フィッシング詐欺被害とは？
メールによる手口とその対策方法

フィッシング詐欺は、金融機関やショッピングサイトなどの有名企業を装った偽のWebサイトや電子メールを用いて、個人情報や資金を不正に取得する犯罪です。 特にフィッシングメールは、悪意のある攻撃者が信頼できる組織や企業になりすましてメールを送信し、ユーザーを偽のWebサイトに誘導します。 このサイバー犯罪は、個人情報や金融情報などの機密情報を盗み取ることを目的としています。通常、アカウントへの不正アクセスや支払い情報の更新を装って、緊急性を強調するメッセージでユーザーに迅速な対応を促し、冷静な判断を鈍らせます。

その結果、ユーザーは偽のWebサイトにアクセスし、自分の個人情報やクレジットカード情報を悪意のある者に渡してしまう恐れがあります。企業にもフィッシングメールが送付されるケースが増えており、記載されたリンクをクリックすることでウイルスに感染した事例もあります。 フィッシングメールによって取得された情報は、不正アクセスや詐欺など、さまざまな犯罪行為に悪用される可能性がありますので、怪しいメールには十分に注意しましょう。

最新のフィッシング報告件数は下記の通りです。

フィッシング詐欺はいつからある？

フィッシング詐欺はインターネットの普及とともに進化してきたサイバー犯罪です。 初期の手口は単純でしたが、近年では巧妙化と複雑化が進み、より危険な存在となっています。 現代のフィッシング詐欺は、個人に合わせた内容を用いることで、より巧妙に被害者を騙すようになっています。さらに、業務でのネットワーク活用機会の増加やスマートフォンの普及により、メールやSMSを利用したフィッシング詐欺の被害拡大が懸念されています。

フィッシング詐欺は、巧妙な手口で個人情報や口座情報、各種ログイン情報などを盗み出す悪質な犯罪行為です。インターネットの利用増加に伴い、フィッシング詐欺の被害も増加傾向にあります。さまざまな手口がありますが、代表的な手法とその特徴を理解することで、被害に遭うリスクを軽減できます。ここでは、代表的な4つの手口をご紹介します。

１.メール経由のフィッシング詐欺

近年、メールを介したフィッシング詐欺が深刻化しています。この手口では、金融機関やサービス提供者を装い、ユーザーに個人情報の入力や特定の行動を促すメールが送信されます。詐欺メールは、緊急性や重要性を強調した文面でユーザーの警戒心を解き、リンク先の偽サイトに誘導し、IDやパスワード、クレジットカード情報を盗むことを目的としています。これらのメールにはいくつかの共通点があります。

• 送信元のメールアドレスが正規のアドレスとわずかに異なる場合がある
• メール本文に誤字や脱字、不自然な表現が含まれている場合がある
• 個人情報入力の期限が設定されており、急かすような文面になっている

これらの特徴があればすぐに反応せず、落ち着いて本物のメールかどうかを判断するようにしましょう。特に、企業に対してフィッシングメールが送信される事例が増えており、日頃からメール対応をしている方でも被害に遭う可能性があります。企業のIDやパスワードが盗まれると、顧客情報の流出など大変な被害につながる可能性があるため、細心の注意が必要です。

2. SMS経由のフィッシング詐欺

ショートメッセージサービス（SMS）を利用したフィッシング詐欺は、巧妙な手口で被害者を騙すため、十分な注意が必要です。SMS経由で届くメッセージ内のリンクをクリックさせ、偽のWebサイトに誘導するのが一般的な手口です。このタイプのフィッシング詐欺の特徴として、受信者の名前が含まれるなど、メッセージの文面が個別化されている場合があります。さらに、リンク先を分かりにくくするために、URLの短縮サービスが利用されることも多いです。また、アカウントの停止や不正利用の可能性を示唆するような脅迫的な内容が含まれている場合もあります。

3. 偽サイトを利用したフィッシング詐欺

偽サイトは本物のサイトと非常に似ているため、ユーザーは本物と見分けがつきにくく、個人情報を入力してしまう恐れがあります。偽サイトのURLは本物のサイトと似ていますが、よく見ると細部が異なり、その違いを見抜くことが重要です。
例えば、ドメイン名の一部が異なっていたり、綴りが間違っているケースがあります。さらに、偽サイトではセキュリティ対策が十分でないことが多く、SSL/TLSによる暗号化通信が実施されていない場合があります。そのため、ブラウザのアドレスバーに鍵マークが表示されていない場合、偽サイトの疑いがあります。鍵マークが表示されていない場合は、サイトへのアクセスを中止し、本物のサイトかどうかを確認するようにしてください。

4. SNSを利用したフィッシング詐欺

ソーシャルメディアでは、友人や知人を装ったアカウントから偽のWebサイトへ誘導するようなメッセージが届く場合があります。これらのメッセージは、ユーザーの関心を引く話題や緊急性のある内容を含んでいることが多いため、注意が必要です。ソーシャルメディアを利用する際には、常に最新のセキュリティ情報に注意を払い、安全に利用するよう心がけましょう。

フィッシング詐欺の被害は、金融被害、個人情報漏洩、身元詐称、ウイルス感染など、多岐にわたります。ここでは、実際にどのようなフィッシング詐欺があるのか実例をご紹介します。

国税庁、東京都水道局、マイナポータルなどをかたるフィッシング

2023 年 12 月以降、e-Tax に関するフィッシングサイト、水道料金の未納や滞納を通知するフィッシングメールやSMS、給付金の支給を知らせるフィッシングメールやサイトが報告されています。いずれもメールやSMSからフィッシングサイトに誘導され、ログイン情報やクレジットカード番号などの入力が求められます。 これらのフィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難です。

国税庁「e-Tax」ログイン画面（フィッシング対策協議会より引用）※政府標準利用規約（第1.0版）に基づき掲載

フィッシング詐欺の被害に遭った場合、迅速な対応が被害拡大防止に不可欠です。
まずは、攻撃元の連絡先を特定し、可能な限りその連絡先を利用停止するなどの対策を講じることが重要となります。連絡先が不明な場合は、速やかにクレジットカード会社や金融機関に連絡し、被害状況を報告しましょう。フィッシング詐欺は犯罪行為です。被害状況を警察に届け出ることで、被害を受けた事実が公的に記録されます。これは“証拠”として、今後の捜査が円滑に進む手がかりとなるほか、同様の被害を防ぐための対策や情報共有にも役立ちます。詳細な情報を提供するよう心がけましょう。

銀行やクレジットカード会社への緊急連絡

オンラインバンキングのアカウント情報が盗難された可能性がある場合は、迅速に対応が必要です。被害を最小限に抑えるため、ただちに金融機関に連絡し、状況を説明しましょう。必要に応じて、アカウントの利用停止を依頼することで、不正アクセスや資金の不正利用を防ぐことができます。クレジットカード情報が盗難された可能性がある場合も、同様の手順でクレジットカード会社に連絡し、カードの利用を停止してもらいましょう。

パスワードの即時変更とセキュリティ対策

フィッシングサイトにIDやパスワード情報を入力してしまった場合は、速やかに該当するアカウントのパスワードを変更する必要があります。また、複数のサービスで同じパスワードを使用している場合、他のサービスでも被害を受けるリスクが高くなりますので、すべてのアカウントに対してパスワードの変更をおすすめします。パスワードを変更する際は、英数字に加えて記号を含む複雑なものを設定し、推測されにくい強固なパスワードにすることがセキュリティ強化につながります。アカウント情報が盗まれるリスクを最小限に抑えるためにも、各アカウントに異なる強力なパスワードを設定することが重要です。
特に業務で使用するログインIDやパスワードは使い回しを避け、個別に設定するよう心がけましょう。

警察や消費者ホットラインへの相談

フィッシング詐欺の被害に遭った際は、被害を最小限に抑えるため、警察への通報を検討しましょう。各都道府県警察では、サイバー犯罪相談窓口を設置し、フィッシング詐欺を含むインターネット詐欺被害に関する相談を受け付けており、この窓口では、被害状況や対応方法について専門的なアドバイスを受けることができます。
また、全国各地に設置されている消費生活センターは、フィッシング詐欺の被害に関する相談窓口としても利用できます。消費生活センターでは、詐欺被害に関する情報提供や、法的アドバイスを受けることができますので、被害に遭った際には、警察や消費生活センターといった適切な機関に相談し、冷静かつ適切な対応をとることが大切です。

フィッシング詐欺に遭わないためには、個人でできる対策と企業でできる対策の2種類があります。特に企業で行うフィッシング詐欺の対策は、ウイルスに感染しない為のアンチウイルス機能や、サイトやサーバに侵入されないようにするなど包括的なセキュリティ対策が必要になります。

個人で実践できるセキュリティ対策

フィッシング詐欺を防ぐためには、自分自身にフィッシングメールが送られてくる可能性があることを意識する必要があります。
下記の項目を常に意識することで、フィッシング詐欺の被害に遭う可能性を大きく減らすことができます。

メールの送信元の確認

身に覚えのないメールや、送信元が不明なメールはすぐに開けないようにしましょう。そのメールが信頼できるものかどうか十分に判断してから内容を確認してください。

メール記載のURLが正しいか確認

記載のURLが正規のものなのかどうか十分に確認しましょう。正しいかどうか判断が難しい場合は、送信元の会社名などを検索して、直接確認することをおすすめします。その場合、公式サイトなどでフィッシングメールの報告が掲載されていることがあるのであわせて確認するようにしましょう。

メールフィルタリング機能の活用

携帯電話会社やメールサービスプロバイダーには、迷惑メールを自動的に検知して別のフォルダーに振り分ける機能があります。この機能を活用することで、フィッシングメールの受信を防ぐことができるため、安心です。

公式サイトをブックマークしておく

銀行や通販サイトなど、個人情報が必要でよく利用するサイトはブックマークしておきましょう。もしフィッシングメールが届いても、保存しておいたブックマークから安全なサイトに確実にアクセスできます。

企業が実施すべきセキュリティ対策

個人での対策も重要ですが、従業員のメールアドレスにフィッシングメールが届くこともあります。そのようなリスクを防ぐために、企業はセキュリティ対策を強化し、社員が安心して働ける環境を整えることが大切です。

具体的には、下記のような対策が必要です。

送信ドメイン認証の利用

メールが正規の送信元から送信されているかを確認する技術で、送信元IPアドレスの妥当性を認証したり、電子署名を検証することでその正当性を確認できます。これにより、なりすましメールを防ぐことが可能です。

従業員へのセキュリティ教育

従業員に対してセキュリティ教育を実施することで、受信したフィッシングメールに引っかかってしまうリスクを減らすことができます。

不正検知システムの導入

不正検知システムは、不正行為を検知してブロックする機能を持っています。自動で検知してブロックしてくれるため、万が一フィッシングサイトのリンクをクリックしてしまっても、システムがブロックし、社員は安心して業務に集中できます。

フィッシング詐欺は、巧妙な手口で個人情報を盗み、金銭的な被害や信用の損失を招く危険性があります。この記事では、フィッシング詐欺の手口や特徴、被害状況、そして対策方法について解説しました。これらの知識を活かして、自分自身を守るための対策を講じ、安全なインターネット利用を心がけましょう。業務でインターネットを利用することが増えた今日では、企業がフィッシングの対象になることもあるため、疑わしいメールやSMSには注意し、安易に個人情報を入力しないようにしましょう。

SAXA-DX Navi では、情報セキュリティ対策についてまとめた資料をはじめ、さまざまなお役立ち資料をご提供していますので、ぜひご活用ください。

また、フィッシング詐欺対策なら「サクサのUTM」がおすすめです。
サクサのUTMはフィッシング詐欺対策はもちろん、外部からの不正アクセスやウイルスの侵入、ネットワーク攻撃、Webフィルタリングなどさまざまなリスクを軽減することができる総合的なセキュリティシステムです。
サクサのUTMに関してはこちらをご覧ください。