「フィッシング詐欺の種類や手口は?」
「フィッシングの被害に遭ったらどうすればいい?」
フィッシングという言葉を最近よく耳にするようになったこともあり、このような疑問を持つ方も増えてきました。
フィッシングとは、悪意のある第三者がWebサイトやメールを偽装して、個人情報などを不正に抜き取ろうとする詐欺行為です。
フィッシング詐欺の手口は、近年ますます巧妙化しており、被害に遭う人も増加しています。
一方で、正しい対処方法を知ることにより、フィッシング詐欺による被害を防止することが可能です。
本記事では、
- フィッシング種類別の被害事例と対策
- フィッシングの被害に遭った場合の対処法
などを解説していきます。
フィッシングの被害に遭わないための知識や対策方法を知りたい方は、ぜひ最後までご一読ください。
なお、企業様は以下をクリックして、自社のフィッシング対策状況をセルフチェックしてみてください。
\自社のなりすましサイトの検知・フィッシング対策に!/
目次
フィッシングとは
フィッシングとは、悪意のある第三者がWebサイトやメールを偽装して、個人情報などを不正に抜き取ろうとする詐欺行為です。
以下は、フィッシングがどのように行われるのかを表したものです。
このようにあなたの身近にもフィッシング詐欺は存在しているので、いつでもフィッシング被害に遭う可能性があるということです。
フィッシング詐欺の被害に遭わないためにも、フィッシングの手口や事例、対処法などを知っておくべきです。
フィッシング詐欺の特徴
フィッシング詐欺の特徴を知っておくことで、日常生活の中で「もしかしてフィッシング詐欺かもしれない」と疑うことができるようになります。
フィッシング詐欺の特徴は、
- 似ているようで微妙に違う文字が使われている
- 対応を急がせるものや不安を煽るような内容
- 違和感のある日本語や不自然な日本語が使われている
などで、これらの特徴を頭に入れておくことでフィッシング詐欺を見抜く力をつけることができます。
以下は、日本クレジット協会がフィッシング詐欺の特徴を分かりやすく紹介しているものです。
※引用:日本クレジット協会
フィッシングではどのような情報が盗まれる?
フィッシングでは、一体どのような情報が盗まれてどのように悪用されるのかを知っておくことも大事です。
フィッシング詐欺に遭うと、以下のような情報が盗まれる可能性があります。
- クレジットカード番号
- 口座番号および暗証番号
- 住所・氏名・生年月日・電話番号などの基本的な個人情報
- ID・パスワードなどのログイン情報
- 運転免許証・マイナンバーカードなどの本人確認書類の画像
これらの情報を盗んで悪用しようとする者が、至る所に存在しているのが現状です。
盗まれた情報はどう使われるのか
盗まれた情報は、以下のように悪用される恐れがあります。
- クレジットカードの不正利用
- 口座からお金を盗む・勝手に送金する
- 特殊詐欺・悪徳商法・ストーカー・脅しのターゲットにする
- アカウントの乗っ取り・なりすまし
- ダークウェブ(闇のEC)で取引される
盗まれた情報は、金銭的被害を招くだけではなく、ストーカーや脅しのターゲットにされる可能性もあります。
フィッシング被害に遭わないように、個人情報はどれも自分の分身だと思って守っていきましょう。
ダークウェブの仕組みや被害対策については、以下の記事で詳しく解説しているので本記事と併せて読んでみてください。
近年フィッシングサイトが急増中!
2023年8月のフィッシングサイトの URL 件数は、20,396 件でした。
フィッシングサイトのURL件数は、一時減少傾向にありましたが近年また増加傾向にあるのが分かります。
※引用:フィッシング対策協議会
またフィッシング対策協議会の総評として、前月に引き続き大量の『.comドメイン』『.cfgドメイン』『.cnドメイン』がフィッシングに悪用され、特に『.cfdドメイン』は、フィッシングサイトへのリダイレクト元URLとして、フィッシングメール内に埋め込まれて悪用されるケースが多く確認されたということです。
※引用:フィッシング対策協議会
フィッシングサイトは、注意してみても偽物とわからないほどに公式サイトそっくりのデザインになっていることが多いです。
そのため、フィッシングサイトを見分けるポイントの一つとして、URLを開く前にドメイン名を注意して見るといいでしょう。
フィッシングサイトの詳細や見分け方については以下の記事で詳しく解説していますので、ぜひご参照ください。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
フィッシング種類別の被害事例と対策
ここからは、どのようなフィッシングの種類があるのか、種類別の被害事例と対策について解説していきます。
フィッシングには、主に4つの種類があります。
- メールフィッシング
- スミッシング
- スピアフィッシング
- ヴィッシング
それぞれの手口や被害事例、対策について詳しく解説していきます。
【種類1】メールフィッシング(なりすまし)
メールフィッシングは、金融機関やクレジットカード会社、ECサイトなどになりすました悪意のある第三者が、メールを悪用して個人情報を抜き出そうとするものです。
不安を煽る内容をメールに記載し、ユーザーが慌ててサイトにログインすることで被害に遭ってしまうケースも少なくありません。
フィッシングサイト同様、フィッシングメールも本物のメールそっくりに偽造されているため、見分けるのが難しいという特徴があります
主な手口・被害事例
フィッシングメールの主な手口は、銀行やクレジットカード会社などを偽装してユーザーにメールを送り、重要事項を確認するように煽ってURLをクリックさせる方法です。
ユーザーを焦らせることで正確な判断を失わせ、情報を盗みやすい状況を作ります。
フィッシングメールの被害事例は多岐にわたりますが、一例として次のようなものがあります。
「カード年会費の支払い方法に問題がある」
「不正アクセスの疑いがある」
「カードが不正使用された」
「緊急の連絡がある」
▼ECサイトを装ったメール文例
「アカウントの使用が停止された」
「支払い方法が確認できず出荷できません」
「IDやパスワードなどのログイン情報が流出した可能性がある」
▼金融庁や税務署などの官公庁を装ったメール文例
「緊急のお知らせ」
「申告に関するお知らせ」
対策方法
フィッシングメールは、次の方法をとることで対策が可能です。
- 送信元のメールアドレスが正しいものであるかチェックする
- おかしな文法が使われていないか・違和感を感じないかチェックする
- 添付されているURLはクリックしない
- メールが送られてきた企業の公式サイトと見比べる
- 直接問い合わせて正規メールかチェックする
フィッシングメールは、海外の不正集団が送信することもあるため、不自然な日本語が使われているケースも少なくありません。
不安を煽るようなメールが届いたときこそ、上記で挙げた対策を行い、慌てずに対応するようにしましょう。
なお、フィッシングメールや迷惑メールの見分け方については、以下の記事でも詳しく紹介していますので気になる方はチェックしてみてください。
【種類2】スミッシング(SMSを使用したフィッシング)
スミッシングは、「SMS」にテキストメッセージを送りつけて行われるフィッシング攻撃です。
宅配会社や金融機関、大手ECサイトや官公庁を装ったものが多いという特徴があります。
「至急確認!」など不安を煽るような内容が多いので、焦ってURLを開いてしまうことで被害に遭ってしまいます。
主な手口・被害事例
スミッシングは、送信したSMSに添付されているURLをクリックさせ、偽のサイトから個人情報を抜き出す方法が主な手口です。
スミッシングの被害事例は多岐にわたりますが、一例として次のようなものがあります。
「【smbc】お客様の三井住友銀行口座に対し、第三者からの不正なアクセスを検知しました。ご確認ください。(URL添付)」(※参考:三井住友銀行公式HP)
▼通信サービス会社を装ったSMS例文
「【警告】au通信サービス停止と契約解除通告、ご確認ください。(URL添付)」(※参考:KDDI公式)
▼宅配便事業者を装ったSMS例文
「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。(URL添付)」(※参考:国民生活センター)
スミッシングが増加傾向にある理由は、
- 電話番号が存在すれば相手に確実に届く
- SMSは通常の電子メールよりも読まれやすい
などが挙げられます。
対策方法
スミッシングは、次の方法をとることで対策が可能です。
- 届いたSMSを過信しない
- SMSに添付されているURLや電話番号はタップしない
- 情報を確認する際は公式サイトにアクセスする
- SMSが届いた関連機関に直接問い合わせて内容が事実であるか確認する
スミッシングについてさらに詳しく知りたい方は、以下の記事でも詳しく解説していますので本記事と併せてご覧ください。
【種類3】スピアフィッシング(標的型攻撃)
スピアフィッシングは、特定の相手を狙った標的型のフィッシング攻撃です。
フィッシング攻撃は不特定多数を相手にしているものが多いですが、スピアフィッシングはターゲットを絞っているからこそ、被害に遭いやすい攻撃とも言えます。
・ターゲットを絞り込んで計画的に攻撃を仕掛けるため
・事前にターゲットの情報を収集し、本物と酷似したメールが届くため
また、スピアフィッシングの一種に「ホエーリング」と呼ばれる攻撃があります。
ホエーリングの主な特徴は、次の通りです。
・社長や経営陣など、会社の経営に大きく関わっている人物を狙ったフィッシング攻撃
・経営や業務の緊急性を強調するなど、社長や経営陣が特に気にするような内容のメールを送りつけて開封を煽る
・悪意のある第三者が関係者になりすます傾向があり、ターゲットが疑うことなく開いてしまうメールが作成されやすい(税務署からのメールなど)
ホエーリングは、社長や経営陣などを狙う傾向があるため、スピアフィッシングよりも損失が大きくなる可能性が高いです。
被害に遭わないためにも、スピアフィッシングと併せてホエーリングの知識も深めて対策を講じるようにしましょう。
主な手口・被害事例
スピアフィッシングは、事前にターゲットとなる人物や関連組織の情報を調べ上げ、関係者になりすましてメールを送信し、情報を盗み出すのが主な手口です。
あくまで一例ですが、スピアフィッシングで送られるメール例文は以下のようなものがあります。
「機密扱いでお願いしたいことがあります。指示はメールで行いますので注意を払っていただくようにお願いします」
「至急添付ファイルの口座に入金をお願いします。代表取締役社長〇〇」
そして2015年には、日本年金機構がスピアフィッシングの被害に遭い、合計31台の端末がマルウェアに感染し約125万件の個人情報が流出したことで話題になりました。
問い合わせ対応や基礎年金番号の変更のお知らせ文書の送付などで、対応に要した費用は総額で約10億円に上ったということです。
対策方法
スピアフィッシングは、次のような方法で対策が可能です。
- 不審なメールやSMSは送信元を確認する
- 社内でのセキュリティ教育を実施する
- 迷惑メール隔離設定を行う
- 使用しているクラウドサービスに多要素認証を導入する
スピアフィッシングは、通常のフィッシング攻撃よりも騙されやすく損失も大きくなりやすいため、しっかりと対策を行いましょう。
【種類4】ビッシング(音声メッセージを使用したフィッシング)
ビッシングは、電話などの音声を使ったフィッシング攻撃です。
SMSを大量に送って折り返し電話をさせたり、一斉に電話をかけて応答した人をターゲットに設定したりします。
特に多いのが、税務署などの公的機関になりすまし、口座番号や暗証番号を盗み出すケースです。
また、電話口で「不正ログインがあった」と偽り、ログイン情報を取得して不正アクセスやカードの不正利用を行うこともあります。
主な手口・被害事例
ビッシングは、実在する大手企業や金融機関などを名乗って電話をかけるのが主な手口です。
手当たり次第に電話をかけ、応答した人に口座番号やアカウント情報を尋ねて個人情報を盗み出そうとします。
ビッシングの被害事例は多岐にわたりますが、一例として次のようなものがあります。
・税務署などの公的機関を名乗り、「還付金があるので口座番号を教えてください」などと伝える
・カード会社を名乗り、「カードの不正利用がありました」と相手に伝えて個人情報の確認を求める
・電話番号を添付したSMSを送信し、電話をかけさせて個人情報を盗む
ビッシングは、他のフィッシング攻撃よりも人の心理を突いて情報を盗み取ろうとする手口が多い傾向があります。
対策方法
ビッシングは、次のような方法で対策が可能です。
- 電話で個人情報を伝えない
- 少しでも怪しいと感じたら一度電話を切り、身内や警察に相談する
- 公式サイトの問い合わせ窓口から、情報漏えいなどの被害が発生していないか確認する
- 発信者番号が正規のものか確認する
ビッシングの被害を防ぐには、電話口で安易に個人情報を伝えないことです。
そもそも、企業や公的機関が電話口でログイン情報などの個人情報を聞き出すことはありません。
電話の内容が少しでもおかしいと思ったときには、その場で情報を伝えずに警察や周りの人に相談することをおすすめします。
フィッシングの被害に遭った場合の対処法
ここからは、実際にフィッシングの被害に遭ってしまった場合の対処法をお伝えします。
フィッシング被害は、ケース別でどのように対応するべきかは変わってきます。
- フィッシングメールを開いてしまった
- クレジットカードを不正利用された
- 口座から預金を引き出された・送金された
- SNSなどのアカウントを乗っ取られた
それぞれケース別の対処法について詳しく解説してきます。
【ケース1】フィッシングメールを開いてしまった
フィッシングメールを開いてしまっただけなら、フィッシングの被害に遭う可能性はほぼありません。
ただし、フィッシングメールがHTML形式の場合、他のウイルスが仕込まれている可能性があり、ウイルスに感染するリスクも潜んでいます。
ウイルスに感染してしまった場合、次のような被害に遭う可能性があります。
- PCが起動できなくなる
- 動作が遅くなる
- PC内のデータが漏洩する
ウイルス感染による被害を防ぐためにも、セキュリティソフトを利用してセキュリティ強化を行うようにしましょう。
【ケース2】クレジットカードを不正利用された
クレジットカードを不正利用された場合は、以下の手順で早急に対処してください。
- カード会社に連絡してカードを利用できないようにする
- 警察に被害届を提出する
- カードの盗難保険を使用する
- カードの明細に他に不審な履歴がないかを確認する
クレジットカードを不正利用された時に、一番気になるのがお金が戻ってくるかどうかです。
基本的には、クレジットカードの不正利用分の金額を負担するのはEC事業者です。
警察に被害届を提出して、本当にクレジットカードの不正利用であると認められたら、お金は戻ってくることが多いです。
クレジットカードの不正利用はEC事業者が負担する理由については、以下の記事で詳しく解説していますので参考にしてください。
【ケース3】口座から預金を引き出された・送金された
口座から預金を引き出されたり、勝手に送金された場合は、以下の手順で早急に対処してください。
- 金融機関に連絡する
- 警察に被害届を提出する
- 補償請求を行う
このようなケースでも、不正に引き出されたり送金されたお金は補償請求により戻ってくることがほとんどです。(参考:全国銀行協会)
補償請求をする際には、金融機関への速やかな被害内容の連絡や、捜査機関への説明・協力が必要になるため「不正送金された!」と思ったらすぐに金融機関へ連絡を行いましょう。
不正送金対策については、以下の記事で詳しく解説していますので本記事と併せて参考にしてください。
【ケース4】SNSなどのアカウントを乗っ取られた
最近では、SNSなどのアカウントを乗っ取られるケースが多発しています。
Instagram(インスタグラム)、X(旧:ツイッター)、Facebook(フェイスブック)でアカウントを乗っ取られた時の対処法は各ヘルプセンターから行ってください。
| SNS種類 | アカウントを乗っ取られた時の対処法 |
|---|---|
| Instagram(インスタグラム) | Instagramヘルプセンターはこちらから |
| X(旧ツイッター) | Xヘルプセンターはこちらから |
| Facebook(フェイスブック) | Facebookヘルプセンターはこちらから |
SNSのアカウント乗っ取りを発見したら、すぐに各ヘルプセンターから問い合わせや手続きを行うようにしましょう。
また、SNSのアカウント乗っ取りやなりすましをしてはいけない理由については以下の記事で詳しく解説していますので、参考にしてください。
フィッシング詐欺を回避するためには?
フィッシング詐欺を回避するためには、どのような時にフィッシング詐欺に遭いやすいのかを知っておくのも大事です。
そしてブックマークを活用することは、フィッシング詐欺を回避する一つの手段です。
- フィッシング被害に遭いやすい時
- ブックマークを活用する
ことについて、それぞれ詳しく解説していきます。
フィッシング被害に遭いやすい時
フィッシング被害に遭いやすい時は、「思い込んでいる時」「急いでいる時」「疲れている時」です。
このような状況の時は、うっかりミスが多くなるため、フィッシング被害に遭いやすくなるということです。
※引用:フィッシング対策協議会
特に、「急いでいる時」や「疲れている時」は正常な判断ができないこともあるので、大事な情報を入力しないようにしてください。
ブックマークを活用する
いつも利用しているサービスにログインする時は、「いつもの」公式アプリ・サイト(ブックマーク)から開く習慣をつけるといいでしょう。
このようにすることで、正規のアプリやサイトからアクセスする癖をつけることができるので、フィッシングサイトを開くことがなくなります。
※引用:フィッシング対策協議会
どこにフィッシングが仕掛けられているかを察知することは難しいため、「いつもの」行動を心がけるようにしましょう。
【企業向け】フィッシングが企業に与えるダメージは大きい
ここまで、フィッシング攻撃が個人に与える脅威をお伝えしてきましたが、実はフィッシングは企業に与えるダメージも大きいです。
例えば、悪意のある第三者によってフィッシングサイトを作られてしまうと、次のような直接的・間接的な被害を受ける可能性があります。
- 利用者からの信頼を失う
- ブランド価値が下がる
- 被害者からのクレーム対応に追われる
- 利用者から訴訟を起こされる
偽サイトの被害に遭った利用者が、ネガティブなコメントをSNSなどに投稿すると、本物のサイトの評価と信じた他のユーザーから信用されなくなるケースがあります。
これらの対策として、「DMARC」などの送信ドメイン認証を導入するのが効果的です。
送信ドメイン認証とは、送信元のIPアドレス認証や電子署名の仕組みを利用して、メールがなりすまされているかを判断すること
DMARCは、一度設定すれば効果が持続する認証方式です。
迷惑メールによるダメージを受けないようにするためにも、DMARCの導入を検討してみてはいかがでしょうか。
DMARCの仕組みやメリットに関しては、以下の記事で詳しく解説していますので本記事と併せて参考にしてください。
\自社のなりすましサイトの検知・フィッシング対策に!/
【企業向け】フィッシングサイトを検知する2つの方法
最後に、企業がフィッシングサイトを検知する2つの方法を紹介します。
- ドメイン登録を監視する
- フィッシング対策サービスを導入する
それぞれ詳しく解説していきます。
【方法1】ドメイン登録を監視する
悪意のある第三者は、正規のサイトと似たようなドメイン名を勝手に登録してフィッシングサイトを作成します。
つまり、似たようなドメイン名が登録されていないか監視しておくことで、該当するドメイン名が登録された場合すぐに対応ができます。
目視で行うのは時間や手間もかかるため、ドメイン検索サービスを利用するのもおすすめです。
【方法2】フィッシング対策サービスを導入する
フィッシング詐欺による被害を出さないためにも、企業様はフィッシング対策サービスの導入を検討しましょう。
当サイトを運営するかっこ株式会社は、フィッシング対策である「鉄壁PACK for フィッシング」を開発・提供しています。
「鉄壁PACK for フィッシング」をおすすめするポイントは5つあります。
- フィッシングが起こるすべてのプロセスで対策可能
- フィッシング対策ガイドライン「Webサイト運営者が考慮すべき要件」の大半をカバー
- リスク状況や予算に応じて必要な対策をチョイス可能
- 特許技術による不正アクセス検知で実効性の高い対策が可能
- 複数要素認証との組合せでユーザビリティを損ねない対策が可能(リスクベース認証)
あらゆるフィッシングの対策ができる「鉄壁PACK for フィッシング」を導入して、自社も顧客もどちらも悪質なフィッシングから守りましょう。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
まとめ:フィッシングを理解してできる対策から始めよう
フィッシングは、悪意のある第三者がWebサイトやメールを偽装して、個人情報などの機密情報を不正な手段で得ようとするサイバー攻撃です。
フィッシングには、主に下記4つの種類があります。
- メールフィッシング
- スミッシング
- スピアフィッシング
- ビッシング
フィッシングの可能性があるメールは開かないことが一番の防止策ですが、フィッシング被害に遭ってしまったら、
- フィッシングメールを開いてしまった
- クレジットカードを不正利用された
- 口座から預金を引き出された・送金された
- SNSなどのアカウントを乗っ取られた
など、本記事でお伝えしたケース別対策を行ってください。
また、企業様はフィッシングサイトを放置しないためにも、次のような方法で検知できる体制を構築しましょう。
- ドメイン登録を監視する
- フィッシング対策サービスを導入する
フィッシング対策を強化したい方は、下記のバナーをクリックのうえお気軽にダウンロードしてください!
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
