フィッシング詐欺とは? 被害にあわないためにできること

コーポレート
フィッシング詐欺の説明と対策を示す画像。警告アイコンとパソコンが描かれている。

実在する企業をかたったメールやショートメッセージ(SMS)などで偽のサイトに誘導し、IDやパスワードを盗み取る「フィッシング詐欺」。金融庁・警察庁の注意喚起によると、インターネットバンキング利用者を狙ったフィッシング被害では、2023年の被害額は約80.1億円となり、過去最多を更新しています。
フィッシング詐欺とはどのようなものなのか、フィッシング詐欺の被害にあわないためにできることを、LINEヤフーのセキュリティ部門で脅威情報の収集・分析に従事する大角に聞きました。

メガネをかけた男性のポートレート写真。
大角 祐介(おおすみ ゆうすけ)
コンシューマ向けセキュリティサービスのシステム開発、セキュリティ診断(脆弱性診断)サービスの業務などに従事後、2016年ヤフー入社。CISO管掌CSIRT部DCU(Digital Crime Unit)に所属し、サイバー犯罪対策や脅威情報の収集・分析を担当している。

フィッシングサイトとは?

――まず、フィッシングサイトとはどのようなサイトのことか教えてください。

「フィッシングサイト」とは、ユーザーから重要な情報(例えばユーザー名、パスワード、クレジットカード情報など)を詐取するために作られた偽のウェブサイトです。
また、「フィッシング詐欺」とは、これらの個人情報を不正に手に入れる行為で、その手法としてメールやSMSを通じてフィッシングサイトにユーザーを誘導することがよく行われます。また、フィッシング詐欺に使われるなりすましメールを「フィッシングメール」と呼びます。

フィッシングメールからサイトに誘導し、個人情報を入力させる流れを示すイラスト。

フィッシングサイトには主に次の二つのタイプがあります。

1)公式サイトをコピー・模倣したサイト

ユーザーのIDやパスワード情報を詐取する目的で作られた、公式サイトをコピーしたサイトです。犯罪者はフィッシングサイトを設置し、ユーザーが自らIDとパスワードを入力するのを待ち、そこで集まった情報を販売するなどの目的で利用します。
ただし、ユーザーがIDやパスワード以外に2要素認証を設定している場合は、犯罪者が不正にアクセスすることを阻止できます。

2)裏で犯罪者が待ち構えているサイト

これは特に2019年ごろから銀行のフィッシングサイトで多く見られる手法です。銀行のウェブサイトでは、ログインだけでは基本的に預金残高の確認しかできません。振込を行う際にはワンタイムパスワードが必要となるのが一般的です。
そのため、ユーザーが偽サイトにログイン情報を入力すると、犯罪者はそれを中継して本物のサイトにアクセスします。これをセキュリティ用語では「中間者攻撃」と呼びます。その後、詐欺者は振込を行うためのワンタイムパスワードをユーザーに要求し、それを入力させます。
ユーザーがワンタイムパスワードを入力すると、詐欺者はそれを使って本物のウェブサイトで振込を行います。これは2要素認証が有効でも突破可能な攻撃方法で、現在でも見られます。

また、近年クレジットカード会社のフィッシングサイトが増加しています。その理由はいくつかありますが、まず「クレジットカード情報を盗む方が楽だから」ということがあるのではないかと思います。最近では、ユーザー名とパスワードを入力させるフィッシングサイトが、実は次のステップでクレジットカード情報を要求する、というケースも増えています。

フィッシング詐欺とは?

フィッシング:インターネットのユーザーからパスワード・クレジットカード情報などを奪うために行われる詐欺行為
フィッシング詐欺:メールやSMSで本物そっくりの偽サイトに誘導して、パスワードやクレジットカード情報などを盗み出す行為のこと
フィッシングサイト:フィッシング詐欺の誘導先である偽サイト

  • 公式サイトをコピーしたサイト
  • 裏で犯罪者が待ち構えているサイト

「フィッシングサイト=詐欺」詐欺はなくならない

――フィッシング詐欺は、減ったりなくなったりはしないのでしょうか...?

フィッシングサイトは基本的に詐欺行為の一種です。「詐欺」というもの事態は古くから存在し、その形を変えながら現代まで続いています。そのため、詐欺行為は今後も完全になくなることはないと考えられます。LINEヤフーでも詐欺行為を阻止するための活動を続けていますが、ユーザーのみなさんが詐欺から身を守るための知識を身につけることも重要です。

「特殊詐欺」いわゆる「オレオレ詐欺」などと呼ばれる特殊詐欺については、警察が「本当にその人があなたの息子さんですか?」といった内容の警告ポスターを掲示したり、ニュース番組で注意を呼びかけたりしています。実は、フィッシング詐欺もオレオレ詐欺と構造は同じです。
オレオレ詐欺では、犯罪者が電話で被害者に接触して、主に金銭を奪い取ります。一方、フィッシング詐欺では、接触手段が電話からメールやSMS、ウェブサイトに変わり、盗まれる情報がID、パスワードやクレジットカード情報になります。どちらも根本的には詐欺であり、接触手段が変わっただけです。

フィッシング詐欺の流れを示すイラスト。電話でのやり取りとフィッシングサイトへの誘導が描かれています。

たとえば、突然「警察署からです」と名乗る人が訪れたら、本当に警察の人なのか疑いますよね。また、「事故を起こしてしまった...」という電話が来たら、本当に自分の子どもからの連絡なのか確認するのではないでしょうか。
同様に、以前使ったことがあるECサイトからメールが来たら「これは本当にそのサイトからのメールなのか?」と疑うべきです。これがフィッシング詐欺から身を守る基本的な対策です。フィッシング詐欺は特殊な印象を持たれがちですが、特別な知識は必要なく「これは本当にその相手からきているのだろうか?」と単純な疑問を持ってほしいと思います。

先ほどの例の「警察署から来ました」と名乗る訪問者に対しては、どの警察署から来たのかをたずね、その情報を基に本当に警察からの訪問なのかを確認できます。フィッシング詐欺に対する対策もこれと同じです。

たとえば、「荷物が届きます」というメールが来た場合、まずはその会社の公式アプリやウェブサイトで確認してみてください。また、不安な際はカスタマーサポートセンターに問い合わせて、「このメールは本物ですか?」とたずねると良いでしょう。最近はどの企業も必ず答えてくれますし、LINEヤフーにも「このメールは本物ですか」という問い合わせが届いています。これらは、フィッシング詐欺から身を守る上で非常に大切な手段です。

「フィッシングサイト=詐欺」

  • フィッシング詐欺もオレオレ詐欺と構造は同じ
  • 「これは本当にそのサイトからのメールなのか?」と疑ってみることが大事
  • 公式アプリやサイトでまず確認する
  • 不安な時には、カスタマーサポートセンターへ問い合わせる

フィッシング詐欺から身を守るためにできること

――フィッシング詐欺をなくすことはできない、ということはわかりました。では、フィッシング詐欺から身を守るために私たちにできることはありますか?

はい。たとえば以下のようなことを意識していただきたいと思います。

1)よく使うサイト、アプリをブックマーク、インストールしておく

よく利用する銀行やサービスの公式アプリをスマートフォンにインストールしたり、よく利用するサイトをパソコンのブックマークに登録したりして、直接アクセスすることが重要です。

スマートフォンの画面に表示されたYahoo!関連アプリのアイコン一覧。

2)判断力が落ちているときはサイトやメールなどを見ない

「朝、寝ぼけて怪しいURLをクリックしてしまった」「夜、疲れていてうっかりクリックしてしまった」という声をよく聞きます。実際、朝5時、6時ぐらいに送られるフィッシングメールも多くあります。
そのような正常な判断がしにくい時間帯やお酒を飲んだときには特に注意が必要なので、そもそもメールやSMSなどのメッセージを見ないようにする、というのも1つの方法です。

3)メールなどのロゴマークを信用しない

メールにその企業やサービスのロゴが表示されていると、それが公式のものであると信じてしまう人も多いようです。しかし、これも詐欺メールである可能性があります。不安に感じた場合は、直接そのサービスのサポートまで問い合わせてみてください。

4)社名が何も書いていないSMSが届いたら無視する

SMSを使ったフィッシングメールは2018年ごろからずっと使われている詐欺行為で、その手口は時間とともに微妙に変化しています。最近では、社名を記載せずに送信するパターンが増えています。送信元を曖昧にした方が文中のURLをクリックしてしまう方が多いようです。
また、SMSでメッセージが届くと、急いで確認しなければならない大事な内容が届いたという気がしてしまいませんか? おそらく犯罪者はその心理も狙っているため、SMSで送っていることが多いのではないかと思います。
社名が書かれていないSMSが届いた場合は、無視し、絶対にURLをクリックしないでください。また、会社名が記載されていたとしても、その会社の公式アプリやウェブサイトで情報を確認することが重要です。

フィッシング詐欺から身を守るために

1)よく使うサイト、アプリをブックマーク、インストールしておく
2)朝や深夜など、判断力が落ちているときはサイトやメールなどを見ない
3)メールなどのロゴマークを信用しない
4)社名が何も書いていないSMSが届いたら無視する

――また、フィッシングサイトの見分け方があれば教えてください。

現代のフィッシングサイトは非常に巧妙に作られているため、「フィッシングサイトを見分けることはできない」という前提で行動することが重要です。先ほどお話したように、ブックマークや公式アプリを通じて公式サイトを訪れることで、フィッシングサイトへのアクセスリスクを減らすことができます。

以下は、ヤフーのフィッシングサイトの一例です。

Yahoo! JAPANのログイン画面。IDとパスワード入力欄がある。

このような偽サイトを見ると、見た目が本物と非常に似ているため、「どうやって見分けたらいいのか」と思うかもしれませんが、これは少し危険な思考です。自社の全ドメインを把握している社員はほとんどいないと思います。その会社の社員ですらドメインを完全に把握していない状況で、ユーザーがその会社のURLを見分けることはほぼ不可能だと言えます。
フィッシングサイトを見分けようとはせず、ブックマークや公式アプリを通じて目的のサービスにアクセスしてください。フィッシングサイトを見分けることは難しいという事実を理解し、「見分けることはあきらめる」ことを強く推奨します。

フィッシングサイトを見分けることはできない

  • フィッシングサイトを見分けようとはしないこと
  • ブックマークや公式アプリから目的のサービスを訪れることでリスクを減らせる
メガネをかけた男性が、室内で真剣な表情をしている。

少しでもリスクが低い行動を取ることを心がけてほしい

――最後に、フィッシング詐欺について他にも知っておいた方がいいことがあれば教えてください。

フィッシング詐欺は、完全になくなることのない犯罪だと言えます。いわゆる「オレオレ詐欺」については、認知度が上がっていますが、フィッシング詐欺についてはまだまだ認知度が低いため、「知らなかったから引っかかってしまった」という方も多いのです。フィッシング詐欺についての知識を持っている人を増やすことで、被害にあう人を少しでも減らすことが目標です。

また、近年フィッシング詐欺の被害者として増えているのは、IT機器に不慣れな高齢者だけでなく、高校生から20代の若者です。子どもたちは小学校低学年から「知らない人について行かない」と教えられます。子どものスマホの使用が一般的になり、中学生くらいからは本格的に使い始めるため、「知らない人についていかない」と同様にフィッシングサイトの被害に遭わないための知識も必要となっていくと考えています。

フィッシング詐欺の被害を少しでも防ぐために、これまでお話したことを心がけてください。常に「この行動はリスクが高いか低いか」考え、少しでもリスクが低い行動を取ることを心がけていただければと思います。

関連リンク

※ヤフー株式会社のコーポレートブログに掲載した記事を一部修正し再掲載しています。

「LINEヤフー ストーリー」のロゴ
LINEヤフーストーリーについて
みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、WOWや!を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。
一覧に戻る
Page top