フィッシング詐欺とは?代表的な手口4選や主な事例、有効な対策を紹介!
フィッシング詐欺とは何か気になるけれど、どのような手口で行われる?
フィッシング詐欺は、果たして対策が必要な詐欺なのでしょうか。
今回は、フィッシング詐欺の代表的な手口や事例を紹介します。また、フィッシング詐欺に有効な対策を個人と企業に分けてそれぞれ解説します。
これを読めば、フィッシング詐欺の手口や事例を知ることができ、有効な対策を実施できるようになります。
先に結論を言うと、フィッシング詐欺は大手企業になりすましたメールのURLから偽サイトに誘導されるケースが多いため、安易にメールを開かないことがポイントですよ。
フィッシング詐欺とは?
フィッシング詐欺とは、金融機関やクレジットカード会社などの大手企業になりすましたメールやSMSを不特定多数に送信することで、個人情報を盗み取るネット犯罪です。
メールの送信元は、一見すると信用できる大手通販サイトや公的機関を名乗っていることが特徴として挙げられます。
フィッシング詐欺のメールには、偽サイトに誘導するURLが添付されており、リンクを介してIDやパスワードを入力させる手口が一般的です。
クレジットカード番号や銀行口座の暗証番号などの情報が盗まれると、不正にお金を引き出されたり、ネットショッピングに悪用されたりする恐れがあるため、日頃から被害に遭わないための対策を講じる必要があります。
フィッシング詐欺の代表的な手口4選
フィッシング詐欺の代表的とも言える手口は「フィッシングメール」「スピアフィッシング」「スミッシング」「ソーシャルメディアフィッシング」の4つです。それぞれの手口や特徴を知り、理解することで有効な対策を講じることが可能になります。
では、フィッシング詐欺の代表的な手口について具体的に見ていきましょう。
フィッシングメール
フィッシングメールは、電子メールを利用した、フィッシング詐欺の中でも多く用いられている手口です。
大手企業や公的機関を装ったメールを送信して、記載されているURLをクリックさせ、正規サイトに酷似したフィッシングサイトに遷移することで、個人情報を入力させます。
例えば、大手通販サイトを装い「電話番号を確認してください」と称した内容のフィッシングメールを送信し、偽サイトのURLをクリックさせ、入力フォームに個人情報を入力・送信させて不正に盗み取るといった手口です。
利用していないまたは心当たりのないメールは信用せず、URLをクリックしないことが対策と言えるでしょう。
スピアフィッシング
スピアフィッシングは、特定のユーザーや組織を狙ったフィッシング詐欺です。
フィッシング詐欺が不特定多数のユーザーを対象にしているのに対し、スピアフィッシングは攻撃対象が明確に絞り込まれている点が特徴と言えます。
スピアフィッシングの目的は、特定のユーザーや組織を情報漏洩や業務停止に追い込むことで、信頼を低下させたり、金銭的なダメージを与えたりすることです。
手段として標的型攻撃メールが用いられることもありますが、基本的に取引先企業や関連企業を名乗るメールが届いた際は、本当に正規の企業であるかどうか電話で確認すると安心でしょう。
スミッシング
スミッシングは、SMSによるフィッシング詐欺です。
ターゲットのスマホを対象として大手企業や公的機関を装ったSMSを送信し、偽サイトに誘導して個人情報を盗み取ります。
フィッシングメールと変わりありませんが、Eメールアドレスに送られるフィッシング詐欺メールを「フィッシングメール」、SMS(電話番号)に送られるフィッシング詐欺メールを「スミッシング」と呼びます。
スミッシングにおいても、利用していないまたは心当たりのないメールは信用せず、URLをクリックしないように気を付けましょう。
ソーシャルメディアフィッシング
ソーシャルメディアフィッシングは、SNSを利用したフィッシング詐欺です。
XなどのSNSに似せた偽サイトを使用し、IDやパスワードなどのログイン情報を盗み取るといった特徴があります。
例えば、Instagramのログイン画面に似せた偽サイトに誘導し、ログイン情報を盗み取って攻撃者にアカウントが乗っ取られたことで、利用規約に反する画像を何度も投稿され、アカウントが凍結してしまったケースがあります。
ログイン情報が盗み取られるとアカウントが乗っ取られログインできなくなったり、ユーザー本人が意図しない情報が発信されたりする恐れがあるため、SNSを利用する上では十分な注意が必要でしょう。
フィッシング詐欺の主な事例
フィッシング詐欺の手口は日々進化しておりその手口は多岐にわたります。フィッシング詐欺の被害を未然に防ぐためにも、フィッシング詐欺の手口や特徴を知って有効な対策に役立てることが大切です。
では、フィッシング詐欺の主な事例について、具体的に見ていきましょう。
大手企業になりすましたメールやSMSで偽サイトに誘導する
フィッシング詐欺の事例として、実在する大手企業になりすましたメールやSMSを送信して偽サイトへ誘導し、個人情報を入力させる手口があります。
具体的な内容は以下の通りです。
・不正利用が確認されたため、本人確認のログインをしてください
・パスワードが流出した可能性があるので、ただちに再設定をしてください
・ネットショッピングで購入した商品の決済手続きが完了していないので手続きが必要です
・不正が疑われる取引があり、アカウントがロックされたので解除手続きが必要です
偽サイトは、企業ロゴや社名、会社情報などが記載されており、本物の企業と酷似しているため、騙されないように注意が必要です。
ウイルス感染を装って偽サイトに誘導する
フィッシング詐欺の事例には、使用しているPCやスマホにウイルス感染を装って偽サイトに誘導する手口があります。
「ウイルスに感染しました」や「セキュリティソフトをダウンロードする必要があります」などと警告メッセージを表示させたり、アラート音を鳴らしたりして指定された電話番号に連絡するよう促すといった内容です。
電話をかけると遠隔操作で指定のソフトをインストールさせられ、料金を支払うよう促されたり、ウイルス除去費用としてクレジットカード情報の入力を求められたりします。
突然の警告やアラート音に焦ってしまい個人情報を入力してしまうケースが多いため、落ち着いて冷静に対処しましょう。
抽選当選や通販サイトを装って偽サイトに誘導する
フィッシング詐欺の主な事例として、賞品の抽選当選や大手通販サイトを装って偽サイトに誘導する手口があります。
抽選当選を装ったメールは、「おめでとうございます!〇〇に当選しました!」と送信し、賞品を受け取らせるために偽サイトに誘導し、個人情報を入力させる手口です。
また、通販サイトを装ったメールでは、人気商品を極端に安価で紹介し、クレジットカード番号をはじめとする個人情報を入力させて、商品は送らないまたは偽の商品を送るといった手口もあるため十分な注意が必要です。
個人におけるフィッシング詐欺に有効な対策
個人におけるフィッシング詐欺に有効な対策は、主に以下の4つです。
・電子メールやSMSのURLはクリックしない
・多要素認証を導入する
・正しいドメイン名、SSL化されているか確認する
・極端に安価な商品価格は疑う
近年、サイバー攻撃は企業だけではなく、個人を標的にしたものも増え続けているため、個人でできる対策を実施する必要があります。では、それぞれの対策について詳しく解説します。
電子メールやSMSのURLはクリックしない
個人における有効な対策1つ目は、電子メールやSMSに記載されているURLをクリックしないことです。
なぜなら、電子メールに記載されたURLは偽装が可能な上、正規サイトに類似したドメイン名を付したフィッシングサイトも多数存在するからです。
見た目でURLの真偽を判断することは困難であるため、あらかじめ公式サイトを「お気に入り登録」や「ブックマーク」をしたり、公式アプリを活用するなどして正しいサイトに接続することを推奨します。
何よりも、身に覚えのないメールや利用していないサイトからのメールは安易にクリックしないようにしましょう。
多要素認証を導入する
個人における有効な対策2つ目は、多要素認証を導入することです。
なぜなら、万が一IDやパスワードが流出しても、アカウントの乗っ取りや不正アクセスなどのリスクを最小限に抑えることが可能だからです。
多要素認証では、IDやパスワードなどの「知識情報」、スマホやセキュリティトークンなどの「所持情報」、指紋認証や顔認証などの「生体認証」を2つ以上組み合わせるため、セキュリティレベルを高めることが期待できます。
高度化・巧妙化しているサイバー攻撃に対応するため、多要素認証を導入し、より高度なセキュリティを構築しましょう。
正しいドメイン名、SSL化されているか確認する
個人における有効な対策3つ目は、正しいドメイン名であるかどうか、SSL化されているかどうかを確認することです。
なぜなら、フィッシング詐欺で用いられるドメインには、末尾の文字列や数字に違和感があるなどの特徴があるからです。
例えば、フィッシング詐欺で用いられるドメインには、以下のような特徴があります。
・実在する企業に類似したドメイン名を使用しているが、oが0になっている
・ドメイン名の拡張子を「.com」「.net」ではなく、「.biz」「.info」変えている
・ドメイン名の末尾が「amazon.xyz.com」「rakuten.com.123.com」など、ランダムな文字列や数字になっている
また、重要データの入力画面は、基本的にSSL通信が行われています。そのため、ブラウザのアドレスバーに鍵マークがついているか、文字が緑色になっているかなどを確認するようにしましょう。
極端に安価な商品価格は疑う
個人における有効な対策4つ目は、極端に安価な価格設定は疑ってかかることです。
なぜなら、極端に安価な価格で販売しているサイトは、フィッシング詐欺のためにクレジットカード情報を盗む目的で作られているものもあるからです。
通販サイトを装った偽サイトでは、注目商品や希少な商品を極端に安価な価格で販売していることがあるため、注意しなければなりません。
見た目はごく普通の通販サイトだったとしても、相場よりも異常に安価な価格設定であった場合はフィッシング詐欺の可能性が高いため、他の通販サイトで同じ商品を調べるなどして疑うようにしましょう。
企業におけるフィッシング詐欺に有効な対策
企業におけるフィッシング詐欺に有効な対策は、主に以下の4つです。
・セキュリティポリシーを策定する
・従業員へのセキュリティ教育を実施する
・フィッシング詐欺に効果的なソフトやサービスを導入する
・社内で利用しているソフトやサービスの設定を見直す
フィッシング詐欺は、企業においても対策すべきセキュリティの課題があります。では、それぞれの対策について詳しく解説します。
セキュリティポリシーを策定する
企業における有効な対策1つ目は、セキュリティポリシーを策定することです。
なぜなら、セキュリティポリシーを定めることで、セキュリティポリシーに反する行為を発見した責任者は、速やかな初動対応が可能になるからです。
例えば、社内のIT機器の取り扱いルールを決めたり、重要なデータは管理者のみアクセス可能にしたりすることが挙げられます。
被害を未然に防ぎやすくなることはもちろん、万が一被害に遭った場合にも、被害を最小限に抑えることが可能になるため、セキュリティポリシーを策定しましょう。
従業員へのセキュリティ教育を実施する
企業における有効な対策2つ目は、従業員へのセキュリティ教育を実施することです。
なぜなら、セキュリティポリシーなどのルールを定めたとしても、従業員のセキュリティ意識には個人差があるため、遵守できない可能性があるからです。
フィッシング詐欺の対策としては、従業員のセキュリティ意識の向上を計るため、フィッシング詐欺への理解を深めることが重要です。
そのため、セキュリティポリシーの項目に沿ったセキュリティ研修や教育を通じて、周知・習得を促しましょう。
フィッシング詐欺に効果的なソフトやサービスを導入する
企業における有効な対策3つ目は、フィッシング詐欺に効果的なソフトやサービスを導入することです。
なぜなら、フィッシング詐欺に対応したツールを導入することで、フィッシングサイトやフィッシングメールをブロックできるからです。
例えば、不正サイトや不審メールをブロックするフィルタリングサービスやマルウェアの侵入をブロックするウイルスバスターは、フィッシング詐欺を対策する上では欠かせません。
フィッシング詐欺対策に優れた効果的なツールを導入して、セキュリティレベルを高めましょう。
社内で利用しているソフトやサービスの設定を見直す
企業における有効な対策4つ目は、社内で利用しているソフトやサービスの設定を見直すことです。
なぜなら、社内で利用しているIT機器やアプリの設定を見直しセキュリティの穴を塞ぐことで、セキュリティリスクを低減できるからです。
例えば、重要なファイルへのアクセス権限設定を見直したり、OSやソフトウェアの最新パッチが適用されているかを確認してアップデートしたりすることが大切です。
IT機器やソフトウェアなどは、サイバー攻撃の脅威に対応できるよう最新パッチが更新され続けるため、定期的に確認して常に最新の状態に保つことを意識しましょう。
フィッシング詐欺の被害に遭った際の対処法
フィッシング詐欺の被害に遭った際の対処法は、以下の通りです。
・サービス提供会社に連絡する
・IDやパスワードを変更する
・警察に通報する
フィッシング詐欺の被害に遭った際は、二次被害に発展させないために、冷静かつ速やかな対処が求められます。では、それぞれの対処法について詳しく解説します。
サービス提供会社に連絡する
フィッシング詐欺の被害に遭った際の対処法1つ目は、クレジットカード会社や金融機関などのサービス提供会社に連絡することです。
なぜなら、サービス提供会社に利用停止手続きを申請することで、本当に不正利用なのかを調査してもらえるからです。
クレジットカードの不正利用の被害に遭った場合にはクレジットカード会社が、不正送金の被害に遭った場合には金融機関がそれぞれ補償制度を設けていたり、トラブルに関する窓口を設けていたりします。
そのため、不正利用が発覚した場合には、不正利用の補償制度を申請しましょう。
IDやパスワードを変更する
フィッシング詐欺の被害に遭った際の対処法2つ目は、普段から利用しているサイトのIDやパスワードを変更することです。
なぜなら、IDやパスワードを変更することで、被害の拡大を防ぐことができるからです。
フィッシングサイトに普段から利用しているIDやパスワードを入力してしまった場合は、そのIDやパスワードを利用している全てのサービスにおいて、速やかに変更しなければなりません。
また、クレジットカードや金融機関の情報を入力してしまった場合にも、それぞれのサービス提供会社に連絡して、IDやパスワードの変更手続きを行いましょう。
警察に通報する
フィッシング詐欺の被害に遭った際の対処法3つ目は、管轄の警察やサイバー犯罪課に通報することです。
なぜなら、警察に通報し被害届を提出すれば、クレジットカードや金融機関の不正利用が認められた際、それぞれの提供会社から補償を受けることができるからです。
きちんと補償を受けるためにも、警察に被害届を提出することは忘れないように注意しなければなりません。
そのため、フィッシング詐欺の被害に遭った場合には、最寄りの警察署またはサイバー事案に関するオンライン受付窓口に通報・相談をしましょう。
まとめ
今回は、フィッシング詐欺の代表的な手口や事例、個人と企業における対策をそれぞれ解説しました。
フィッシング詐欺は、悪意のある攻撃者が個人情報や金銭を不正に取得しようとする極めて悪質な詐欺です。対抗するためには、メールやSMS内のリンクを安易にクリックしないことや多要素認証を導入するなどして対策しなければなりません。
近年、多発しているフィッシング詐欺から個人情報の流出を防ぐため、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。
NEW
-
フィッシング詐欺の事例一覧!見分ける10個のポイントを紹介。
2025/03/07 -
フィッシング詐欺の実例8選!代表的な手口とそれぞれの対策を紹介。
2025/02/22 -
フィッシング詐欺にあったらどうする?すぐに取るべき対処法6選を解説!
2025/02/10
