フィッシングサイトとは、公式サイトに似せた偽サイトのことです。
被害に遭うと個人情報が流出するだけではなく、クレジットカードやアカウントの不正利用が発生するリスクも潜んでいます。
また、企業がフィッシングサイトを作られると「顧客からの信頼低下」や「クレーム増加」につながる恐れもあるため注意しなければなりません。
本記事では、
- フィッシングサイトの特徴
- フィッシングサイトに誘導する主な3つの手口
- フィッシングサイトの被害に遭った場合のリスク
- フィッシングサイトの被害事例
- 公式サイトとの見分け方
などを解説します。
フィッシングサイトについて理解を深めたい方や騙されないための対策を知りたい方は、ぜひ最後までご一読ください。
目次
フィッシングサイトとは
フィッシングサイトとは、金融機関やECサイトなどの公式サイトを装った偽サイトのことです。
悪意のある第三者が一般ユーザーをフィッシングサイトに誘導し、個人情報を不正入手する「フィッシング詐欺」の被害に遭う人も少なくありません。
フィッシング対策協議会が公開している報告書によると、フィッシングサイトのURL件数は年々増加していることがわかります。
※引用:フィッシング対策協議会
フィッシングサイトは、偽サイトでID・パスワードを入力させて、エラー画面が出た後は正規サイトを表示させるなど手口が巧妙です。
一度エラー画面になってもその後に表示されるのが正規のサイトであるため、「偽サイトにID・パスワードを入力して個人情報を盗み取られたこと」に利用者が気付かないケースもあります。
フィッシングサイトの被害に遭うと、クレジットカードの不正利用やアカウントの乗っ取り被害が発生する恐れがあるため、適切な対策を行うことが重要です。
\自社のなりすましサイトの検知・フィッシング対策に!/
下記記事では、フィッシング詐欺の代表的な手口や対策方法を解説していますので、あわせてご参照ください。
フィッシングサイトに誘導する3つの手口
フィッシングサイトに誘導する主な手口を3つ紹介します。
- メール
- SNS
- SMS
それぞれ詳しく見ていきましょう。
【手口1】メール
メール本文にフィッシングサイトへのURLを記載する手口です。
よくある例のひとつが、悪意のある第三者が金融機関やクレジットカード会社などを装ってメールを送信し、偽サイトへのクリックを誘導するケースです。
フィッシングメールの見分け方や対策については、下記記事で詳しく解説しています。
また、次の記事では「迷惑メールで被害者にならないようにするための対処法」を10個紹介していますので、あわせてご参照ください。
【手口2】SNS
2つ目は、SNS上でフィッシングサイトへ誘導する手口です。
投稿やダイレクトメッセージなどにURLを記載し、偽サイトへアクセスさせようとします。
企業アカウントや一般ユーザーになりすましてURLを開かせようとするパターンもあります。
フィッシングサイトへの誘導に使われるSNSの具体例は、以下の通りです。
- LINE
特に最近では、主要SNSのなかでMAU(月間アクティブユーザー数)が最も多いとされている「LINE」での被害事例も増えています。
具体的には、LINEのログイン画面そっくりな偽のWebサイトを用意し、LINEのパスワードや認証番号を入力させてアカウントを盗もうとする事例などが発生しています。
LINE公式からログインを促すような連絡が届くことはありませんので、「ログインを促す連絡」がきてもアクセスしないようにしましょう。
【手口3】SMS(ショートメッセージ)
SMSを使ったフィッシングは、個人を狙ったフィッシング詐欺の1つで「スミッシング」とも呼ばれています。
電話番号宛に、特定のサービスや公的機関を装ってSMSを送信する手口です。
▼SMSとは
ショートメールサービスのこと。携帯電話の番号を用いてメッセージのやりとりができる。電話番号だけでメッセージを送信できるため、メールアドレスやSNSアカウントを知らない相手にも送れるのが特徴
不正者は、SMSから偽サイトへと誘導し、個人情報などを盗みます。
SMSを使ったフィッシングの事例や被害に遭わないための対策に関しては、下記記事で詳しく解説していますのでご参照ください。
フィッシングサイトを見分けるべき理由
フィッシングサイトを見分けるべき理由は、本物そっくりな偽サイトでの被害が急増しており、ワンクリックで不当な請求を受けたり個人情報が悪用されたりするケースなどがあるからです。
不正者の技術が進化していることもあり、パッと見ただけではフィッシングサイトであることに気付かないようなサイトも多く存在します。
詐欺被害に遭わないためには、フィッシングサイトの見分け方をしっかりと学んでおかなければなりません。
次章では、「フィッシングサイトの被害に遭うとどうなるのか」をより詳しく解説します。
なお、フィッシングサイトの見分け方を先に知りたい方は、「公式サイトとの見分け方を6ステップで紹介」をご覧ください。
フィッシングサイトの被害に遭うとどうなるのか?
フィッシングサイトで個人情報やクレジットカード情報を入力してしまうと、下記のような被害が発生する恐れがあります。
- 個人情報が流出する
- クレジットカードの不正利用が発生する
- アカウントの不正利用が発生する
- 口座の不正引き出しが発生する
フィッシングサイトの被害に遭うと、大切な資産を失うことになりかねません。
どういうことなのか、詳しく見ていきましょう。
個人情報が流出する
フィッシングサイトで個人情報を入力してしまうと、外部に自分の情報が流出してしまいます。
流出する情報の代表例としては、クレジットカード情報やWebサイトのログインID、パスワードなどです。
悪意のある第三者が金融機関を装ったメールを送り、ユーザーに重要な情報を入力させて銀行の口座情報や暗証番号などが流出するケースもあります。
下記記事では、2024年最新版の「個人情報流出による被害事例」をまとめていますので、関心のある方はご参照ください。
クレジットカードの不正利用が発生する
フィッシングサイトでクレジットカード情報を入力してしまうと、不正利用が発生する恐れがあります。
悪意のある第三者が「暗証番号を変更しないと今後カードが使えなくなる」などと偽メールを送って危機感を煽り、入手したカード情報で不正利用する事例も確認されています。
クレジットカードの所有者が気付いた時には多額のカード不正利用が発生していた、というケースもあるため、安易にクレジットカード情報を入力しないようにしましょう。
なお、クレジットカードを不正利用されるパターンは大きく8つに分かれます。
多様化しているカード不正の実態を知りたい方は、次の記事をご覧ください。
アカウントの不正利用が発生する
WebサービスにログインするためのIDやパスワードを偽サイトで入力してしまい、アカウントが乗っ取られるケースです。
たとえばフリマアプリの偽サイトに誘導され、個人情報の入力後にアカウントが乗っ取られて不正利用される、といった被害も発生しています。
悪用者に乗っ取られたアカウントのパスワードが勝手に変更され、ユーザー本人が利用できなくなってしまう被害も起きています。
口座の不正引き出しが発生する
銀行口座の番号や暗証番号が流出することで、預金が不正に引き出される恐れがあります。
法人向けインターネット・バンキングを通じた預金の不正引き出しについては、預金の補償を受けられなかったり補償を減額されたりするケースがあるため注意が必要です。
【預金の補償なし/補償減額の取り扱いとなり得るケース】
・法人側で必要なセキュリティ対策が導入されていない場合
・不正取引の発生後、一定期間内の警察への通報がおこなわれていない場合
・不正取引の発生後、銀行による調査および警察による捜査への協力が実施されていない場合
※参考:一般社団法人全国銀行協会
被害者が個人の場合は補償を受けられる可能性があるため、心当たりのない預金の引き出しがあった場合はすぐ銀行へ相談することをおすすめします。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
下記記事では、不正送金の代表的な3つの手口や被害に遭わないための対策を紹介していますので、あわせてご参照ください。
フィッシングサイトの被害事例5つ
フィッシング対策協議会のサイトに掲載されている情報のなかから、被害事例を5つ紹介します。
- 銀行をかたるフィッシングサイト
- 配送業者をかたるフィッシングサイト
- キャッシュレスサービス業者をかたるフィッシングサイト
- クレジットカード会社をかたるフィッシングサイト
- プロバイダをかたるフィッシングサイト
いずれも利用する可能性が高い機関やサービスばかりですので、事例を見て被害防止にお役立てください。
※参考:フィッシング対策協議会
【被害事例1】銀行をかたるフィッシングサイト
| 送り主 例 | ○○銀行 |
|---|---|
| メール件名 例 | 【○○銀行】お客様情報・取引目的の確認 【必ずお読みください】○○銀行の重要なお知らせ |
| 主な手口 | 銀行をかたりメールやSMSで個人情報を入力させる |
インターネットバンキングのIDやパスワードが盗まれたり、口座の預金が不正に送金されたりと、銀行をかたるフィッシングサイトの被害事例があとを絶ちません。
携帯電話会社などのサイトに誘導され、情報を入力すると銀行の偽サイトにたどりつき、インターネットバンキングの認証情報を求められるケースもあります。
また、金融機関を名乗り、「テロ資金供与」や「マネーロンダリング」対策の名目で個人情報を不正入手しようとする手口も確認されています。
金融機関も「本人認証サービス」を活用するなど、セキュリティ対策に取り組んでいるものの、金融機関になりすましたフィッシング被害は発生し続けているのが現状です。
【被害事例2】配送業者をかたるフィッシングサイト
| 送り主 例 | ○○運輸 |
|---|---|
| メール件名 例 | 【○○運輸】お届け時ご不在のご連絡 【○○運輸】配達できないため、配送情報をご補充ください |
| 主な手口 | 不在通知を装い、偽サイトへのアクセス後に個人情報を入力させる |
宅配需要が拡大するなか、配送業者を装ってフィッシングサイトへ誘導する手口にも注意が必要です。
よくある被害事例として、配送業者になりすまして不在通知のメッセージを送り、偽サイトへ誘導して個人情報を入力させる手口が挙げられます。
また、最近では偽サイトへのアクセス後に「不正なアプリ」をインストールさせられ、利用者のスマートフォンから偽のSMSが勝手に送られて身に覚えのない請求を受ける被害も発生しています。
【被害事例3】キャッシュレスサービス業者をかたるフィッシングサイト
| 送り主 例 | ○○サービス、◯◯Pay |
|---|---|
| メール件名 例 | ○○年××月△△日お支払い金額のお知らせー○○サービス ◯◯Pay事務局からのお知らせ |
| 主な手口 | フィッシングサイトから正規サイトへ誘導し、送金させる 「サービスの利用を一部制限した」と伝え、利用確認のために個人情報を入力させる |
近年、キャッシュレスサービスの利用者が増えていますが、「〇〇Pay」「〇〇〇サービス」などとかたるフィッシング詐欺の事例も多数報告されています。
- 「オートチャージの無効を検出したためご使用を中止させていただきました」
- 「アカウントに疑わしい取引があります」
などと煽って個人情報を入力させる手口や、フィッシングサイトから正規サイトへ誘導して送金させる手口などがあります。
【被害事例4】クレジットカード業者をかたるフィッシングサイト
| 送り主 例 | ○○カード |
|---|---|
| メール件名 例 | ○○カード お支払い予定金額のご案内 ○○カード【重要:必ずお読みください】 【重要】○○カードからの緊急の連絡 |
| 主な手口 | クレジットカード会社を装い、偽サイトに誘導して個人情報を入 力させる |
クレジットカード業者をかたるフィッシング被害も多発しています。
これを受け、経済産業省・警察庁・総務省は、2023年2月にクレジットカード会社などに対してフィッシング対策の強化を要請しました。
※参考:「経済産業省」
よくある被害としては、悪用者がクレジットカード会社を装って電子メールなどを送信し、利用者を偽サイトに誘導してクレジットカード番号などを騙しとる事例が挙げられます。
【被害事例5】プロバイダをかたるフィッシングサイト
| 送り主 例 | プロバイダ名○○ |
|---|---|
| メール件名 例 | 【プロバイダ名○○】○○年××月ご請求のご案内 【プロバイダ名〇〇】クレジットカードご確認のお願い |
| 主な手口 | フィッシングサイトでプロバイダの認証をしたあと決済サービス に誘導し、送金させる |
多くの国民が日々インターネットを使用するなか、プロバイダ(回線をインターネットにつなげる接続事業者)をかたるフィッシング被害も増えています。
具体的な手口としては、次のようなものが挙げられます。
- 「クレジットカードの認証に問題が生じている」などと伝え、認証情報や個人情報を入力させる
- 「支払いを確認できなかった」などと伝え、カード決済や銀行振込の手続きを促す
このように、普段利用しているサービスや機関を名乗ってメールを送り、フィッシングサイトへ誘導する手口が多発しているのが現状です。
下記記事では、迷惑メール経由で個人情報を流出させないために必要な対策を5つ紹介していますので、ぜひチェックしてみてください。
\自社のなりすましサイトの検知・フィッシング対策に!/
公式サイトとの見分け方を6ステップで紹介
ここからは、公式サイトと偽サイトの見分け方を6つのステップで紹介します。
- 送信元を確認する
- サイトのURLを確認する
- 日本語がおかしくないかチェックする
- SSL認証されていても安心しない
- サイトに記載されている情報を確認する
- あやしいと思ったら検索する
いずれも今日からできる対策ですので、ぜひ参考にしてください。
【ステップ1】送信元を確認する
メールが届いたら、まずは送信元を確認するクセをつけましょう。
偽サイトに誘導するメールは、公式サイトのメールアドレスと違って不自然であるケースも少なくありません。
具体的には、次のような点を意識しながらチェックしてみてください。
- 送信元がフリーメールアドレスでないか
- メールアドレスの文字列が不自然でないか
- 送信元に自分以外のメールアドレスが何件も入っていないか
送信元を確認した結果、違和感のあるメールアドレスの場合は決してアクセスしないようにしましょう。
【ステップ2】サイトのURLを確認する
続いて、メールやSNS・SMSに記載されているアクセス先のURLに違和感がないかチェックします。
「〜.com」が「〜.jp」に、「0」が「O」になっているなど、公式サイトとわずかにURLが異なっていないか確認しましょう。
インターネット上に同じドメインは存在しないため、公式サイトと見比べることで偽サイトかどうかを判断できます。
少しでも怪しさを感じた場合は届いたURLをクリックするのではなく、インターネット検索やブックマークから正規サイトにアクセスする方法も有効です。
【ステップ3】日本語がおかしくないかチェックする
日本語がおかしくないかチェックすることで、フィッシングサイトへの誘導であることに気付けることもあります。
なぜなら、フィッシングメールは海外から送信されるケースも多いからです。
翻訳サイトをつかって変換された文章で海外から送られる場合、
- 日本語が不自然
- 文面が片言
など、メールの内容に違和感を感じることがあります。
そのような時はフィッシングメールである可能性が高いため、絶対にアクセスしないようにしましょう。
【ステップ4】SSL認証されていても安心しない
個人情報やクレジットカード情報などの入力画面では通常、SSLとよばれる暗号化技術が使用されます。
したがって、SSLで通信が行われていないのに個人情報やクレジットカード番号を入力させるサイトには注意が必要です。
ただし、現在は無料でSSLを取得できるようになったため、SSLで通信が行われていても100%の安心はできません。
「サイトのURL確認」や「サイトに記載されている情報確認」もあわせてチェックしましょう。
【ステップ5】サイトに記載されている情報を確認する
記載されている情報が正しいか、サイトが正常に動作するかどうかをチェックするのも、フィッシングサイトを見分けるうえで有効な方法です。
たとえば以下の条件に当てはまる場合、フィッシングサイトである可能性が高いです。
- 法人が運営しているサイトであるのに振込先が個人名義
- 問い合わせ先がフリーメール
- サイトの表示がおかしい(サイト内の他ページに移動できない、運営会社が異なる、など)
「フィッシングサイトかもしれない」と思われるサイトにアクセスしてしまった場合は、上記の点をチェックしてみましょう。
もし条件に当てはまった場合は、個人情報は入力せずにサイトから離脱することをおすすめします。
【ステップ6】あやしいと思ったら被害情報を検索する
ステップ1~5までを確認し、それでもあやしいと感じたら被害情報が出ていないか検索するのもよい方法です。
フィッシング対策協議会では、確認されているフィッシングの情報を「緊急情報」として公開しています。
ほかにも、各サービス・機関の公式サイトで被害情報を公表していることがありますので、同じような被害が発生していないかチェックしてみましょう。
フィッシングサイトに騙されず自分の情報を守る5つの方法
フィッシングサイトに騙されず自分の情報を守る方法は、次のとおりです。
- 怪しいメールを開かない
- 公式サイトと見分ける
- 記載されているリンクを安易にクリックしない
- ブックマークや検索を活用する
- フィッシング対策ソフトを導入する
一部これまでと重複する内容もありますが、すぐに対策しやすい方法を多く紹介しますので参考にしてください。
【方法1】怪しいメールを開かない
不審なメールを受け取った場合は、そもそもリンクを開かないことが一番の対策になります。
具体的には、
- これまで受信していたものと差出人が異なる
- 送信元がランダムな文字列になっている
といった場合は、フィッシングメールの可能性があることを意識しましょう。
SNS・SMSで不審なメッセージが届いた場合も同様に、そもそもメッセージを開かないことや記載されているリンク先にアクセスしないことが大切です。
【方法2】公式サイトと見分ける
サイトアドレスを確認し、公式サイトと見分ける方法です。
フィッシングサイトは公式サイトの画面をコピーして作られていることが多く、画面上でどちらが本物か見分けることは容易ではありません。
そのため、以下の方法でチェックを行いましょう。
- SSLで通信が行われているか確認する
- サイトのURLを確認する
- サイトに記載されている情報を確認する
どれか1つだけ実施するよりも、すべての方法でチェックするのがおすすめです。
【方法3】記載されているリンクを安易にクリックしない
メッセージに記載されているリンクをクリックすると、フィッシングサイトにアクセスしてしまう恐れがあります。
フィッシングメールでは、悪用者が利用者に対して危機感を煽ったりお得なキャンペーンに誘ったりと、言葉巧みに偽サイトへ誘導するケースも多いです。
メール本文の内容も本物そっくりに寄せてきますが、記載されたリンクへは安易にクリックしないようにしましょう。
また、記載されているリンクが怪しそうになくても、安易に開かないようにしてください。
表示されているURLと実際にアクセスするURLが異なる場合もあるので、注意しましょう。
【方法4】ブックマークや検索を活用する
メッセージに記載されたリンクではなく、ブックマークや検索エンジンから正しいサイトにアクセスするのもおすすめです。
メッセージに記載されたリンクを開かないことで、フィッシングサイトに誘導されるリスクを減らせます。
【方法5】フィッシング対策ソフトを導入する
ウイルス対策ソフトにはフィッシング対策機能を搭載したものがあります。
フィッシング対策機能を活用すると、怪しいサイトへのアクセスをブロックしたりフィッシングメールを受信しないようにできたりします。
フィッシングサイトの被害に遭った場合の4つの対処法
万が一フィッシングサイトの被害に遭った場合はどうすれば良いのか、対処法を紹介します。
- 状況を確認する
- パスワードを変更する
- カードの利用停止を行うか判断する
- 公的機関に報告する
具体的にどう対処すべきか、1つずつ解説します。
【対処法1】状況を確認する
まずは、現状を確認することが大切です。
確認する内容の例としては以下が挙げられます。
- フィッシングサイトにアクセスしただけなのか、個人情報を入力してしまったのか
- いつ、どのような情報をフィッシングサイトに入力してしまったのか
- 以前のログインIDやパスワードでアカウントにアクセスはできるのか
フィッシングサイトにアクセスしただけであれば、個人情報が流出していない可能性もあります。
【対処法2】パスワードを変更する
フィッシングサイトでWebサービスのIDやパスワードを入力してしまった場合は、まだアカウントにログインできるかどうか確認しましょう。
アカウントを乗っ取られる恐れがあるため、まだログインできる場合はすぐにパスワードを変更しましょう。
流出したパスワードをもとに他のサイトへのログインを試みる「パスワードリスト攻撃」を受ける可能性もあるので、同じパスワードを利用しているサイトが他にもある場合はすぐ変更することをおすすめします。
【対処法3】カードの利用停止を行うか判断する
クレジットカード情報をフィッシングサイトで入力してしまった場合は、不正利用の被害に遭う恐れがあるため、カードの利用停止と再発行手続きをすぐ行いましょう。
もしクレジットカードの不正利用が発生した場合は、カード会社にもよりますが補償を受けられる可能性があります。
ただし、補償を受けられる条件や期間はカード会社によって異なるため、早い段階でカード会社のサポートセンターへ相談するのがおすすめです。
なお、下記記事ではクレジットカードが不正利用されているかの確認方法を紹介していますので、ご興味のある方はご一読ください。
【対処法4】公的機関に報告する
「フィッシング100番」や「サイバー犯罪窓口」などの公的機関では、フィッシングサイトについての情報提供を呼びかけています。
他にも、「フィッシング対策協議会」や最寄りの警察などへも報告・相談することが可能です。
実はフィッシングサイトは企業にも大きなダメージを与える
フィッシングサイトは、利用者だけでなく企業にも大きなダメージを与えます。
フィッシングサイトを作られることで企業が受ける被害例は、次のとおりです。
【フィッシングサイトを作られることで企業が受ける被害例】
- 利用者の信用を失う
- 被害者からのクレームや問い合わせが増える
企業側に悪意がなかったとしても、正規サイトに対するネガティブな意見がSMSなどに続出すると、利用者の信用を失うことにつながりかねません。
また、フィッシングサイトの被害者が、公式サイトの運営企業にクレーム・問い合わせをすることがあります。
その場合、被害者からのクレーム・問い合わせ対応に追われ、コア業務に費やす時間が少なくなってしまいます。
このような被害を防ぐための対策として、DMARC(ディーマーク)などの「送信ドメイン認証技術」を導入するのもひとつの方法です。
DMARCでは、認証失敗となったメールを受信者にどう処理してほしいのか、送信側が宣言できる点が特徴です。
【DMARCで認証失敗となったメールの挙動を定める例】
- 何も指定しない(受信者の設定に委ねる)
- 迷惑フォルダに振り分ける
- 受信を拒否する
たとえば、受信拒否を選択することで、利用者がフィッシングメールを開いてフィッシングサイトにアクセスしてしまう可能性を減らせます。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
下記記事では、DMARCの仕組みやメリット・デメリット、設定方法などを解説していますのでご参照ください。
【企業向け】フィッシングサイトを検知する3つの方法
前述したとおり、フィッシングサイトは企業にも大きなダメージを与えるため、検知する方法を知っておくことが大切です。
企業側がフィッシングサイトを検知する方法として、次の3つが挙げられます。
【フィッシングサイトを検知する3つの方法】
- ドメイン登録を監視する
- 偽ドメイン探索サービスを導入する
- フィッシング対策サービスを導入する
悪用者は企業ドメインと類似したドメイン登録をするケースがありますが、ドメイン登録を監視することで偽装ドメインによる悪用を事前に発見できます。
自社でドメイン監視する手間を省きたい方は、「偽ドメイン探索サービス」を導入してプロに調査を委託するのがおすすめです。
また、フィッシングサイトは次々と新しいものが出てくるため、常に最新のキュリティ対策をしておくことが大切です。
フィッシング対策サービスを導入すると、最新のフィッシングサイトに対応しやすくなるだけでなく確実性も増します。
フィッシングサイトを検知する方法については、専門家に無料で相談することができます。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
まとめ:フィッシング対策は早期におこなうほど効果が高い
フィッシングサイトで個人情報を入力してしまった場合、情報流出や金銭被害に発展する恐れがあります。
本記事で紹介した内容を参考にして、各自でできる対策から始めてみてください。
なお、フィッシングされたアカウントへの不正ログインを防ぎたい企業担当者の方は、不正検知システムの導入もおすすめです。
たとえばかっこ株式会社の提供する不正ログイン検知システム「O-MOTION」では、Webサイトにアクセスしたユーザーの操作情報やデバイス情報などをリアルタイム分析し、他人のなりすましを識別できます。
導入企業側でシステム開発しなくとも、不正アクセスが発生したことをリアルタイムで把握する体制を構築できます。
O-MOTIONのサービス内容や解決できる課題について詳しく知りたい方は、以下から詳細をご確認ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
