フィッシング詐欺被害が過去最悪に!騙されないための傾向と対策3選

このエントリーをはてなブックマークに追加
投稿日時 2018年09月11日 14時54分
更新日時 2018年09月11日 14時54分

この記事は以下の人に向けて書いています。

  • 最近フィッシング詐欺メールを見て、対策を知りたい人

  • インターネットサイト閲覧中に、怪しいポップアップが出てきたことがある人

  • 怪しげなURLをクリックしてしまったことがあり、心配な人

はじめに

ネットサーフィン中に見覚えのないポップアップで個人情報入力を促されたり、金融機関をかたった宛先からURL付きのメールが来たりしたことはありませんか?

金融機関や企業をよそおって個人情報をだまし取る、いわゆる「フィッシング詐欺」が増加しています。

ネットセキュリティー大手のトレンドマイクロが発表した2018年1〜6月の情報セキュリティー調査によると、日本国内の「フィッシング詐欺」によって詐欺サイトへと誘導されたインターネットユーザーの数が、前期比2.7倍と過去最高のペースになっています。

自分や身の回りの人が引っかかってしまわないよう、この記事ではフィッシング詐欺の傾向と具体的な対策についてみていきます。


1.フィッシング詐欺手口のトレンド4つとその対策



フィッシング詐欺の手口のトレンドは、おおまかに下記の4つに分類できます。

①不正アプリのダウンロード
②法人や教育機関をターゲットにしたビジネスメール詐欺
③仮想通貨の不正マイニング
④Googleを装ったフィッシング詐欺


それぞれの項目について、順番に説明していきます。

①ルーター侵害、またはSMSを通じた不正アプリのダウンロード

主にアンドロイド向けの不正アプリをダウンロードさせる手口で、2018年から特に急増しているようです。 実在する大手企業の名前をかたっており、騙されやすいのが特徴です。

トレンドマイクロの報告によると、例えば宅配便サービスの不在通知を装ったりして偽サイトのURLを表示、アプリをダウンロードさせる仕組みがあります。URLが短縮であるため、偽装が見抜かれにくいという点もあり、注意が必要です。

このほか、家庭でインターネットを接続する際に必要なホームルーターに侵入して設定を書き換え、正しいサイトのURLを入力しても偽サイトに誘導する仕組みを使い、不正アプリをインストールさせるパターンもあります。

こうしたケースでは、FaceBookやChromeのバージョンアップを促すようなメッセージを偽装して被害者を誘導しており、ダウンロードされるアプリは情報を不正取得するためのものだったとのことです。

②法人(特に教育機関)をターゲットにしたビジネスメール詐欺

大学関係者宛に大量のフィッシングメールを送りつけ、IDやパスワードを盗み取る事案が発生しています。2018年7月時点では、大学6校がターゲットとなり1万人以上の個人情報が流出した例がありました。

いずれもメールに偽サイトへ誘導するURLを入れ、パスワードを盗み取る仕組みでした。

また、大学で使用されているメールアドレス(info@大学名.ac.jpのような)からメールを送信したように見せかけ、個人情報取得の偽サイトへ誘導していたものもあります。

このようなケースを受け、各大学では以下のような注意喚起が行われています。

  • 発信者が大学でも信頼できるとは限らないことに注意
  • 日本語がおかしいメールに注意する
  • 大手インターネットサイトと微妙に異なるURLはクリックしない
  • 情報入力画面のURLが「https://」から始まるかどうかを確認

このターゲットは教育機関でしたが、企業や個人に対しても今後十分に起こりうる手口だと言えるでしょう。

③仮想通貨の不正マイニング

PCの計算能力を利用して仮想通貨を手に入れることをマイニングと呼びます。

このマイニングで仮想通貨を得るためには膨大な計算能力が必要。これを補うために、他人のパソコンやスマートフォンを不正利用するというパターンです。本人の意図しないところで、被害者が使用しているパソコンなど端末のリソースが勝手に利用されてしまう被害があります。

利用者には突然端末の動きが重たくなったり、動かなくなったりと挙動が不安定になるといった被害が発生します。マイニング自体は違法ではありませんが、「他人の端末を勝手に使う」ことが問題となっています。

こうした被害は、ウイルスを仕込まれたサイトやスマートフォンのアプリなどから発生します。主なものは以下の通りです。

  • ヒドゥンマイナー
    →アンドロイド端末向けアプリ。仮想通貨「Monero(XMR)」をマイニングする

  • コインマイナー
    →Web広告を改ざんするツール

  • コインハイブ
    →サイトを閲覧しただけで仮想通貨「Monero」をマイニングする

これらはセキュリティー対策ソフトを使ってウイルスを検知したり、ブラウザの拡張機能(アドオン)やスマートフォンに対策アプリをインストールしたりするなどの防衛手段があります。

④Googleを装ったフィッシング詐欺

いくつかのサイトにアクセスした時、Googleのロゴマークとともに「おめでとうございます!」などと景品の当選をうたうポップアップ広告が出現するケースが相次いでいます。

これらはGoogleとは全く関係がないフィッシング詐欺で、Googleに関するクイズなどに答えると画面が進み、クレジットカード情報など個人情報を入力させる手口になっています。入力時に「早く入力しないと他人に権利が移る」などとカウントダウンをかけて焦らせたりと、心理的な面でもプレッシャーをかけ、情報を取得しようとしてきます。


2.どんな情報が狙われる?被害の傾向トップ3



冒頭で紹介したトレンドマイクロのレポートでは、特に不正取得被害の多かった情報として下記の3項目をあげています。特に3番目の「仮想通貨の認証情報」については、2017年末に被害が確認されてから拡大を続けています。

  • クレジットカード情報(全体の74.1%)
  • 複数のサービスで利用可能なクラウドサービスアカウント(同55.6%)
  • 仮想通貨関連サービスの認証情報(同18.5%)

これらの情報を不正取得された場合、それぞれどのような被害をもたらすか、相手側の狙いについてみてみましょう。

①クレジットカード情報

カードの不正利用による、身に覚えのない高額請求などが来ることになります。

②クラウドサービスアカウント

GoogleアカウントやApple IDなど多くのクラウドサービスのアカウントは、ひとつのIDとパスワードで、Eメールをはじめ、文書や写真の管理、アプリの購入、個人情報の管理といった複数のサービスを利用することが可能です。

つまり、アカウントひとつのパスワードを知られるだけで、たとえば以下のような脅威が存在することになります。

  • メールアドレスをの不正利用
  • アップロード済みの写真などのプライバシーを不正利用
  • 見られたくない写真を「公開する」と脅し、金銭を要求する

また、保管している文書の中に別のインターネットサービスのアカウント情報やパスワードが含まれている場合

  • ネットバンキングで銀行口座を不正利用されたりする
  • SNSのアカウント情報があれば、被害者になりすましてデマの拡散や既存の人間関係を壊す(周囲の友人や知人も巻き込んでしまう)

といったさらなる被害が想定されます。

③仮想通貨の認証情報

被害者が所有する仮想通貨の管理ツール(クラウドウォレットサービス)の認証情報を盗まれてしまうと、勝手な送金や取引に利用されてしまう恐れがあります。

仮想通貨の取引は匿名性が高く、また銀行やクレジットカードなどの取引と違って、取引を管理する母体がありません。そのため、いちど取引が完了してしまうと不正送金を返金してもらう手段がほぼない、という状況に陥ってしまいます


3.フィッシング詐欺の被害にあったら?事例別・対処法4選



それでは、実際にフィッシング詐欺の被害にあってしまったらどうすればいいのか、段階別に確認していきましょう。

①怪しいメール、サイトを見つけた場合の対処法

「これ、もしかしてフィッシング詐欺かも?」と思った時は下記のサイトにアクセスし、情報を提供してみましょう。あなたの情報が他の人を助ける手立てになるかもしれません。

  • フィッシング対策協議会
    大手インターネットショッピングサイトや金融機関、情報セキュリティ企業ら20団体が、警察庁などの関係省庁をオブザーバーとして発足した組織です。
    フィッシングメールと思われるメールを受け取ったら、サイト内の指定メールアドレスにフィッシングメールの概要を記載の上、報告をすることができます。

  • フィッシング110番(警察庁)
    警察庁のサイバー犯罪相談窓口で、フィッシングサイトとみられるサイトのアドレスや、メールのタイトルなどの情報提供を求めています。

ただし、上記いずれも受け付けているのはあくまでも「情報提供」です。実際に被害に会った場合の窓口とは異なりますので注意をしてください。くわしくは次以降の項目で解説します。

②パスワード等の情報を入力してしまった場合の対処法

ただちにパスワードを変更しましょう。また、もしログインできなくなってしまった場合は、利用しているサービスの管理業者に連絡し、早急にアカウントを停止してもらうよう依頼しましょう。

③なんらかの継続課金サービスなどに登録してしまった場合の対処法


  • サイバー犯罪相談窓口
    上記のリンクから、各都道府県にある警察署のサイバー犯罪窓口を探すことができます。
    メールの控えや、登録したサービスの名前、日時、またどういう経緯で登録されてしまったかなどの情報を控えたうえで連絡するとスムーズです。

  • 消費者ホットライン「188」
    ショッピングなどのトラブルを解決する窓口です。
    平日に全国の消費生活センター829か所のうち、自分の身近にあるセンターを紹介してくれます。電話番号は局番なしの「188」(いやや)。土日祝は国民生活センターが対応しますので、年末年始を除き年中無休で相談が可能です。

  • 越境消費者センター(CCJ)
    事業者が海外企業の場合は、国民生活センターの「越境消費者センター」に相談をしてみましょう。世界各地の消費者保護団体と提携しており、解決の助言をしてくれます。相談はサイトの受付フォームからで、メールで返信されます。電話での受付はしていないので、注意してください。

④カードの不正利用など、金銭的な被害が発生した場合の対処法

  • 早急に信販会社(クレジットカード事業者)や金融機関へ連絡し、カードを止めたり、再発行や暗証番号の変更をしたりするなどの手続きを行いましょう。犯人に利用される前なら事前に止めることができます。

  • 身に覚えのない金額の請求が来た場合も、同様に一刻も早く信販会社へ連絡し、所定の書類などを揃えた上で手続きを行いましょう。不正が認められれば請求が取り消されます。信販会社に連絡すると同時に、上記で紹介した警察署への相談も視野に入れて解決を目指しましょう。
    詳しくは下記のウェブサイトや電話窓口も参考にしてみてください。

    日本クレジット協会 クレジットに関する相談窓口

  • また、カードによっては「ネットショッピング保険」として、不正利用が認められた場合に補償がつくものもあります。カードに付帯する条件を確かめてみましょう。


4.まとめ

  • 最近はカード情報やクラウドサービスのアカウント情報のほか、仮想通貨に関するフィッシングが増えていることに注意

  • メールにある不審なURLや入力フォームはクリックや入力をせず、添付ファイルは開かない。サイト名やメールアドレスが公式と異なるものではないかまず確認を。

  • もしも個人情報を入力してしまったら、早急にパスワード変更やアカウントの停止手続き、金融機関への連絡をする。

  • 日頃からアカウントやパスワードの管理をしておく。ひとつのパスワードを複数のサービスで使い回さない、クラウド上にアカウント情報を保存しない

おわりに

日本国内で急増中と言うフィッシング詐欺。以前から存在する手口が巧妙化しており、うっかり騙されてしまう人は今も少なくないことを数字が示しています。

インターネットサーフィンやメール利用の大前提として、「怪しいURLは開かない、個人情報やクレジットカード番号はむやみに入力しない」のは古典的な防衛手段ですが、今も有効です。


このエントリーをはてなブックマークに追加