フィッシング詐欺とは？サイトの見分け方と対策を徹底解説

中には見分けるのが困難なフィッシング詐欺も存在しますが、フィッシング詐欺の傾向や、見分け方、詐欺の対策を知っていると被害を未然に防ぐことができます。この記事ではその方法を解説します。

フィッシング詐欺とは、偽のメッセージやウェブサイト、ソーシャル・エンジニアリングを利用して、個人や企業から情報やお金を盗み出す詐欺の手法です。人々の習慣や感情に依存してターゲットの判断を鈍らせます。

フィッシング詐欺は2005年頃に生まれ、現在もサイバー攻撃の中で最も普及している手法のひとつです。現在に至るまで様々な手口を駆使しており、簡単に見分けることが難しいものも中には存在します。最近では、Amazonをかたるフィッシングメールが増加しています。

攻撃者がターゲットからお金を盗むためのフィッシング詐欺は、人を騙して銀行振り込みをさせるのと同じくらい単純な手口です。

また、情報を盗むタイプの詐欺は、攻撃者がマルウェアを使って個人や企業に関する多くの情報を入手するという手口を用います。電子メールを用いたフィッシング詐欺が、最もポピュラーな形態です。

特定の個人を狙うフィッシング攻撃のことは「スピアフィッシング」と呼ばれています。フィッシングメールを送信する前に、サイバー犯罪者はターゲットを調査します。 ターゲットの公開アカウントから情報を収集したり、ハッカーがターゲットの働く会社を見つけ出したりして、ターゲットに関する情報を入手します。

これらの情報があれば、サイバー犯罪者は、ターゲットの同僚や友達など信頼できる人物のふりをすることができます。

スピアフィッシングでよく使われる手口は、ビジネスメールでの詐欺です。サイバー犯罪者が、権力のある上級社員を装い、電信送金や、振込口座の変更、源泉徴収情報などを依頼します。

ホエーリングとはスピアフィッシングの一種で、攻撃者が企業の役職者になりすまして、トップレベルの幹部や企業のデータ、財務の責任者たちを狙う手口を意味します。

他のフィッシング詐欺に比べてなりすましの難易度が高いため、サイバー犯罪者はターゲットの調査にかなり多くの時間を割きます。大物の標的をだますのは難しいですが、非常に大きいリターンが得られることもあります。

さらに、社内で大きな権限を持っている人が、業務関連の連絡に個人用のメールアドレスを使っている場合もあり、会社のメールに比べるとセキュリティ対策が甘いこともあります。

クローンフィッシングは、不特定多数に宛てたメールを用いたフィッシング詐欺のこと。この種のフィッシング攻撃を機能させるために、攻撃者はターゲットの受信トレイを注意深く監視しています。さらに、攻撃者はターゲットが最近受信したメールを基にクローンを作成します。内容のほとんどはそのままで、添付ファイルにマルウェアが含まれていたり、URL先がフィッシング詐欺用のウェブサイトにリダイレクトされていたりすることが多いです。

このメールにはオリジナルをやや変えた情報が含まれていて、送信者のメールアドレスが詐称されていたり、オリジナルと酷似した新しいアドレスが作成されていたりします。

スミッシングはSMSを利用したフィッシング詐欺で、ビッシングは電話を利用した手口です。

スミッシングは、SNSなどのアカウントに成りすまし、SMSでメッセージを送信します。メッセージの中には、正規サイトに良く似せて作られたフィッシングサイトや、不正なスマホアプリをダウンロードさせるページなどに誘導させるURLが挿入されています。

ビッシングは、電話を使ってクレジットカード会社や銀行などの関係者を名乗り、ターゲットにクレジットカードの番号や口座情報、パスワード、生年月日などの情報を巧みに聞き出して、カードを不正使用します。ビッシングの危険性として、電話上でのやり取りだけで詐欺だと見破るのは非常に困難であることが挙げられます。

多くの場合、利用者はフィッシングメールによりフィッシングサイトへ誘導されますが、以下に気をつけるべきポイントやフィッシングサイトの見分け方をまとめました。

フィッシング詐欺では、ターゲットに「損をするかもしれない」という恐怖心を植え付けます。

短い期間しか設けられていないうまい取引を提示して、そのやり取りが正規のものであるかどうかを確認する前にメールやSMSにあるリンクをクリックさせるように誘導しているケースがあります。

「誰かがあなたのアカウントにログインしようとした」「パスワードが変更された」「不審な行為のためにあなたのアカウントはすぐに削除される」など、恐怖を煽るメッセージが含まれているとフィッシング詐欺の可能性が高いです。

しかし、これらのメッセージは珍しくはないので、多くの人は深く考えずにリンクをクリックしてしまうでしょう。

企業がニュースレターやアラートメールを送る際に、ファイルを添付することはほとんどありません。

怪しいファイルが添付されている場合は、ダウンロードしたり開いたりしないようにしましょう。

今までパスワード変更の警告メールを送ってきたことがなかったり、あまりにも話がうますぎると思われる特別な割引メールを送ってきたりする場合は、本当の相手からの連絡ではない可能性が高いでしょう。

文法が間違っていたり、文章全体に変なフォントが使われていたり、ロゴがぼやけていたり、ロゴが全くなかったり、大文字が不規則に使われていたりしていませんか？

これらの特徴があるメールは、フィッシング詐欺が絡んでいる可能性が高いです。

受信したメールにURLアドレスが挿入されていて、リンクを開こうとしている場合は事前に注意深くURLを確認しましょう。

企業名やサービス名のつづりが微妙に異なっていたり、余計な文字列が含まれていたりする場合は、フィッシング詐欺用の偽サイトである可能性が高いです。

通常、クレジットカード情報やパスワードなど機密性の高い情報を入力するサイトは、情報を暗号化するSSL通信を導入しています。気密性の高い情報を入力するサイトで、SSL通信を導入していないものは、むやみやたらに信用しない方がいいでしょう。

ブラウザーのアドレスバーに表示されるURLが「http://」ではなく「https://」で始まっていたり、アドレスバーに鍵のマークが表示されていたりするサイトは、SSL通信を導入しているサインなので、しっかり確認しましょう。

ただし、偽サイトでも「https://」で始まるものも中には存在するため、サイトで機密情報を入力する際は、細心の注意を払うべきです。

上記で紹介した恐怖を煽るようなメッセージが含まれているメールが届いた場合、メール内に記載されているURLを直接クリックするのは避けましょう。

ブックマークからアクセスするか、直接URLを入力してアクセスするのが得策です。

カフェやホテル、空港などで提供されている公衆無料Wi-Fiの中に、偽のアクセスポイントが紛れ込んでいることがあります。

偽のアクセスポイントに繋いでしまうと、個人情報がいとも簡単に盗まれてしまいます。身元不明のアクセスポイントである無料Wi-Fiを使ってウェブサイトにアクセスしたり、個人情報を入力したりするのは絶対に避けましょう。

Google Chromeにはフィッシング検出機能が備わっていて、フィッシング詐欺の要素があるサイトに接続しようとすると「偽のサイトにアクセスしようとしています」という警告が表示されます。

この警告画面が表示されるサイトではフィッシング詐欺やサイト改ざんによる危険性があるため、十分に注意しましょう。

ある特定の地域では、公衆Wi-Fiの使用を避けることは難しいかもしれません。どうしても公衆Wi-Fiに接続する必要がある場合は、事前にVPNアプリをお使いのスマホやパソコンにダウンロードしておきましょう。

VPNを導入することで、第三者からの盗み見や不正サイトへの誘導などの危険から守ることができます。

VPNとは、バーチャル・プライベート・ネットワークの略で、インターネット上の拠点間に仮想の専用サーバーを設けて安全なネットワークを実現する仕組みのこと。

駅や空港、カフェ、バスなどで提供されている無料のWi-Fiを安全に利用するために使える手段です。

公衆Wi-Fiにお使いの端末を接続している時にVPNを使えば、あなたの端末とVPNサーバー間の通信を暗号化し、第三者による通信内容やデータの盗み見などを防ぐことができます。

私たちが提供するNordVPNは、最大6台のデバイスを同時に保護します。Windows、macOS、Linux、Android、iOSと互換性があるので、お使いのほとんどデバイスに導入することができます。

今回は、フィッシング詐欺の様々な手口と、その見分け方、詐欺の対策方法について解説しました。

今まで主流だったフィッシング詐欺の手口に加え、新型コロナウイルス感染症（COVID-19）の拡大に伴い、テレワークを導入する企業が増えたことにより、在宅ワーカーを標的にしたサイバー攻撃も増えていると言われます。

インターネットを利用する機会が増えた今だからこそ、上記で紹介したフィッシング詐欺を未然に防ぐための対策をすることを心がけましょう。