フィッシング詐欺サイトにアクセスする前の対処法について徹底解説!!
スマホが普及し始めて十数年経ちますが、近年ではウィルスやフィッシング詐欺による被害が拡大し、手口も巧妙化してきてたことで、完全に防止することが困難になってきています。
また、スマホが普及する以前は、検索したり個人情報を利用するのはパソコンが多かった為、パソコンではウィルスやフィッシング詐欺対策ソフトを入れているものの、スマホでは対策をしていない人がまだまだたくさんいるのが現状です。
しかしながら、現在ではスマホ利用者が増え、便利になっていくのと同時に、大切な個人情報もスマホにたくさん入っています。
携帯ショップで働いていると、
宅配業者から来たメールにあったURLにアクセスしてしまったんだけど
なんかよくわかんないメールが来たからとりあえず開いてみたんだけど
「どうしたらいいか?」とお問い合わせいただくことが度々あります。
残念ながら
漏洩した後では被害がなかったことにはできません!!
アクセスしてしまった後では、正確な影響は誰も説明できず、対応の一例をお伝えすることしかできないのが現状です。完全になかったことにすることはできません。
ですから漏洩してしまう前に、フィッシング詐欺について理解し、適切に対策をしましょう!!
フィッシング詐欺とは
偽のメールやSMSを送り付け、そこから偽のホームぺージにアクセスさせることで、ユーザーの重要な個人情報を盗み出す詐欺行為のことをいいます。
狙われる個人情報例
- クレジットカード情報
- メールアドレス
- ユーザーID
- パスワード(暗証番号)
- 住所・氏名・電話番号
- SMS認証コード
フィッシング詐欺の種類
フィッシング詐欺には大きく分けて2つの種類があります。
どのような目的で、どのような情報を標的にするのか、傾向を知ることで詐欺に引っかからないようにしましょう!
人を騙す手口
メールフィッシング
メールによるフィッシング攻撃のことを指します。
詐欺手口
- 入手可能なすべてのメールアドレスにメールを送信
- 記載のリンクをクリックして対応する必要性を通知
よくある手口
- 「アカウントが不正アクセスされたので記載されているリンクをクリックして対応する必要がある」と通知
- 「あなたのメールアカウントやコンピュータに自由にアクセスできる状態である」と通知
- 「コンピュータのカメラがオンになっており、標的がアダルトビデオを見ている姿を録画した」と主張
スピアフィッシング(ホエーリング)
「特定の個人」を標的とするフィッシング攻撃のことを指します。
槍(スピア)をもって大物を狙うことか名前の由来です。
詐欺手口
- 「社内の業務連絡」「取引のある銀行からの連絡」を装ってメール
※あり得そうなメールのやり取りにより成功率を上げる - メールを開封させ、記載のURLをクリックさせる
スミッシング
SMSとフィッシング(Phishing)の造語で、SMS(テキストメッセージ)を悪用したフィッシング攻撃のことを指します。
詐欺手口
- テキストメッセージを無差別に送信。
- メッセージに記載されたURLにアクセスさせる
- 不正なアプリや入力フォームを通じて個人情報を搾取
よくある手口
宅配業者を装い「お客様のお荷物をお届けに伺いましたが、不在の為持ち帰りました。詳細はURLをご確認下さい」というテキストメッセージを無差別に送信します。また、不正プログラムをインストールさせ、そのプログラムがスマホの裏で動いており、気づかないところで、自分のスマホからSMSが送られている場合があります。
「最近知らない人から電話が来る」なんてことがあった場合は要注意です!!
ヴィッシング
ボイス(voice)とフィッシング(Phishing)の造語で、 音声通話によるフィッシング攻撃のことを指します。
標的
- 個人情報
- 気密性の高い企業情報
詐欺手口
- ブラウザ上で「ウイルス感染」や「システム不調」を示す表示でユーザの不安を煽る
- 画面上に表示されるサポート電話窓口に問い合わせをさせる
- 有償サポート契約を勧める
電話誘導により不正プログラムをインストールさせる
ソーシャルメディアフィッシング
TwitterやFacebook、InstagramなどのSNSへの投稿を利用して攻撃をしてくる詐欺のことを指します。
多くのユーザの目に触れる場所に、気を引くワードを並べ、リンクにアクセスさせることでユーザIDやパスワードを入手し、その情報を悪用します。
詐欺手口
- 「〇〇の特売!!リンクをクリックして参加しましょう」
- 「おめでとうございます!!〇〇に当選しました!リンクをクリックして下さい」
不正サイトへ誘導
DNSキャッシュ(ファーミング)
ユーザのコンピュータ上のDNSキャッシュを書き換える攻撃のことを指します。
DNSキャッシュとは
IPアドレスやドメイン名の問合せ結果情報を一定期間保存してある情報のことを言います。一度問い合わせた内容について、再度同じ問い合わせをする際に、その保存した情報を確認することで、何度も同じ質問をサーバにしないようにし、且つ素早く答えを回答できるようにできるシステムのことです。
一次的に保存されているDNSキャッシュを書き換えられてしまうことで、ユーザーが正規のURLへアクセスしても、ハッカー(攻撃者)が用意した不正なサーバーへ誘導されてしまいます。
詐欺手口
- 不正プログラムをダウンロードさせる
- 銀行アカウントの不正侵入を知らせるメールを送ってリンクをクリックさせる
- ユーザが銀行のサイトにアクセスするのを待つ
既にユーザがアクセスしたキャッシュ情報を書き換えているので、銀行サイトに似せた偽サイトへアクセスして、IDとパスワードを入力することで、その情報を手に入れて悪用します。
また、不正プログラムをダウンロードしてしまっていても、目に見えてわかる情報がなく、ダウンロードしてしまったあとでは、気づかない場合がほとんどです。
SEOポイズニング
ハッカーにより、Google等の検索エンジンを使用した検索で、不正なWebサイトが検索結果の上位に表示されるようにすること。Google等の検索はよく検索されるものが上位に来ることが多く、「検索上位=安心」と思い、意識せずにクリックしてしまうこともあるかと思います。
標的にそのリンクをクリックさせることで、ハッカーが作成したWebサイト(詐欺サイト)に誘導されます。そのサイトに機密データ・個人情報を入力すると、ハッカーに情報が渡ることになります。
標的
- 銀行
- PayPal等の支払いサービス
- SNS
- ショッピングサイト
上記ではフィッシング詐欺の種類について説明しましたが、ここからは具体的にフィッシング詐欺に合わない為の対策について解説します。
被害にあわないための7つの対策
- IDやパスワードを使いまわさない
- 不審なSMSやメールのURLをクリックしない
- 生体認証(顔・指紋)などのパスワード不要な認証システムを活用
- 端末やアプリのアップデート(更新)を必ず実施
- 提供元不明のアプリをインストールしない
- 過信しない
- クレジットや携帯料金の明細を定期的に確認する
- スマホにもセキュリティソフトを入れる
IDやパスワードを使いまわさない
SNSやショッピングサイトにログインするためのアカウント情報(IDとパスワード)を使いまわしている場合、万が一どれか一つ漏洩すると、すべての情報にアクセス可能な状態となります。
「アカウント自体を忘れてしまう」「色々覚えるのが面倒」というお気持ちもあるかと思いますが、パスワード管理ツール等を利用するなどの対策をしつつ、IDとパスワードを使いまわさないことをオススメします。
万が一漏洩してしまった場合の対処の方が圧倒的に大変です。また、漏洩後では被害を最小限に抑えることはできても、、完全に解消することはできません。
ですから、極力IDやパスワードを使いまわさないようにしましょう!
不審なSMSやメールのURLをクリックしない
「すぐ対応しなきゃ!!」という危機感を煽るような文面でアプローチしてきます。
人の心理を悪用して、あの手この手でアプローチしてくるので、惑わされずに無視しましょう。
また、発信元がよくわからないSNSやメールはすぐに開かず削除しましょう。万が一開いてしまった場合も、URLがある場合は絶対にクリックしないようにしてください!
また、有名企業の名前を謳うサイトも多いので、不審だと感じたら、URLをクリックするのではなく、公式サイトからアクセスするようにしましょう。
生体認証(顔・指紋)などのパスワード不要な認証システムを活用
フィッシング詐欺では、情報を入手して遠隔でサイトにアクセスすることを目的としています。ですから、目の前にスマホやタブレット等の端末がないとアクセスできないものには、アクセスが難しいものです。
ですから、スマホの指紋認証や顔認証等の生体認証を活用することで、不正にアクセスすることを防ぐことができます。
提供元不明のアプリをインストールしない
インターネットを利用していると、Playストアなどの公式アプリストアを経由せずに、WEB経由で配布しているアプリがあります。
このような公式ストアを経由していないアプリについては「提供元不明のアプリ」と認識され、スマホの初期設定時にはインストールできないように設定されていることがほとんどです。
ただし「提供元不明のアプリ」を許可するように求められ「許可」してしまうと、スマホにアプリがインストールされてしまいます。
提供元不明のアプリはなぜ危険なの??
公式のアプリストアでの厳正な審査がない為、個人情報が盗まれたり、マルウェア(ウイルス等)を含むアプリが配信される可能性があります。
フィッシング詐欺だけに関わらず、ウイルス感染した根本の原因に、この「提供元不明のアプリ」をインストールしてしまったからという事例が多いです。
ただし、提供元が有名な会社でも、Playストアなどで配信していない、できないものもあり、その場合は「提供元不明のアプリ」と認識されてしまうアプリもあります。(Amazonアプリストア)
OSや機種によっては「提供元不明のアプリ」を常に「許可」することができるものもありますが、ダウンロードするときに、提供元を確認の上、その時だけ「許可」するようにしましょう。
過信しない
「自分は大丈夫!!」が一番危険です!
近年では手口も巧妙になり、アクセスしても公式のサイトとほぼ同じ表示で、いつも使っているからこそ気づかない場合も多くあります。
いつもと違うメールやSMSが来たら、まずは「疑う」ことが大切です。提供元を確認し、大手会社の名前の場合は、ほとんどの場合は必ず公式サイトがありますので、URLからではなく、WEBサイトから検索し公式サイトからアクセスしましょう。
クレジットや携帯料金明細を定期的に確認する
気づかずにIDやパスワードが流出してしまっている場合、クレジットカード決済やキャリア決済を不正利用されている可能性があります。
クレジットカードの明細で身に覚えのない請求がないか、ご契約中の通信会社のMyページにて、キャリア決済を利用されていないかを確認しましょう。
また、通信会社のMyページでは、必ずSMS送信料も確認しましょう!!
電話番号を利用するSMSは、送信時には1通ごとに料金が発生します。
例えば、宅配会社を装って不正プログラムをインストールしてしまっていた場合、気づかないうちに、SMSでランダムに複数名に、同じようにSMSを拡散している可能性があります。
この場合不正なプログラムを通して、自分の番号から多くの知らない人へ送信しているので、送信料がかかっている可能性があります。最近では番号でメールを送信することは少なくなっていると思いますので、急に料金が上がっていないか確認しましょう!
実際にあった事例
実際に友人が被害にあった際に、SMS料金がある一定期間に1,000円を超えていたことがあります。SMSは大抵は1通3円ですので、300件を超えるSMSが送られていることになります。この時は、
- 「知らない人から度々電話が来る」
- 「知らない人から良く分からないSMSが来る」
以上のことをきっかけに気づきました。
普段使用していないはずのSMS料金が3日に渡り、急激に料金が上がっていたので、その付近で変わったことがなかったかを洗い出したところ「佐川急便」を名乗るSMSを開いたとのことでした。
この時は、本人はそのサイトへはアクセスしたものの、アカウント情報を忘れていてたまたま入力していなかったことから、情報の流出はありませんでしたが、追加で拡散されてしまったため、受取った人がもし情報を入力してしまっていたら、情報が漏洩している可能性があります。
フィッシング詐欺やウィルス感染対策は、自分だけの問題ではないと感じた出来事でした。
詐欺を働く犯人たちの目的は、最終的に「お金」に行きつく事がほとんどですので、自分のお金に関する情報は確認するようにしましょう!
スマホにもセキュリティソフトを入れる
冒頭にも書きましたが、スマホが普及する以前は、検索したり個人情報を利用するのはパソコンが多かった為、パソコンではウィルスやフィッシング詐欺対策ソフトを入れているものの、スマホでは対策をしていない人がまだまだたくさんいるのが現状です。
しかしながら、現在ではスマホ利用者が増え、便利になっていくのと同時に、大切な個人情報もスマホにたくさん入っています。
気軽に使え、なんでも情報を保存できる便利なスマホだからこそ、対策をするかしないかで情報漏洩のリスクも変わります。
漏洩してからでは完全に被害をなかったことにすることはできません。
全てを自分で管理することは大変難しく、年々、気づかないように巧妙に手口が変化していますので、パソコンと同様にセキュリティソフトを入れて、アクセス前に気づける環境を作っておくことをオススメします。
【人気】お勧めセキュリティソフト
- WEBROOT
- ウイルスバスタークラウド(3台まで利用)
- ウィルスバスターモバイル(1台のみ利用)
- ノートン
- ノートンは、各携帯ショップ・キャリアショップで購入できます。
セキュリティソフトの豆知識
セキュリティソフでは、「そのサイトは危ない!」と判定するために、主に3つの方式から対策を講じています。各ソフトによって方式が異なります。
| ブラックリスト方式 | 警戒する必要がある「危険な対象」を定義したリストから対策 |
| ホワイトリスト方式 | 警戒する必要のない「安全な対象」であることを定義したリストから対策 |
| グレイリスト方式 | 「危険な対象」である可能性があるリストから対策 |
「ホワイトリスト方式」は、各携帯電話事業者や官公庁が定めたフィルタリングなどで活躍しています。
この記事では、「フィッシング詐欺」について解説しました。
フィッシング詐欺サイトからのメールやSMSを完全になくすことはできません。しかしながら、基本的には上記の対策をしておけば、アクセスして詐欺被害が拡大することを防ぐことができます。
詐欺に合う前に正しい情報を知ることで、少しでも安心してスマホをご利用いただけますと幸いです。
フォンシェルジュ提携店舗では、ユーザーにピッタリのスマホや料金プランを選んでいただくためのご提案や、スマホトラブルのサポートをしております。
是非お気軽にお越しくださいませ。
今後もスマホをより便利で快適に利用できるよう情報を配信して参ります。これからも宜しく願致します。
