フィッシング詐欺とは
クレジットカード会社や銀行、ショッピングサイト等の実在する企業を装った電子メールを送り、
企業のホームページと酷似した偽物のWebサイトに誘い込み、
クレジットカード番号、暗証番号、アカウント情報(ユーザID、パスワード等)等を入力させて窃取し、
本人になりすまして不正な取引を行う犯罪行為です。
最近は、スマートフォンのSMSを悪用したSMSフィッシング詐欺(スミッシング)も増加しています。
また、その他、SNS、オンラインゲーム、掲示板、ブログ等を利用したフィッシング詐欺もあります。
フィッシング報告件数
フィッシングサイトのURL件数
フィッシングに悪用されたブランド件数
(出典:フィッシング対策協議会)
Amazon をかたるフィッシングは報告数全体の約 35.8 % を占めています。
次いで楽天、エムアイカード、三井住友カード、エポスカードをかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 71.4 % を占めています。
フィッシングに悪用されたブランドは 82 ブランド
クレジット・信販系は新規ブランドも含め 26 ブランド
クレジットカードブランドをかたるフィッシングが多く、地方銀行やネット銀行なども含めた金融系ブランドは 8ブランド
ネット銀行系ブランドをかたるフィッシング報告は増加しています
ショートメッセージ (SMS) から誘導されるフィッシングについては、Amazon をかたる文面のものが多く報告されています。
SMS はメールと比較すると、本物と誤認したり、ついアクセスしてしまう傾向があるため、注意が必要です。
宅配業者の不在通知を装った SMS についても、前月に引き続き多くの報告があります
不正なアプリ (マルウェア等) のインストールへ誘導されたり、Apple や宅配業者などのフィッシングサイトへ誘導されるケースが確認されています。
多くのフィッシングメールが差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」メールであることを確認しています。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認するよう、心がけてください。
フィッシング詐欺の一例
必ず、From(送信元アドレス)や発信元のアドレスを確認しましょう
安易にURLを開かないように注意しましょう
2要素認証のガードも突破
インターネットバンキングや決済サービスなどで使われる「2要素認証」を突破する手口が確立されてしまいました。
2要素認証は、IDとパスワードに加えて、メールやSMSで通知するワンタイムパスワード(OTP)、
専用のトークンというデバイスで発行する暗証番号などを併用する認証方式で、フィッシング対策の切り札の一つとして使われてきました。
2要素認証を突破する典型的な手口は以下の通りです。
1.金融機関を偽装したメールやSMSを配信
2.偽装したログイン画面で認証情報を搾取
3.攻撃者は、2.で取得した認証情報で正規サイトにログイン
4.偽装サイトでOTPの入力を促して取得
5.正規サイトでOTPが必要な手続きを実行
攻撃者が先に正規サイトに侵入する3.不正送金などの操作を実行する5.の段階は、犯行の成否を分ける山場で、
「処理中」「しばらくお待ちください」などの画面を出して、巧みに時間稼ぎをします。
</u>
(出典:フィッシング詐欺がまた増加傾向に)
基本ルールの実践
・メッセージの内容をよく確認し、URLは安易にクリックしない
・少しでも怪しいと思ったメールとSMSは開封しない
・表示されたURLをアドレスバーで確認する
・金融機関やECへのアクセスは、正しいサイトをブックマークに登録しブックマークから
・PCやスマートフォンのセキュリティソフトは最新版に
・少しでも不審な点があれば、事業者に問い合わせる
参考文献:フィッシング詐欺に注意(総務省)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html
参考文献:フィッシング詐欺被害に遭わないための注意事項(一般社団法人日本クレジット協会)
https://www.j-credit.or.jp/customer/attention/attention_02.html
参考文献:フィッシング詐欺(一般社団法人全国銀行協会)
https://www.zenginkyo.or.jp/hanzai/15300/
参考文献:急増するフィッシング被害と備えておくべき知識(国民生活センター)
http://www.kokusen.go.jp/wko/pdf/wko-202009_01.pdf
