フィッシングって何? 金銭的被害を生じることもあるフィッシング詐欺について解説!
皆さんは、「フィッシング」という言葉をお聞きになったことがあるでしょうか。
フィッシング……fishing……釣り?
いいえ、残念ながら、楽しい魚釣りのことではありません。
ここでは、様々な被害をもたらすフィッシングについて解説します。
フィッシングとは?
フィッシング (Phishing) とは、実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
(出典:フィッシング対策協議会 フィッシングとは)
上の定義のとおり、フィッシングとは、ある組織になりすましてパスワードやクレジットカード情報などの秘密情報・個人情報を盗む詐欺のことです。
巧妙な偽サイトを作ることが多いのでサイバー攻撃っぽくもありますが、その一方で従来型の詐欺とも通じるところがあります。
IPA(独立行政法人情報処理推進機構) が発表した「情報セキュリティ10大脅威 2019」においても、「フィッシングによる個人情報等の詐取」が「個人」向け脅威の第2位に挙げられています。
(第1位の「クレジットカード情報の不正利用」および第7位の「インターネットバンキングの不正利用」でもその準備としてフィッシングが使われることが多いので、実質的な影響はさらに大きいといえます)
メールなどで偽サイトの URL を送りつけ、それをクリック・タップしてしまった人を「釣りあげ」て情報を盗む手法なので、魚釣りを意味する "fishing" と同じ発音で呼ばれるようになったのはごく自然なことですね。
フィッシングの手口
次に示すのはフィッシング詐欺の一例です。
ある日、カード会社からメールが届きました。
カード会員ページに不正ログインされた可能性があり、パスワードがリセットされてしまったそうです。
迅速に対処したほうが良さそうですね!!
そこで、記載されている「ユーザIDの確認パスワードの設定ページ」のリンクをクリックすると……
入力画面が出てきました。
パスワードの再設定とどう関係するのか少しひっかかりますが、手続しなきゃいけないらしいので、全部入力しましょうか。
カード番号・有効期限・生年月日・セキュリティコード・電話番号・暗証番号・口座番号の下4桁。
…………
実はこれ、カード会社のページではありません!!
カード情報を盗もうとする誰か悪い人 (攻撃者) が設置した、本物そっくりの偽サイトなのです。
もちろん、それに誘導する最初のメールも、カード会社ではなく攻撃者が送ってきたものです。
このように騙されて入力してしまった情報は攻撃者に送られます。
カード番号、有効期限、セキュリティコードなど、これだけあれば限度額に達するまで好き放題買い物されてしまうでしょう……。
このように、
- URL (など) を記載したメールを送ってくる
- その URL から偽サイトにアクセスさせ、入力させた情報を盗み取る
という手口で行う詐欺がフィッシングです。
フィッシングに遭うとどうなるの? 被害は?
上の例では、盗まれたのはクレジットカード情報でした。
フィッシングは最終的に不正に金銭を得る (つまり盗み取る) ことを目的として行われることが多いようですが、あり得る被害はそれにとどまりません。
盗まれた情報の種類と、利用しているサービスの種類によって様々な被害を受ける可能性があります。
例えば、
- オンラインバンキング:攻撃者に高額の振り込みをされてしまう
- EC サイト:(クレジットカードを登録している場合) 高額の買い物をされたり、住所や電話番号を見られてしまう
- クラウドストレージサービス:データを盗まれたり、消されたりしてしまう
- Web メールサービス:メールを読まれてしまったり、なりすましメールを送られてしまう
- SNS:勝手に退会されたり、品位のないなりすまし投稿をされて友人やフォロワーの信頼を失ってしまう
などの被害が考えられます。
「私はネット金融は使ってないから平気 ♪」という考えは非常に危険です。
メールだけじゃない! SMS・SNS のメッセージなどにも注意!
これまでフィッシングはリンクの記載された電子メールによって行われることが多かったのですが、近年ではそれ以外の手段によるフィッシングが増えています。
SMS (スミッシング)
メールの代わりに SMS (ショート・メッセージ・サービス) を用いる手口で、特にスミッシングと呼ばれています。
スマートフォンが普及したこともあり、近年よく見られるようになっています。
2018年の宅配業者をかたる例が有名です。
「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。」
などと書かれた SMS メッセージが届き、リンクをクリックすると偽サイトにつながり入力した情報を盗まれてしまいます。
メールで来るか、SMS で来るかの違いだけなのですが、
「フィッシングはメールで来る」と何となく思い込んでいた人は被害に遭ってしまったかもしれません。
電話 (ビッシング)
偽サイト上で情報を入力させるのではなく、音声応答システム (サポート窓口にかけるとよく出てくるアレですね) を用いて情報を盗む手口です。
特にビッシングと呼ばれています。
従来のフィッシングのようにメールが来て、URL の代わりに電話番号が記載されているケースのほか、
最初から電話で「お客様のカードが不正利用された可能性があります。xxxx-xxxx へ電話してご確認ください」などと言ってくるケースもあるようです。
SNS のメッセージ
Facebook や LINE などの SNS に搭載されているメッセージ機能を用いる手口です。
最初の接触がメールでないだけで、フィッシングそのものです。
フィッシングの対策は?
怪しいメール (SMS なども含む。以下同じ) には気を付けましょう!!
……と言いたいところですが、これでは不十分です。
最近のフィッシングは、最初のメールにしても偽サイトにしても、きわめて巧妙に作られています。
上のカード会社をかたる例でも、メールの文面にしても、サイトのデザインにしても、ほとんど違和感がありませんでしたよね。
見た目の上ではほぼ「怪しさ」はなくなっているのです。
ですから、怪しさを基準にフィッシングを見破るのは現実的ではなくなってきています。
それではどうしたらいいのでしょうか?
一番簡単で確実なのは、送られてきたメールに記載の URL や連絡先にはアクセスしないことです!
フィッシングは、被害者を攻撃者の設置したサイト (など) にアクセスさせるところから始まります。
何が送られてこようと、アクセスしなければ被害を受けることはありません。
これなら精巧に作られたフィッシングメール・サイトを見破れなくても大丈夫です。
実際には会員登録やパスワード初期化の際など、どうしても送られてきたリンクをクリックしなければならない場合もあるでしょうが、
明確に自分から求めた結果送られてきたもの以外は徹底無視するくらいでちょうどいいと思います。
- 完全無視以外にできるフィッシング対策には何があるか
- フィッシングを見抜くのがどれだけ困難か、よく挙げられる判断基準は役に立つのか
についてはまた今度まとめてみたいと思います。
まとめ
- フィッシングはある組織になりすましてパスワードやクレジットカード情報などの秘密情報・個人情報を盗む詐欺
- フィッシングに遭うと金銭的被害など、盗まれた情報によって様々な被害を受ける
- メールのほか、SMS や SNS メッセージにも注意が必要
- 一番の対策は、メールなどで送られてきた宛先にアクセスしないこと
フィッシングは決して珍しいものではなく、普通の人を狙って毎日のように行われている攻撃です。
皆さん、気を付けましょう!