フィッシングサイトとは?見分け方や被害に遭った場合の対策について
フィッシング詐欺は、古くから使われる常套手段ですが、いまだ被害の絶えないサイバー攻撃です。 近年は、本物と見分けがつかないフィッシングサイトも存在し、手口は巧妙化しています。 本記事では、フィッシングサイトの仕組みや被害事例、見分け方や対策について解説いたします。
目次
フィッシングサイトとは?
そもそもフィッシング詐欺とは、パスワード変更や購入完了の通知などのメールを送り、正規の金融機関やショッピングサイトなどに偽装したWebサイトに誘導し、IDやパスワード、住所など個人情報を入力させて詐取する行為をいいます。
この誘導先である偽サイトを「フィッシングサイト」、フィッシング詐欺に使われる、なりすましメールを「フィッシングメール」と呼びます。
IPAが発表した「情報セキュリティ10大脅威 2020」では、個人部門で「フィッシングによる個人情報の詐取」が、昨年と同順位である2位にランクインしています。 JPCERT/CCの統計調査を見ると、2014年から5年間は増加傾向にあることがわかります。 2016年までは毎月200件ほどでしたが、2019年7月以降は毎月1000件を超えています。 また、インシデント報告のうち、全体の56%がフィッシングサイト関連と報告されています。
参照:JPCERT/CCに報告されたフィッシングサイトの傾向
フィッシング詐欺の最新動向
2020年には、「マスク無料送付」「給付金の配布」などの嘘のメッセージを書き込んだSMSを送り、フィッシングサイトへ誘導するといった、新型コロナウィルスに便乗したフィッシング詐欺も横行しています。 特別定額給付金を案内するサイトは、正規のサイトとは見分けがつかないほど巧妙で、総務省が注意喚起を行っています。
トレンドマイクロの調査によれば、2020年上半期(1~6月)で約297万人のユーザーがフィッシングサイトに誘導されており、これは2016年の調査開始以来、最大規模とされています。 要因としては、新型コロナウィルスにともなうテレワークの普及、パソコンやスマ―トフォンの利用の増加などが挙げられています。
参照:日本と海外の脅威動向を分析した「2020年 上半期セキュリティラウンドアップ」を公開~フィッシングサイトへ誘導された国内の利用者数は約297万人~|トレンドマイクロ
また、別のフィッシング対策協議会の調査では、2020年8月中に寄せられたフィッシング詐欺件数は20,814件で過去最多とされています。
参照:2020/08 フィッシング報告状況|フィッシング対策協議会
クリックしてしまったけど大丈夫? 開いただけで感染する脅威
基本的には、フィッシングサイトに設置されているフォームに個人情報を入力しなければ、クリックしただけで情報が漏洩することはありません。
しかし、「エクスプロイトキット」と呼ばれる脆弱性攻撃ツールが仕込まれたサイトの場合は、閲覧しただけでエクスプロイトツールを仕込まれ、マルウェアに感染するリスクがあります。 ただ、セキュリティパッチの適用で脆弱性が改善されている場合は、閲覧してもエクスプロイトツールは使えなくなりますので、マルウェアに感染することはありません。 2016年7月を境に、報告数は減少傾向にありますが、依然として注意が必要です。
フィッシング詐欺とファーミングの違い
フィッシング詐欺に似た言葉に、「ファーミング」があります。
フィッシング詐欺が、金融機関やショッピングサイトになりすましたサイトにユーザーを誘導し、IDやパスワード、口座番号など個人情報を盗み出す攻撃に対し、ファーミングはDNSサーバの情報を不正に書き換えるため、ユーザーが正規のサイトアドレスを入力しても、攻撃者が用意した不正なサイトへ誘導されます。
ファーミングの仕組みについては下図を参考にしてください。
あらかじめ種まきをしておけば、勝手にユーザーを誘導し、個人情報などを収穫できることから、「farming=農業」にちなんで、「Pharming」という名称になったとされています。
フィッシングサイトを使った詐欺の手口
フィッシングサイトを使った詐欺の手口は、「SMS」「メール」「SNS」の3つになります。
SMS(スミッシング)
近年、被害件数が増えていることから、「SMSフィッシング」を略して「スミッシング(Smishing)」と呼ばれます。
宅配業者やショッピングサイトになりすまし、不在通知や料金確認の通知をユーザーに送りつけます。 たとえば、「お荷物のお届けに上がりましたが不在のため持ち帰りました」など、思わず開いてしまうような巧妙なメッセージが特徴です。
なりすましの被害に遭った事業者によっては、公式ページでスミッシングの実例、対策などを発信しているところもあります。 少しでも不審と思った場合は、公式ページをチェックしましょう。
メール
近年は、文章に違和感がなく、正規のメールと見分けがつかないフィッシングメールも増えています。 メールフィルタリング機能を使えば、フィッシングメールをある程度自動で検出することができますが、100%ではありません。 とにかく不審に感じたメールは開かないようにしましょう。
SNS
LINE、Twitter、FacebookなどのSNS経由で、実在する企業になりすまし、パスワード再設定のお知らせ、ポリシーや利用規約の変更などを装ったメッセージが届きます。
配送完了通知や引き落とし金額のお知らせをLINE公式アカウントで通知する事業者もいますが、ユーザー側が設定を行わなければ重要な通知が届くことはありません。
フィッシングサイトによる被害事例
ここでは、フィッシングサイトによる代表的な被害事例をご紹介します。
宅配便の不在通知を装う事例
2020年、コロナウィルスの感染拡大で、ネット通販ユーザーを狙った、不在通知を装うフィッシング詐欺の被害が増えています。 「不在のため持ち帰りました」や「保管期限が迫っています」という文言とフィッシングサイトへ誘導するためのURLが貼られています。 AndroidのスマートフォンでURLをクリックすると、不正アプリのインストールへ誘導される事例も報告されています。
キャンペーン当選をかたる事例
キャンペーン企画を行うInstagramやTwitterアカウントになりすまし、当選をかたり、フィッシングサイトへ誘導するフィッシング詐欺です。 申し込んだ覚えがない場合は、まず当選することはないため、正規のアカウントの公式情報をチェックしましょう。
アカウント情報の保護・更新を促す事例
IDやパスワードなどの情報更新を促すフィッシング詐欺です。 メッセージ文章には、「アカウント違反を検出しました」「支払いの問題でアカウントがロックされました」「アカウントが停止される可能性がある」などと、切迫感を煽るような内容が書かれているため、正規の案内と誤認し、フィッシング詐欺の被害に遭うケースが多発しています。
商品の注文確認をかたる事例
商品の注文確認メールに似せたフィッシング詐欺です。 注文した覚えがないためキャンセル手続きをしようと、受け取ったメッセージに書かれたURLをクリックすると、フィッシングサイトに誘導されます。
フィッシングサイトの被害に遭うとどうなる?
フィッシングサイトに誤って重要情報を入力してしまった場合、どのような被害に遭ってしまうのでしょうか。
アカウントが不正利用される
SNSやWebサービスのアカウントが乗っ取られ、知らぬ間に自分の周囲の人になりすましなどによるフィッシング詐欺の危険が及んでしまいます。 また、GoogleのようにサービスがパッケージングされているWebサービスが乗っ取られた場合は、被害はさらに拡大します。
金銭を詐取される
口座番号やクレジットカード情報を入力した場合は、口座から不正に預金を引き出されたり、カードを不正利用されたりします。 クレジットカード会社では、通常、61日を超えた分は補償適用外となります。 少額の場合は、発覚が遅くなり、泣き寝入りになるケースもあるので注意が必要です。
個人情報を売買される
ダークウェブで、個人情報が売買され、架空請求のメールが大量に届いたり、迷惑電話が頻繁にかかってきたり、別のサイバー攻撃の対象にされることもあります。
フィッシングサイトの見分け方
フィッシングサイトは、非常に巧妙な作りになっていますが、いくつか見分ける方法があります。
URLを確認する
近年は、正規のメールやサイトの文言をコピーしているため、文言だけで見分けるのは困難です。 まずは、接続する前にURLを確認しましょう。
「o(オー)」を「0(ゼロ)」、「l(アイ)」を「1(イチ)」など、一文字だけ変えていたり、企業やサービスの名称を一部に使ったりするケースが見受けられます。
また、メッセージに書かれているものが一見、正規のURLに見えても、Unicode文字を使うことで、正規と同じURLに見せている場合があります。
そのため、少しでも怪しいと感じたら、メッセージに書かれているURLには触れず、検索エンジンなどからサイトへアクセスをして確認しましょう。
メールの文章をコピーして検索にかける
不審に感じたら、フィッシングメールの文章をコピーし検索しましょう。 もし、すでに被害が発生している場合は、正規のサイトから注意喚起が出ているかもしれません。
また、疑わしき事例が個人ブログで複数報告されている場合は、フィッシングサイトの可能性が高いため、URLをむやみにクリックしないようにしましょう。
フィッシング対策協議会の最新情報をチェックする
2005年4月に設立され、一般社団法人JPCERTコーディネーションセンターが事務局となり、運営されている協議会です。 フィッシング対策協議会のホームページに公開されているフィッシング詐欺の被害事例や技術情報、フィッシング対策のガイドラインなどを定期的にチェックしましょう。
フィッシングサイトの被害に遭った場合の対策
万全な対策をしたものの、フィッシングサイトの被害に遭った場合、どのような対処をすればよいのでしょうか。
ログインIDとパスワードの変更
フィッシングサイトの被害に遭った可能性の高いサービスのパスワード情報を変更、また、あわせて多要素認証の設定も行うとベターです。 パスワード情報を変更する際は、過去に使用したパスワードを使わないようにするとともに、解読されにくい大文字、小文字、数字、記号を組み合わせた複雑なパスワードにしましょう。
クレジットカード/銀行カードの停止
銀行口座からの不正な引き出しやクレジットカードの不正利用等が発覚した場合はもちろんのこと、フィッシングサイトに重要情報を入力してしまった場合は、ただちにカード会社や銀行の紛失・盗難サポートセンターに連絡し、利用停止・カード再発行の手続きを行いましょう。
銀行やカード会社では不正利用の返金補償がありますが、補償期間があります。 一般的に銀行は届出日から30日前後、カード会社は届出日から60日前後までが補償対象で、それ以降のものは対象外となります。 なお、補償期間は各銀行、カード会社によって異なります。
フィッシング110番/フィッシング対策協議会への情報提供
前述したフィッシング対策協議会のほか、フィッシング110番でも情報提供を受け付けています。 フィッシング110番は、警察庁管轄のサイバー犯罪対策組織です。 各都道府県で窓口が設置されており、メールでフィッシングサイトに関する情報提供を行うことができます。 ただし、被害への対応や被害届の提出はできず、あくまで情報提供に限ります。 なお、被害相談は最寄りの警察で対応しています。
まとめ
フィッシング詐欺の被害に遭わないためには、送信元のメールアドレスや記載されているURLが正規のものであるか、書かれている文章に不審な点はないか、十分注意して確認するとともに、少しでも違和感を感じた場合は、インターネット検索で同様の事例が報告されていないかチェックするようにしましょう。