フィッシング詐欺の方法や種類
「ドコモ口座」で相次ぐ不正出金。狙われた地銀。
不正な預金の引き出しが確認された銀行は、2020年9月9日午前11時の時点で、仙台市の七十七銀行、岡山市の中国銀行、福島市の東邦銀行、鳥取市の鳥取銀行、大津市の滋賀銀行、岐阜県の大垣共立銀行、和歌山市の紀陽銀行、それに青森市のみちのく銀行の8行に上っています。
被害のあった銀行はいずれも『Web口振受付サービス』を使って「ドコモ口座」と連携していた。「ドコモ口座」は銀行のシステムで本人確認をしていたので銀行口座の情報で本人なりすましが発生した。銀行では登録に『口座番号』『名義』『4桁の暗証番号』の3点を利用していた」。これらの情報がフィッシング詐欺で漏れたものと想像されます。
偽造カードを作成されたり、ATMで出金しなくても「ドコモ口座」を経由することで簡単に出金されてしまったというわけですね。
フィッシング詐欺とは #
フィッシング詐欺とはインターネット上で行われる詐欺行為。正規のサービスになりすましてユーザーからログイン情報やクレジットカード情報などを盗み出します。
フィッシングは英語では「phishing」と綴ります。魚釣りの「fishing」と間違われるのですが、フィッシング詐欺では「魚釣り(fishing)」と洗練された「sophisticated」の2つを組み合わせて作られた造語です。
フィッシング詐欺の被害にあうことで、クレジットカードを不正に利用されて買い物されたり、ログインが必要なサービスも悪用されたりします。
フィッシング詐欺の仕組 #
フィッシング詐欺を行う目的は、クレジットカードやWebサービス、ネットバンクのログイン情報などの搾取です。大部分の攻撃者は、より多くの情報を得るために不特定多数をターゲットとします。しかしフィッシング詐欺の中には、特定の個人や企業をターゲットとすることもあり、これは「スピアフィッシング」と呼ばれます。
このように不正に入手された情報は闇市場で取引されたり攻撃者により悪用されます。
フィッシング詐欺の多くは「フィッシングメール」と呼ばれるメールを利用して行われます。メールを受信したユーザーをフィッシングサイトに誘導し、クレジットカードやネットバンクなどの情報を入力させようとします。フィッシングメールの文章は「サービスのアカウントがロックされました」とか「お届けのクレジットカード情報に間違いがあります」など直ぐに何とかしないといけないと思わせるような、人間の心理を利用した文面が使われています。
フィッシングメールの種類 #
フィッシングメールの主なものを紹介します。
1. アカウントロック #
使用しているWebサービスにおいて「ご利用のアカウントが第三者からのアクセスを確認したのでロックいたしました・パスワードを再設定してください。」・「あなたのアカウントは一時的にロックされています。アカウントの有効期限が切れており、24時間以内に停止されます。 問題を解決するために情報を更新してください。」とのメール内容で偽ログインサイトへ誘導して、IDとパスワードを入力させようとします。
アカウントがロックされているかの確認はメールのリンクからアクセスせず、正規サービスのWebから確認しましょう。
また「アカウント情報に不備がある」と指摘するメールが来て、登録情報を変更するためにリンク先からログインするように促されることもあります。「変更しないとロックされます」と脅迫するケースも確認されています。このようなメールには、不備のある情報が具体的に何なのか書かれていない点がポイントです。
amazon、apple store、楽天など
2. 購入確認 #
ECサイトで商品を購入した時に送信される購入確認のメールを騙るケースです。実際に購入した時と同様のメールで送信されます。受信したユーザーは当然心当たりがありませんので「キャンセルはこちら」のリンクに誘導します。リンク先ではログイン情報やクレジットカード番号などの入力フォームが用意されており入力を促されます。
amazon、apple store、楽天など
3.設定確認 #
利用しているWebサービスなどから「あなたのパスワードは長期間変更されておりません」とメールが来て、メッセージ中に含まれているリンクからログインするように促されるものです。
また「第三者が不正にアクセスしました、パスワードを変更してください」あなたのパスワードは簡単すぎるので安全面で問題があります」リンク先からパスワードを変更するという名目でログインを促されるケースもあります。
4. 宅配便の不在通知など #
大手宅配業者から「再配達の荷物があります。下記URLより確認ください。」「お届けの荷物がありますが文字が不鮮明で住所がわかりません」との内容で住所や電話番号を詐取する。
佐川急便、ヤマト運輸など
5. 偽サイト誘導 #
受信したメールのリンクをクリックすると、本物とそっくりのWebサイトログイン画面が表示されます。Webページを丸ごとコピーして作られています。しかしこれは実際には偽物のWebサイトです。本物と同じようなデザインで偽物のWebサイトをつくることで、ユーザーを騙してクレジットカードやログイン情報を不正に入手しようとしているのです。メールの送信元も偽装されていたりして偽物の判断が非常に難しいです。メールから誘導されるサイトへはアクセスしないようにしましょう。
6. 金融機関の装い #
金融機関を装った電子メールに、その金融機関とは全く関係のない虚偽のページのリンクを貼るなどして、虚偽のホームページやログインページに誘導し、口座番号や暗証番号、ログオンパスワードなどの重要な情報を入力さる。
不正入手した情報を元にキャッシュカードを偽造、あるいは本人になりすましてインターネットバンキング等にアクセスするなどの方法で金銭を詐取する。
フィッシング詐欺への対策 #
フィッシング詐欺を見抜くポイントは受信した不審なメールをよく確認することです。フィッシングメールを読むと「サービスが使えなくなる」「購入代金を支払わされる」とユーザーに思い込ませるようになっています。このようなメールを受信した時は、まずは落ち着いてメールの中身やリンク先をよく見てみましょう。
1. 宛先や件名を確認する #
受信したメールにWebサービスの設定変更が必要になるような重要なメールが来たら、まずメールの宛先や本文を確認しましょう。本物のサービスで利用しているメールアドレスに届いているか。正規のサービスからのメールには、ユーザーの氏名や会員番号などが記載されているケースが多いです。受信したメールにそれらの情報が含まれていない場合は、フィッシングメールであることを疑った方がよいでしょう。なぜなら攻撃者はそれらの情報を知らないからです。
2. 送信元を確認する #
怪しいメールを受信したら、受信したメールの送信元を確認しましょう。ただしメールの送信元は自由に設定できますので、正規の送信元が記録されていてもそのまま信じるのは危険です。
パソコンで受信したメールの場合、メールソフトの機能を使ってメールのヘッダ情報を確認できますが、スマートフォンなどでは確認できないことが多いので細心の注意が必要です。
3. リンク先のURLアドレスを確認する #
メール中に含まれているリンクのURLを確認しましょう。フィッシングメールではリンク先に罠を仕掛けるので、リンク先のURLは正規のWebサービスの物とは異なっています。正しいWebサービスのURLに似せた文字列を使っていることもあります。リンクをクリックする前に、リンク先のURLをよく見て確認することが重要です。
4. 個人情報の入力を求められたら要注意 #
リンク先のページで名前や住所などの個人情報の入力が求められていたら要注意です。クレジットカードの番号やパスワードなどの入力が求められたら、まず怪しいと疑った方が良いでしょう。
5. 同様のフィッシングメールが報告されていないか確認する #
確認方法としては、受信したメールのメッセージの文字列を利用してGoogleなどで検索してみる。
また、同じようなメールで報告されているフィッシング詐欺の実例を確認しましょう。
その他 #
フィッシング詐欺はメールだけではなく、詐欺携帯電話の「SMS」を利用したものや「LINE]を利用したものも確認されています。
「SMS」を利用意したものでは金融機関「ゆうちょ銀行」「セブン銀行」「ジャパンネット銀行」などを騙るもの、宅配便を騙るもの、「当選しました」とお金や物をくれるような内容のものなど。
フィッシングに対して取れる対策 #
1. URLの確認する、リンクを踏まない #
2. アプリのインストールや、カレンダーへのアクセス許可をしない #
リンクを踏んだ結果、アプリのインストールやカレンダーへのアクセスを許可するよう求められるケースがあります。この様な場合はいったんそれはすべて拒否しましょう。
アプリに興味があるなら本当に事業者がそうしたアプリを公開しているか確認しましょう。
