フィッシング詐欺まとめ | 被害・実例・対策

  • このエントリーをはてなブックマークに追加

日々どこかで話題になっているインターネットバンキングがらみの犯罪やTwitterなどソーシャルメディアのアカウント乗っ取り。それらは「フィッシング」という手法で詐欺に遭っているケースが多く見られます。それなに?と思って調べても専門用語などが多くてよく分からない・・・という人のためになるべく簡単にまとめてみました。

実際に、近年のフィッシングの手口はより巧妙になっており、騙される少しでも可能性を低くするには必要最低限の知識が必要です。

ところで、あなたには以下のfacebookログイン情報入力画面が偽物に見えますか?

facebook_login

本記事は以下5つの章から構成されています。必要なところだけをご覧いただくこともできます。

  1. フィッシング詐欺とは?
    • フィッシングの概要をかんたんに説明しています。「フィッシングってなに?」という方はこちらからご覧ください。
  2. フィッシング詐欺の一般的な手口
    • フィッシング詐欺がどのような手順で実行されるか、図を交えてかんたんに説明しています。
  3. フィッシング詐欺の実例
    • フィッシング詐欺の実例をユーザーの視点で2つ見てみましょう。
  4. フィッシング詐欺の被害に遭わないためにやっておきたい対策5つ
    • フィッシング詐欺に遭わないための代表的な対策を5つかんたんにまとめました。
  5. フィッシング詐欺の被害に遭ってしまったとき、どうするか?
    • もし、フィッシング詐欺に遭ってしまったとき、知っておきたい情報をまとめてみました。

1. フィッシング詐欺とは?

フィッシングとは金融機関や企業など、信用できると思われる送信元を装ったメールなどを不特定多数、または特定の標的に送り、IDやパスワード、クレジットカード番号や、個人情報、財産や企業秘密などを騙し取ることです。

また、特定の標的に狙いを定めて行うフィッシング詐欺は「スピアフィッシング」と言われます。スピアフィッシングは被害者となる標的が既に下調べされているため、送信される偽のメールなども「上司」や「得意先企業」といった送信元になっているケースが多々報告されています。

フィッシングはウイルスなどのマルウェアと同様にネット犯罪の一つの手口として多用されますが、大きな違いはマルウェアが被害者の使うコンピュータを標的にしていることに対し、フィッシングはコンピュータではなく「人」を標的にしていることです。

つまり、あなたの使うコンピュータがWindowsであっても、Macであっても、そしてスマートフォンであっても攻撃者にとってはさほど大きな問題ではありません。ネットにつながり、フィッシングサイトを正しく表示し、あなたの大切な情報を攻撃者に運ぶことさえ出来ればどんなOSでもどんな機器でも良いのです。

そして怖いことに多くのケースが「自分が被害に遭って初めて気付く」ということです。具体的に、自分の銀行口座からお金が盗まれた、クレジットカードで覚えの無い買い物がされている、自分以外の人が勝手に自分のSNSアカウントで投稿したりメッセージを送ったりしている、等が該当します。実際、インターネットバンキングの不正送金被害額は2013年に14億円以上(警視庁調べ) とされています。2014年は5月の時点で2013年の数字を超えているとされており、被害は増え続けていると思われます。

こういった被害を未然に防ぐために、まずはフィッシングの基本的な手口を知り、事例を知り、対策を知るしかありません。

2. フィッシングの一般的な手口

フィッシングは先にもある通り「信用できる」と思われる送信元を装って標的に連絡をします。その一般的な手口は以下の通りです。

① 攻撃者は標的となるユーザーに対し送信元を装った偽のメールやメッセージで連絡を取ります。

(例 : ○○銀行ですが、新システムの導入に伴いもう一度お客様にログインしてユーザー情報の再設定をしていただく必要があります。なお、□月△日までに設定いただけない場合は、サービスを中止させていただきますので、お手数ですがここをクリックして再設定をお願い致します。)

② ユーザーは送信元を信頼できると思い込み、メール内にあるリンクをクリックして、攻撃者が作った偽サイト(フィッシングサイト)にアクセスし、ユーザーID、パスワードや秘密の質問とその答などの情報を入力します。

③ 入力された情報が攻撃者の元に送信されます。この騙し取ったデータを使い攻撃者は標的となったユーザーになりすますことができます。

phishing_process

ご覧の通り、この手順の中にマルウェアは必要ありません。偽のフィッシングサイトも本物のサイトからデータをそのまま流用しているケースが大半のため、見た目は全く同じです。

3. フィッシング詐欺の実例

攻撃者は手っ取り早くお金を騙し取ることができる銀行口座に狙いをつけ、金融機関を名乗るケースが多く見られますが、実際にはそれだけではありません。FacebookやTwitter などのソーシャルネットワークのアカウント、Googleアカウントなども魅力的な標的のようです。

ここでは使用している方も多いTwitterとGoogleアカウントについて実際にあったフィッシング詐欺の例とテクニックを今回は被害者の視点で見てもらいます。攻撃者の巧みな誘導に気付くことはできるでしょうか?

3-1. Twitterアカウントを狙ったフィッシング詐欺

ある日親しい友人からTwitterのDMで「この写真すっごく良く撮れてるよ。(笑)」というメッセージと共にリンクが送られて来ました。知らない人であれば無視するところですが、親しい友人だったので、特に疑いを抱くことなくリンクをクリックすると以下の画面が表示されました。

twitter_login

接続が切れたらしいので、もう一度ログインをして欲しいようです。「ログアウトした覚えは無いんだけど、変だな?」と思いながらもう一度ログイン情報を入力するとTwitter正規の「このページは存在しません (Not Found)」の画面が表示されるだけです。結局写真を見ることはできませんでした。

それはそうでしょう。そんな写真は最初から無いのですから。ということで・・・終了です。既にTwitterのログイン情報は攻撃者の元に送られています。そして、次はあなたのログイン情報でログインした攻撃者があなたのフォロワーに同じようにDMを送ったりTweetするのです。

参照 : フィッシング: Twitter アカウントへの不正アクセスの手口

3-2. Googleアカウントを狙ったフィッシング詐欺

多くの人が持つGoogleアカウント。検索エンジンだけでなく、Gmail、Google ドライブ、Android用アプリの購入、その他いろいろな機能がほぼ無料で使えるなんて本当に便利ですよね。

そんなGoogleアカウントを持つあなたに一通のメールが届きます。「重要なお知らせがあります。このリンクの先にあるGoogleドキュメントをご確認ください。」重要なお知らせは何でしょうか?GoogleドメインのURLリンクをクリックすると以下の見慣れた画面が表示されます。

google_loing

ログイン情報を入力するとGoogleドライブからドキュメントが開きます。でも、重要なお知らせとは何だったのでしょうか?

終了です。既にGoogleアカウントのログイン情報は攻撃者の元に送られています。Googleアカウントはいろいろな機能を使えて本当に便利です。攻撃者にとっても。

参照 : 巧妙なフィッシング詐欺の標的になった Google Docs ユーザー

他のフィッシング詐欺の事例詳細については以下の記事をご参照ください。

11のフィッシング詐欺事例から学ぶ手口6種類

4. フィッシング詐欺の被害に遭わないために知っておきたい対策5つ

ブラウザにはフィッシング対策機能が実装され、セキュリティソフトはフィッシングサイトやフィッシングサイトへのリンクがあるメールを判別することができるものもありますが、100%というわけではありません。そこで、フィッシング詐欺に遭わないために知っておきたい対策を5つ紹介します。

4-1. 送られてきたメールやメッセージが本物かどうかを確認する

攻撃者はメールなどを使用して標的にコンタクトし、フィッシングサイトに誘導する行動を取らなくてはなりません。つまり攻撃者が送る偽のメッセージを見破ることができれば被害に遭う可能性を大きく下げることができます。確認すべきポイントとしては「送信元メールアドレス」や「ヘッダー情報」がありますが、この点は偽装することができますので全てを信用できるわけではありません。偽装していなくとも symantec.com をsynamtec.com  としたり、microsoft.com をmicrosfot.com とするなど、差出人のメールアドレスを少々変更した紛らわしいメールアドレスを使う場合もあります。

また、SNSでメッセージを知り合いから受け取るケースもあるかもしれません。その場合も送り主のTwitterアカウントなどが乗っ取られている可能性もあります。

偽のメールを完全に見分けるのは困難ではありますが、紛らわしいメールアドレスなどを常に意識しておけば騙されるケースも少なくなるでしょう。

4-2. リンクを不用意にクリックしない

仮に本物のメールやメッセージであったとしても、その内容に違和感を覚えたり、パスワードなどの入力を求めるサイトに誘導するURLを不用意にクリックしないように気をつけましょう。事前に何の連絡も無しで急にURLだけを送信するようなSNSのメッセージや書き込みも要注意です。

4-3. IDやパスワードを入力するサイトのURLを確認する

メールやSNSの内容に書かれているURLをクリックして、ユーザーIDやパスワードの入力画面が出たとき、そのページのURLは本当にそのサービスが提供しているURLでしょうか?「実例」でも示した通り、画面そのものは同じデータを使用している事が多いのでコンテンツ本体を見ただけではフィッシングサイトを見分けるのは困難です。よって、URLを確認することも重要になってきます。

4-4. SSLサーバー証明書の導入を確認する

SSLサーバー証明書とは通信情報を暗号化する機能とサイトを運営する会社の身元を確認する機能を備えています。詐欺を働くフィッシングサイトは身元を確認されると不都合なため、ほとんどの場合このサービスを使用していません。仮にフィッシングサイトでない場合であっても、個人情報やクレジットカード番号など、大切な情報を入力するページでSSLサーバー証明書が導入されていない場合は、それらの情報を入力するのは止めた方が良いでしょう。

SSLサーバー証明書が導入されている場合は、ブラウザによって表記は多少異なりますが以下の図 (Google Chromeの場合) のように、https の表記と鍵マークが表示されます。

https_ev

https

4-5. セキュリティソフトを導入する

多くのセキュリティソフトはフィッシング詐欺対策の機能を備えています。フィッシングメールを排除したり、フィッシングサイトを表示する際にアクセス遮断するなどの処理を行い、ユーザーが騙されるのを未然に防ぐことができます。多くの偽装されたサイトを判別することができますが、100%安心というわけではありません。

ただ、近年はフィッシングとマルウェアを組み合わせた詐欺の手法もあるため、セキュリティソフトは入れておくべきでしょう。特にインターネットバンキングをする場合は必須と言えます。

フィッシング詐欺対策の詳細については以下の記事をご参照ください。

これで騙されない! 今すぐできるフィッシング詐欺対策

5. フィッシング詐欺の被害に遭ってしまったときどうするか?

フィッシング詐欺は多くの場合、実際に口座からお金が無くなるなどの被害があって初めて気がつくケースがほとんどです。盗まれた情報によって対処法は異なりますが、かんたんに説明します。

5-1. インターネットバンキングで預金を引き出された場合

まずは銀行に連絡をする必要があります。その後は銀行の指示に従い処理を進めれば、個人口座については「口座所有者自身に過失が無い場合」払い戻しがなされます。

5-2. クレジットカードをインターネットで不正利用された場合

まずはカード会社に連絡をする必要があります。その後はカード会社やカードの種類によって対応も異なります。

なお、インターネット上でクレジットカードが不正利用された場合、その損失が補填されないカードがあります。予めインターネットショッピングでの不正利用の補償サービスがあるものを選んでおくと安心です。

5-3. SNS, Google のアカウントなどを乗っ取られた場合

すぐに乗っ取られたサイトにログインし、パスワードを変更してください。ログインパスワードを変更されていてログインできない場合はそれぞれのサイトの「パスワードを忘れた場合」のサービスを利用してパスワードを変更してください。また、同様のログインIDとパスワードを他のサービス(インターネットショッピングなど)で使い回している場合は早急にパスワードの変更を行うべきです。

なお、フィッシング詐欺の対処法の詳細は以下の記事をご参照ください。

フィッシング詐欺に引っかかったときの対処法ケース別4種類

6. まとめ

フィッシングの狙いは「あなた」です。あなたの使用するコンピュータではありません。攻撃者はあなたを騙すために日々新たな攻撃手法を考えています。

セキュリティソフトやブラウザのフィッシング対策機能も頼りになりますが、フィッシングサイトにアクセスする前に偽のメールやメッセージに気付ける知識を持つことが重要です。

この記事に書いた基本事項を頭の片隅にでも置いておくことによって、多くのフィッシング詐欺を未然に防ぐことができるでしょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

現在、ノートンセキュリティでは、30日間無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。