- 未払金があると思わせて支払いを促す
- 不正なアプリをインストールさせる
…などの手口があります。
以下は不正なアプリをインストールさせるフィッシング詐欺の事例です。
フィッシング詐欺の事例
不正アプリをインストールした場合、以下の被害発生が考えられます。
- スマホ内のデータを盗み取られ、不正に使用される。身に覚えのない請求の発生、所有アカウントの不正ログインなど。
- 同じ内容の偽SMSが、自分の電話番号を発信元として不特定多数の相手に多数送信され、SMS送信料金を負担させられる。SMSを受け取った見知らぬ相手から問い合わせがくる。
- スマホのセキュリティ対策の一部が機能しなくなり、さらに不正アプリがインストールされやすい状態が続く。
2-2. 事例2:ネット銀行の偽メール
2つめの事例は「ネット銀行からの偽メール」です。
普段インターネットバンキングを利用している金融機関からお知らせのメールが届き、そのメールに記載されたURLをクリックすると、その金融機関の正しいWebページが表示されます。
この画面でアドレスバーに表示されているのは正しいURLで、暗号化通信のSSLの鍵マークも表示されており、フィッシングサイトではありません。
しかし同時にそこからもうひとつの画面がポップアップで表示されます。
ポップアップ画面では、ID・パスワードなどの再入力が要求されている、という事例です。
この事例では、画面の指示に従って情報の再入力を行った数日後、口座の残金が0円になっていた、ということです。
これは最近のインターネットバンキングのフィッシング詐欺に増えている手口です。マルウェアに感染させ、正規のWebページと重ねて不正なポップアップ画面を出します。
ポップアップの後ろに表示されているページは、本物の金融機関のページなので、見分けるのが困難です。
2-3. 事例3:偽ECサイト
3つめの事例は「偽ECサイト」です。
▼ 偽ECサイトの画面例
実在のECサイトを模倣して作られたタイプと、一般的なECサイトと見せかけて独自に作られたタイプの2パターンがあります。
偽ECサイト上で商品を購入すると、お金と個人情報がだまし取られる仕組みです。
会員登録を求められて入力した氏名、住所、電話番号、メールアドレスや、商品購入のために入力したクレジットカードの番号が、攻撃者に盗み取られます。
あるいは、商品を購入するために銀行振込でお金を振り込んでしまう事例もあります。
偽ECサイトでは、商品が極端に値引きされていたり、他では入手できないレア商品が販売されていたりします。
その商品を買いたいユーザーが検索エンジンで検索したときに、より安い価格やレア商品に目が行き、偽サイトにたどり着いてしまいます。
2-4. 事例4:偽当選サイト
4つめの事例は「偽当選サイト」です。
▼ 偽当選サイトの画面例
偽当選サイトとは、Webサイトを閲覧中に「●●が当たりました!」という偽のメッセージを画面に表示させる手口です。
当選賞品を受け取るために入力した個人情報が盗み取られます。
あるいは上記の事例のように「129円」といった、極端に安い金額で高額の商品が手に入ると見せかけ、クレジットカード番号を入力させる事例もあります。
3. フィッシング対策としてすべきこと
フィッシング詐欺は、ユーザー(個人)とサイト運営者(企業)の双方が適切な対策を施すことで、未然に防ぐことができます。
3-1. ユーザー(個人)が行う対策
ユーザー(個人)が行う対策としては、
「メールやSMSのURLは基本的にクリックしないこと」
「メールの添付ファイルは絶対に開かないこと」
が大切です。
というのは、従来の「フィッシングサイトを見分ける方法」を実践したとしても、見分けられないフィッシングサイトも出てきています。フィッシングサイトを見分ける方法として、これまで繰り返しいわれてきたことは以下のとおりです。
- メールの差出人を確認する
- URLのドメインが正しいか確認する
- アドレスバーのURLがhttpsで始まっていてSSLの鍵マークがついているか確認する
- サイトのデザインや文言に違和感がないか確認する
これらを実践することも無意味ではありませんが、すべてクリアしているからといって、フィッシングサイトを見破れるとは限らないことを覚えておきましょう。
逆に「ドメインが正しいから大丈夫」といった具合に油断することのほうが危険です。
それよりも、とくに金融機関など、フィッシング詐欺にあったら被害が大きくなるWebサイトの利用は、
「ブックマークのURLからしか開かない」「公式アプリしか使わない」と決めておくとよいでしょう。
もし被害に遭ってしまったら?
フィッシング詐欺と気づかずに情報を入力してしまったときは、その場ですぐにパスワードや暗証番号を変更してください。
次に、フィッシングサイトが装っていた金融機関や企業の窓口に至急連絡し、被害防止の対応を相談します。
その後、警察の「フィッシング110番」から通報しましょう。以下引用です。
次のような場合には、下記、都道府県警察のフィッシング専用窓口又はサイバー犯罪相談の窓口まで
通報をお願いします。
・個人情報等を入力させようとする偽のウェブサイト(フィッシングサイト)を見つけた!→ウェブサイトのURLを教えてください
・フィッシングサイトへ誘導する電子メール・SMS(ショートメッセージ)を受信した!
→メール等の送信元情報、内容、リンク先URL等を教えてください
・フィッシングサイトに個人情報等を入力してしまった!
→被害の状況について教えてください
連絡先として都道府県警察のフィッシング専用窓口が設置されており、「フィッシング110番」から確認できます。
3-2. サイト運営者(企業)が行う対策
サイト運営者(企業)が行う対策としては、フィッシング対策協議会の「フィッシング対策ガイドライン 2021年度版」を確認しましょう。
以下に概要を抜粋します。
- 【要件1】利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること
- 【要件2】外部送信用メールサーバーを送信ドメイン認証に対応させること
- 【要件3】利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
- 【要件4】 Web サイト運営者が利用者に送信するメールはテキスト形式とすること
- 【要件5】利用者に送信するSMS には国内直接接続の配信を利用すること
- 【要件6】利用者に情報発信する手段および内容を周知すること
- 【要件7】Web サイトの正当性に係る情報を十分に提供する画面とすること
- 【要件8】すべてのページにサーバー証明書を導入すること
- 【要件9】認証システムが許容するポリシーを利用者に示すこと
- 【要件10】色々なチャネルで利用者に対する脅威の状況を提供すること
- 【要件11】利用者に端末を安全に保つよう、注意を促すこと
- 【要件12】複数要素認証を要求すること
- 【要件13】ポイントや資産の移動に限度額を設定すること
- 【要件14】ポイントや資産の移動時に利用者に通知を行うこと
- 【要件15】利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
- 【要件16】登録情報を変更するページへの移動には再度認証を要求すること
- 【要件17】重要情報の表示については制限を行う
- 【要件18】認証情報は厳格に管理すること(アカウントは不必要に発行しない)
- 【要件19】アクセス履歴の表示
- 【要件20】利用者の認知している Web サイト運営者名称から連想されるドメイ ン名とすること
- 【要件21】使用するドメイン名と用途の情報を利用者に周知すること
- 【要件22】ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
- 【要件23】フィッシング詐欺対応に必要な機能を備えた組織編制とすること
- 【要件24】フィッシング詐欺に関する報告窓口を設けること
- 【要件25】フィッシング詐欺発生時の行動計画を策定すること
- 【要件26】フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
- 【要件27】フィッシングサイト閉鎖体制の整備をしておくこと
- 【要件28】フィッシングサイトアクセスブロック体制の整備をしておくこと
- 【要件29】利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
- 【要件30】フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
- 【要件31】Web サイトに対する不審なアクセスを監視すること
- 【要件32】フィッシング詐欺検知に有効なサービスを活用すること
- 【要件33】端末の安全性を確認すること
- 【要件34】バウンスメールを監視すること
それぞれの詳細は「フィッシング対策ガイドライン 2021年度版」にてご確認ください。
4. まとめ
本記事では「フィッシングの事例と対策」をテーマに解説しました。最後に、要点を簡単にまとめておきます。
フィッシングとは、以下のとおり定義できます。
本物のWebサイトそっくりの偽サイトにユーザーを誘導し、ID・パスワード・暗証番号などのアカウント情報や、住所氏名などの個人情報、クレジットカード番号などを盗み取る詐欺行為
フィッシングの報告件数は増加しており、その理由として手口の巧妙化によってだまされるユーザーが増えていることが挙げられます。
事例として、以下の4つをご紹介しました。
- 宅配業者・通信事業者の偽SMS
- ネット銀行の偽メール
- 偽ECサイト
- 偽当選サイト
フィッシング対策としては、ユーザーは不用意にメールやSMSのURLをクリックしないことが何よりも大切です。
Webサイトの運営者(企業)は、「フィッシング対策ガイドライン 2021年度版」を参考に、適切な対策を講じてください。なお、フィッシングに狙われやすいサービス(金融機関、ECサイトなど)を展開している企業であれば、生体認証の導入も、対策として効果的です。
詳しくは「Capyの生体認証ソリューション」をご覧ください。
