フィッシング詐欺とはクレジットカード会社や銀行などの名を語って、IDやパスワード、口座番号、クレジットカード番号などの個人情報を盗み取る犯罪行為のこと。ちなみに、フィッシング(Phishing)は、魚釣り(Fishing)のようにエサをたらして魚がかかるのを待つ、という意味での造語だ。
よくある手口としては、銀行などの金融機関を装ったメールを無差別に送り、本物そっくりにつくられた偽サイトに誘導。そこで、利用者に情報を入力させて個人情報を抜き取ってしまうというもの。金融機関だけではなく、大手のポータルサイトやオンラインショップ、オンラインゲームなどを装う場合もあります。
フィッシング詐欺とは?その対策とは?:
ほとんどが偽装メールから始まる:
多くのフィッシング詐欺は、偽サイトに誘導するための偽装メールを送るところから始まる。よくあるのは、「セキュリティ向上のため、お客さまの登録情報をオンライン上で再登録していただく必要があります」などというものだ。
銀行などからこのような案内が来ると、つい騙されてクリックしてしまいう人も出て来る。すると、そっくりにつくられた偽サイトに誘導され、再登録した情報を盗まれてしまうというわけだ。ろくに確認せず、IDとパスワードを入力してしたら、口座残高がゼロになってしまった…などということになったら、泣くに泣けないだろう。
フィッシング詐欺被害に遭わないためには、まずはフィッシングメールを見破ることが大切になる。情報登録やログインを促すメールが来たら、「本当に、この銀行からのメール?」などと疑ってかかるくらいの気持ちでいた方がいい。
フィッシングメールの判別方法:
では、偽メールはどうやって見破ればいいのか?ということになるが、フィッシングメールにはいくつかの特徴があるので、それを知っておくようにしたい。
フィィッシングメールを見破るポイント:
| チェック項目 | 対策方法 |
|---|---|
| 送信元メールアドレス | 公式サイトから届いているはずなのに、yahoo.co.jpやhotmail.comなどの汎用メールアドレスから届いているケースは要注意。ほぼ偽物と考えて良いだろう。ただし、「From:」の情報は、メールソフトの設定をすることで、簡単に詐称することができるので注意。 |
| メールの送り主 | メールの送り主が『◯◯株式会社』などとなっていない場合には要注意。英語の羅列だけの送り主名や、個人名で重要なメールを送ることはまずない。 |
| メールの内容 | 日本語で送られてきているはずなのに、読みにくい日本語だったり一部文字化けしているようなケースは、外国人が日本人のフリをして送ってきているケースが想定される。 |
| メールのフッター | メールのフッターにきちんと住所や問い合わせ先などの情報が入っているかをチェック。フィッシングメールでは、社名だけなどの場合も多い。 |
フィッシングメールの中には、よく見ればわかるものも多いので、上記のようなポイントは必ずチェックしよう。ただし、かなり巧妙なものもあるので注意してほしい。少しでも疑わしいと感じたり、判断が付かない場合は、問い合わせ窓口に電話をかけて事実を確認するようにしよう。銀行なども、フィッシング対策には力を入れているので、丁寧に対応してもらえるはずだ。
フィッシングメールにありがちな内容:
フィッシングメールを見破るための情報として、ありがちな誘いの内容をまとめておこう。どのケースでも、結果的に個人情報入力を求めてくるので、わかりやすい。
フィッシングの手口例:
| 項目: | よくある例: |
|---|---|
| パスワードの入力や変更変更 | パスワードの有効期間切れまであと30日となりました |
| 個人情報流出のお知らせ・パスワードの変更にご協力をお願いします。 | |
| 暗証番号再確認のお知らせ | |
| セキュリティ強化のため、暗証番号を8桁に変更します | |
| 登録IDの入力 | ユーザーアカウントの期限切れ間近です |
| 今なら5000円が漏れなく当たる!応募はマイページにログインして | |
| 新規ポイントが付与されました。確認はこちら |
パスワード変更の場合には、現在のパスワードを入力させた上で変更を求めてくる。もちろん実際にはパスワード変更ではなく、現在利用しているパスワードを盗みとるのが目的だ。
登録IDを入力させるケースでは、なんらかの方法で会員IDとパスワードを入力させようとする場合が多い。例えば、「3日以内に対応してくれれば、もれなく5000円プレゼント!」などと言われれば、利用しているサイトでのIDとパスワードを入力してしまう方も出てくるかもしれない。
以上のような点に注意しても見破りにくいのが、HTML形式(画像や背景がついている形式)のメール。実際に企業が使っている公式メールをコピーして使い回すこともできるので、こうなると素人である私達には本物か偽物かの区別がつかなくなってしまう。う。
フィッシング詐欺サイトの判別方法:
フィッシング詐欺では、メール中のリンクをクリックさせて偽装サイトに誘うので、メールのリンクを安易にクリックしないことも大切だ。接続する場合は、自分で直接URLを入力して、サイトを表示させるようにすると詐欺に遭う可能性が少なくなる。
また、万が一、フィッシングにひっかかって偽サイトに接続してしまったとしても、そこで気が付けば被害を防げる場合もある。フィッシング詐欺サイトのチェックポイントも覚えておこう。
フィッシングサイトのチェックポイント:
| チェックポイント | 対策方法など |
|---|---|
| サイトデザイン | 明らかに素人が作ったようなデザインのサイトでは、個人情報の入力はしないように。ただし、最近ではフィッシング詐欺も高度化しており、ひと目見るだけでは公式サイトとの区別がつかないようなケースも。 |
| サイトURL | サイトURLのチェックも有効な方法。フィッシング詐欺サイトの場合には、プロバイダ提供のアドレスを使っていたり、見たこともない独自ドメインのサイトである場合も多い。中には公式URLに似せたURLを使っているケースや特別な手法を使って公式サイトと同じURLを使っている場合もある(こうなるともう判別不可能)。 |
| いきなり暗証番号の変更を求める | サイトに接続したら、いきなり暗証番号の変更を求めてくるようなケースでは、念のため公式サイトかどうかを確認するようにして欲しい。 |
| SSL | 個人情報や、大切な情報を入力させるページでは、原則として暗号化技術であるSSLを利用しているはず。これは、「https://」から始まるURLかどうかを確認すれば見分けることができる。 また、URLの横などに鍵のマークが表示されているはずなので、それをクリックすれば電子証明書を表示できる。それを見れば、サイト運営者を確認可能だ。 |
ちなみに、銀行やクレジットカード会社のロゴを勝手に利用しているケースも多いので、公式ロゴが使われているからといって信用することだけはやめてほしい。
注意!フィッシング詐欺の手口は高度化:
一昔前であれば、フィッシング詐欺用に作られたサイトを見抜くことは比較的容易な場合も多かった。しかし、近年のフィッシングサイトは非常に高度。ひと目見ただけでは、素人では判別がつきにくい…というサイトも多くなっている。そのため、どんなに注意していても、だまされてしまう可能性はゼロにはできない。最大限の用心をすると同時に、それでも防げないこともあるかもしれないと考えておくくらいでちょうどいい。
フィッシング詐欺メールやフィッシング詐欺サイトの情報は、フィッシング対策協議会などでも収集しているほか、このほか、国民生活センター、消費生活センターなどでも相談を受け付けている。万一、ひっかかってクレジットカード情報を入力してしまった場合は、クレジットカード会社に相談しよう。盗難保険やオンライン不正使用保険で補償を受けることもできるはずだ。
