フィッシング詐欺の手口を紹介!被害を防ぐ対策方法とは?
フィッシング詐欺とは、巧妙な偽装メールやSMSでターゲットを騙し、個人情報やお金を盗み取ろうとする犯罪の手口です。近年、フィッシング詐欺の手口はますます巧妙化し、本物と見分けがつかないほど精巧な偽サイトへ誘導されます。
本記事ではフィッシング詐欺の代表的な手口を紹介し、被害に遭わないための対策をわかりやすく解説します。
目次
フィッシング詐欺の手口の種類
フィッシング詐欺とは、大手企業や公的機関を装い、ユーザーの不安を煽るようなメッセージや音声を送信して不正なWebサイトに誘導し、個人情報を入力させて金銭を騙し取る詐欺のことです。
個人情報を入力してしまうと、個人情報流出やアカウントの乗っ取り、不正送金などの被害に遭う可能性があります。被害に遭わないためにも、手口の種類を把握しておくことが大切です。
メールを悪用したフィッシング詐欺
フィッシング詐欺では、実在する企業やサービスを装ってメールを送り、偽のサイトに誘導して重要な個人情報を不正に取得する手口が一般的です。
メールには「重要なお知らせ」「不正なログインが検知された」といったユーザーの不安を煽るような文章やURLが記載されており、「フィッシングサイト」と呼ばれる偽のサイトにユーザーをアクセスさせ、IDやパスワード、クレジットカード番号などを入力させることで個人情報を盗み取ります。
SMSフィッシング詐欺(スミッシング)
SMS(ショートメッセージサービス)を悪用した手口です。さまざまな方法で入手した電話番号に対して大手企業や公的機関・サービスなどを装ったSMSを送り、偽サイトに誘導して個人情報を盗み取ります。
電話番号は桁数が決まっていることから、悪意のある第三者がランダムに番号を生成して送信しているケースもあります。
SNSを悪用したフィッシング詐欺(ソーシャルメディアフィッシング)
既存のSNSサイトを模倣した偽のサイトにユーザーを遷移させ、IDやパスワードなどのログイン情報を抜き取り、アカウントを乗っ取る手口です。
アカウントが乗っ取られることで本人がログインできなくなったり、本人の意図しない情報を発信されたりするおそれがあります。
音声通話によるフィッシング詐欺(ボイスフィッシング・ヴィッシング)
音声通話によるフィッシング詐欺(ボイスフィッシングまたはヴィッシング)とは、音声を使用して相手を騙し、個人情報を引き出そうとする手口です。
ボイスフィッシングとは、「Voice(ボイス)」と「Phishing(フィッシング)」を組み合わせた造語です。「Phishing(フィッシング)」は「フィッシング詐欺」という詐欺手口名称として使われていますが、「魚釣り」を意味する「Fishing(フィッシング)」と「洗練」を意味する「Sophisticated(ソフィスティケーテッド)」から作られた造語だといわれています。ヴィッシング(Vishing)も同じで、「Voice(ボイス)」の「V」と「Phishing(フィッシング)」の「ishing」をかけ合わせた言葉です。
先述のSMSフィッシングと組み合わせて、指定した番号に電話をかけるように促すSMSを送り、騙す手口もあります。
特定の人物・企業を狙うフィッシング詐欺(スピアフィッシング)
前述までのような不特定多数を対象とした手口ではなく、特定の個人や企業を狙い、ログイン情報やクレジットカード番号・銀行口座などを盗み取ったり、マルウェア(スマホやユーザーに被害をもたらすことを目的とした、悪意のあるソフトウェア)に感染させたりする手口です。
業務に関するメールを装うなど、ターゲットと関連がありそうな内容で攻撃を仕掛けてくるため、信じてしまいやすいのが特徴です。通常のフィッシング詐欺が無差別に多くの人を狙うのに対し、スピアフィッシングは特定のターゲットを狙う点が特徴です。
検索エンジンフィッシング詐欺(SEOポイズニング)
検索エンジン最適化(SEO)技術を悪用して不正なサイトを検索結果の上位に表示させ、閲覧したユーザーをマルウェアに感染させたり、詐欺サイトに誘導したりするサイバー攻撃手法です。
たとえば、攻撃者は自ら作成した不正なサイトに大量のキーワードやリンクを埋め込んでSEO対策を施し、検索結果での上位表示を狙います。また、脆弱性のある正規の企業サイトを乗っ取り、不正なリダイレクト(別のURLに転送する仕組み)を仕込む手口などが当てはまります。
「検索上位のサイトは信頼できる」というユーザーの心理を悪用しており、検索結果の上位に表示されていれば、不正サイトだと疑うことなくアクセスしてしまう危険性があります。
フィッシング詐欺の被害を防ぐ対策方法
フィッシング詐欺は、巧妙化しており、本物の企業やサービスからのメールやSMSと間違えてしまうほど精巧に作られているものもあります。そのため、本物と見分けるのが難しく、被害に遭わないように対策することが重要です。
URLに不用意にアクセスしない
見覚えのない送信元から届いたメールやSMSに記載されているURLには、不用意にアクセスしないようにしましょう。本文に不自然な日本語が使われていないか、送信元のメールアドレスに不審な点がないかなどを確認することが大切です。
また、使用しているサービスなどのメールやSMSの場合でも、本文に記載されているURLからアクセスしないように意識することをおすすめします。メールからではなく、ブラウザやアプリから直接公式サイトにアクセスし、通知が届いているかなどを確認すると、フィッシング詐欺の被害に遭うリスクを低減できます。
メールフィルタリングやセキュリティ対策サービスを活用する
どれだけ注意深くインターネットを利用していても、不用意にメールを開いたり、危険なサイトにアクセスしたりしてしまうリスクはゼロではありません。このような事態に備えるためには、メールフィルタリングやセキュリティ対策サービスの活用がおすすめです。
ドコモの「あんしんセキュリティ スタンダードプラン」の「迷惑メール対策」機能は、フィッシング詐欺メールのような迷惑メールを自動で判別し、専用のフォルダに振り分けます。不審なSMSに対応する「迷惑SMS対策」機能も備わっているため、フィッシング詐欺などのリスクがあるメール・メッセージどちらの対策も実施することが可能です。
また、「危険サイト対策」機能は閲覧しようとしているサイトが、偽サイトやウイルス配布サイトなど危険なサイトだった場合に警告を表示するため、フィッシングサイトへのアクセスを避けることができます。
まとめ
フィッシング詐欺は、ユーザーの不安を煽り、偽サイトに誘導して個人情報を盗み取る詐欺です。
特にメールを悪用した手口が多く、実在する企業を装って「不正なログインが検知された」などの言葉で不安を煽り、偽サイトへのアクセスを誘導します。また、SMSや音声通話を使ったフィッシングもあり、手口は多岐にわたります。
被害を防ぐには、不審なメールやSMSに記載されたURLに安易にアクセスしないことです。送信元やURLをよく確認し、少しでも怪しいと感じたらアクセスを控えましょう。
また、メールフィルタリングやセキュリティ対策サービスを活用することで、目視の確認では判断が難しいメールやSMSにも対応が可能です。これらを取り入れ、フィッシング詐欺のリスクに備えましょう。
