今さら聞けない「フィッシング詐欺」の手口と注意すべきポイント

メールセキュリティ

2017年12月18日 2023年05月01日

未だにネット犯罪として多いフィッシング詐欺。古くからアメリカを中心に流行しているこのフィッシング詐欺ですが、日本でも同種の犯罪が減ることはなく、有名企業を装ってメールを送信し、該当のURLにアクセスした人から口座番号、パスワード、クレジットカード番号などの個人情報を抜き取る被害は後を絶ちません。今さら聞けないフィッシング詐欺の手口や注意すべきポイントをご紹介します。

目次

  1. 気を付けないと騙されるフィッシング詐欺の脅威
  2. 様々な方法で狙ってくる詐欺の手口
  3. ユーザが注意すべきポイント
  4. 管理・運営側でできる防衛策
  5. まとめ

気を付けないと騙されるフィッシング詐欺の脅威

フィッシング(phishing)詐欺は、古典的でありつつも、多くの人を騙してきた詐欺の手法です。魚釣りである「fishing」と、洗練という「sophisticated」から作られた造語になります。
送信者を偽装して、もっともらしい文面や緊急を装うメールで受け取った人がURLをクリックしかねないような方法を使ってきます。接続先の偽ホームページも、本物とほとんど区別がつかないように偽装されており、一見フィッシング詐欺だとわからないようになっています。

Amazon をかたるフィッシング

Amazon をかたるフィッシング』(「フィッシング対策協議会」より 2017年9月22日)

こうした情報は、フィッシング対策協議会で最新の手口が発信されており、弊社でもSNSで通知しています。

不審なメールは開かないようにするしか対応がないのですが、よく見るとリンクも偽装してあるなど、本物の緊急メールと区別がつきにくく、簡単に騙されてしまいます。また、パソコンのみならずスマートフォンの普及からフィッシングサイトに誘導されてしまう事案が増えています。

様々な方法で狙ってくる詐欺の手口

フィッシング詐欺の手口としては、以下のようなものがあります。

電子メールを使ったフィッシング詐欺

クレジットカード会社や銀行を装ったメールを送信し、言葉巧みにリンクをクリックさせ、あらかじめ用意した本物そっくりの偽のホームページに誘導します。そこでクレジットカードや銀行のID・パスワード、口座番号などを入力させ、盗み取る方法です。

掲示板などからフィッシングサイトに誘導

掲示板やSNSなどにフィッシングサイトのURLを掲載し、アクセスを狙うものです。

本物のURLに似せて、アクセスさせる手口

アルファベットのO(オー)を数字の0に変えるなど、一見して見間違えるようなサイトのURLを表示し、間違ってアクセスして来た人に情報を入力させ、クレジットカード番号、ID・パスワード、銀行口座番号などを盗み取る手口です。

ユーザが注意すべきポイント

フィッシング詐欺かを見破る注意すべき確認ポイントをまとめます。

送信先アドレスが本物か

送信先のメールアドレスが本物かどうか確認する必要があります。送信者名は偽装できても送信者のアドレスまではごまかせず、よく見てみると<@yahoo.co.tw>など本物のメールアドレスと似たような送信先になっています。また、信頼できる人からのメッセージかどうかも確認してください。相手が乗っ取られている場合もあります。

個人情報や口座番号などを求める内容が含まれていないか

メールの内容に、個人情報やID・パスワード、銀行口座などの入力を求めてくるメールは注意が必要です。リンクが貼ってあり、そのリンク先への入力を促すものは本物かどうかをチェックしましょう。特にHTMLメールの場合は、実際のリンク先と表示上のリンク先を変更できるので、リンクした先のページへの注意が必要です。ウェブサイトに限らず、情報入力用のポップアップウィンドウでも、十分にフィッシング詐欺を行うことができるため、ID・パスワードの入力を求められる場合は詐欺の可能性に注意してください。

証明書情報とサイトが一致しているか

SSLサーバ証明書が導入されているウェブサイトの場合はURLをチェックすることで、偽装サイトにアクセスしていないか確認することができます。SSL通信ではURLのはじまりが、httpsになっており、鍵のマークがアドレスバーに表示され、証明書内の組織名が本当に自分のアクセスしたいウェブサイトの運営会社のものであるかを確認できます。
ブラウザでSSLを確認する方法

管理・運営側でできる防衛策

防衛策として、ウェブサイトをお持ちであれば、確認ポイントでもご紹介したようにSSLサーバ証明書を入れることで、アクセスしたユーザも正式なサイトかの判断ができます。その場合、SSLサーバ証明書の中でも、企業の実在性を認証局が審査し発行される企業実在認証SSLや、世界最高基準の認証で緑のアドレスバーと運営組織名が表示されるEV SSLは、よりユーザに安心感を与えることができます。さらに認証局のSSLサーバ証明書を導入すると、SSL導入サイトの証として「シール」が配布されます。サイトにシールをつけておくことで、利用者が運営者情報と認証項目の確認もより簡易的になります。

サイトシール

電子メールに電子証明書を付与また電子メールを使ったフィッシング詐欺を防ぐためには、S/MIME用証明書を付与することで、本人が送信したメールだと証明することができます。そのため受信者側はフィッシングではないと信頼してメールを受信することができます。

まとめ

フィッシング詐欺の手口は、年々巧妙になっており、新たな手口で狙われる危険性もあります。ちょっとしたことから大規模な情報流出も起こりかねないので、適切な情報保護を施し安全と自社の資産を守りましょう。それは企業が果たすべき責任のひとつでもあるのです。

関連リンク

フィッシング対策協議会

関連する記事

対策はお客様だけの責任ではない!メール送信者側が企業責任としてフィッシング詐欺対策を進めるための具体的方法とは(2016.7.21)
「SSLサーバ証明書を導入して信頼性の高いサイトを構築しよう(2017.1.19)

トピック関連記事

#

2019年11月26日

情報セキュリティの課題を解決する公開鍵暗号方式

クライアントセキュリティ
メールセキュリティ
IoTセキュリティ

#

2022年02月28日

有効期間3年のS/MIME用証明書提供に関するApple社の方針転換について

メールセキュリティ
業界動向

#

2016年06月23日

あなたの会社がピンポイントで狙われている!標的型攻撃の脅威

メールセキュリティ
脆弱性/マルウェア

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。