「フィッシング詐欺」ってどういうもの? 対策は?

ニュースなどでよく聞く「フィッシング詐欺」。自分には縁のないものと思っている人ほど危険かも? 詐欺に遭うきっかけは、意外と身近なところからやってきます。フィッシング詐欺の手法とその対策を紹介します。

フィッシング詐欺とは

フィッシング詐欺とは、有名な企業などを装って、個人情報を盗みだそうとする詐欺のこと。その手段にはメールなどが使われます。メールをエサに個人情報(魚)を釣ろうとするので、「釣り」(Fishing)詐欺というわけです。FがPhになってPhishng詐欺といわれるようになったのには、アメリカで20年ほど前にフォンフリーキング(Phone Phreaking )という電話の不正利用の造語があったためとも、昔からハッカーたちは「F」と「PH」を入れ替えて言葉を使っていたため、とも言われています。
典型的な例として、銀行を騙るメールを送るものがあります。この手口では犯人は「口座の情報を確認してください」というメールを送り、オンラインバンキングに似せて作ったWebページに誘導します。メールを受け取った人が本物だと思ってアカウントの情報を入れると、まんまとオンラインバンキングのアカウントを乗っ取られてしまいます。
銀行のほかにも、通販サイトやSNS(FacebookやLINEなど)などを装って、アカウントの情報を聞き出す例もあります。また、宅配業者の不在通知に見せかけたSMS(ショートメッセージ)を送り、クレジットカードの番号を入力させるといった例も存在します。
銀行口座のログイン情報を盗まれた場合、犯人の主な目当ては口座に入金されているお金ですが、その口座自体が別の詐欺で使われてしまう可能性もあります。また、SNSのアカウントを乗っ取られた場合には、友だちに向けて怪しい商品を宣伝するアカウントに変えられてしまうこともあるなど、金銭的な被害だけで済まないこともあるのです。

フィッシング詐欺の対策

フィッシング詐欺の手法は年々巧妙になっていて、メールのリンク先の作りは本物の金融機関などに似せていることがほとんど。情報を入力させるページが本物のログインページとなかなか見分けがつかない見た目になっていることもあります。
さらには、アカウントの情報を入力した後に、本物のページのログイン後の画面に転送するフィッシングサイトも存在しており、注意していてもひっかかってしまうこともあります。
以下では、フィッシング詐欺にひっかからないための、いくつかのヒントを紹介します。

(1)個人情報を入力するときは要注意

メールやSMSなどから送られてきたページから、個人情報(住所氏名やクレジットカードの番号、各種アカウントの情報など)を入力させるページに飛んだときは、詐欺ではないかと注意しましょう。安易に入力せず、「本当にここで個人情報を入力する必要はあるのかな?」と確認するくせをつけるのが一番の対策になります。

(2)別の方法でアクセスする

メールなどのリンクはクリックしない、というのが対策の1つになります。たとえば銀行から「情報を入力してください」というメールが届いた場合でも、その銀行のトップページを検索で表示して、そこからオンラインサイトにアクセスするという方法が考えられます。

(3)URLで見分ける

サイトを見て詐欺サイトかどうか見分ける方法もあります。その中でも比較的簡単なのが、「リンク先のURL」を比較することです。
URLとはアクセスするサイトのインターネット上の住所を示す文字列のことで、
たとえば
「http://aaa.bbb.example.co.jp/ccc」
というように表記されます。
このURLの一部は企業や団体を示すもので、詐欺師が作るWebサイトでは真似するのが難しいため、見分けるひとつの目安になります。
たとえばこのサイト「エンジョイ!マガジン」の場合、URLは「https://enjoy.sso.biglobe.ne.jp/」となっていますが、このうち「biglobe.ne.jp」という部分は、ビッグローブ株式会社が運営しているWebサイトだということを示してます。
これは金融機関などでも同じで、みずほ銀行のURLなら「mizuhobank.co.jp」、JCBカードなら「jcb.co.jp」という部分がそれぞれの企業が運営していることを示しています。
みずほ銀行を名乗るメールのリンクからつながるログイン画面が「mizuhobank.co.jp」でない場合には、情報を入力しない方が無難といえます。
ただし、URLで見分けるのは難しいこともあります。正しいドメイン名を知らないとできませんし、似た名前や見た目で勘違いしそうなドメイン名を使われることもあります。また、正しいものでもドメイン名を複数使うこともあります。
見分けるのが難しいと思う場合は、下記のような有料のサービスを検討するのもおすすめです。
▼BIGLOBEセキュリティ:インターネットサギウォール

(4)二段階認証・多要素認証を設定する

銀行口座やSNSのアカウントでは、「二段階認証」や「多要素認証」と呼ばれる設定が用意されていることがあります。これらを設定しておくと、万が一パスワードが窃取されたとしても、不正利用の被害を防げる可能性があります。
二段階認証や多要素認証とは、アカウントにログインするとき、パスワードのように本人の記憶頼みのものに加えて、他の要素(所有しているものなど)を用いて、本人であることをより確実に確認する方法のこと。「ユーザーが持っているもの」を確認に使うことで、ログイン情報を盗まれた場合にも対策します。
たとえば、ログインするときに「SMSに送られた数字を入力してください」といった画面がでるのは、二段階認証を行っているため。SMSの送り先の電話番号の持ち主だと確認していることになります。電話番号以外にも、指紋などの生体認証や、専用の認証アイテムを使って確認する方法もあります。

(5)詐欺の手法を知る

フィッシング詐欺の手法について知っておくのも、詐欺にひっかからないための対策になるでしょう。
インターネット関連の企業などで結成された「フィッシング対策協議会」では、最新の詐欺の事例をWebサイト上で発信しています。詐欺の具体的な内容のイメージがつかめるため、一度チェックしておくことをおすすめします。
政府や民間のセキュリティ会社が発信する情報をまとめた情報セキュリティのポータルサイト「ここからセキュリティ!」でも、フィッシング詐欺にまつわるさまざまな情報を得ることができます。
産業界、学術研究機関、捜査機関などが協力している「JC3(日本サイバー犯罪対策センター)」でも、様々なサイバー空間の脅威に関する注意喚起情報の提供を行っています。
ここでは5つの対策法を示しましたが、まずは日頃から「詐欺かもしれない」と意識付けするのが、詐欺にあわないための一番の対策になります。個人情報の扱いには十分に注意して、充実したインターネットライフを送りましょう。
▼参考サイト:
フィッシング対策協議会
「ここからセキュリティ!」
「JC3(日本サイバー犯罪対策センター)」

関連記事

「二段階認証」とは?「二要素認証」とは違うの? 有効に活用してセキュリティを強化しよう
短縮URLって何?利用するメリットとクリックするときの注意点
「ウイルスを検出しました」スマホで突然現れる画面に注意!

石井徹(いしいとおる)

スマホにハマり100台以上購入。携帯電話専門のニュースサイトで記者を経験後フリーランスに。鉄道旅行好きで全国踏破が目標(残り2県)。ときどき料理男子。