フィッシングサイトとは?見分け方や事例、対策について解説
メール等を使って巧妙に偽サイトに誘導し、個人情報の詐取を狙うフィッシング詐欺。今回は、フィッシング詐欺に使用されるフィッシングサイトについて説明するとともに、フィッシングサイトの見分け方や対策、万一被害を受けた場合の対応について説明します。
この記事で紹介している
サービスはこちら
- 目次
フィッシングサイトとは?
「フィッシングサイト」は、実在の宅配業者や金融機関、ショッピングサイトなどを装った偽のサイトで、アカウント・IDやパスワード、クレジットカード番号などの個人情報を入力させ騙し取るために設けられます。実際のロゴを使用していたり、真正のWebページとまったく同じデザインを盗用していたりするため、一見しただけでは本物と見間違ってしまう可能性があり、個人情報を入力する際には十分に注意する必要があります。
フィッシング詐欺の手口
フィッシングサイトを利用して個人情報を不正に取得する行為を「フィッシング詐欺」と呼びます。フィッシング詐欺では、巧妙な手段を用いてユーザーを偽サイトへと誘導します。具体的な手口を見てみましょう。
メール
メール本文にフィッシングサイトのURLを記載し、クリックを促す手口です。送信元を偽装したり、もっともらしい件名や本文を使用したりする場合もあります。
SNS
TwitterやFacebook、LINEなどのSNSや掲示板にURLを記載して偽サイトへの誘導を図る手口です。多くの場合、魅力的な煽り文句とともに記載されますが、安易にクリックしないことが無難です。
SMS
近年増加しているのがSMSを使用した手口です。SMSを利用したフィッシング詐欺を特に「スミッシング(Smishing)」と呼びます。
フィッシングサイトの被害に遭うとどうなるか?
フィッシングサイトは、個人情報の窃取を目的としたサイトのため、該当のURLをクリックしただけで被害に遭うことはありません。この点では、ランサムウェアをはじめとするマルウェア感染を狙うサイトに比べれば、クリックしてしまった場合の危険性は低いと言えるでしょう。
ただし、誘導された先の偽サイトで実際に個人情報を入力してしまうと、次のような被害に遭う可能性があります。
金銭的被害
銀行などの金融機関およびクレジットカード会社を装うフィッシングサイトにクレジットカード番号や暗証番号を入力してしまうと、クレジットカードやネットバンキングの不正利用により金銭的被害を受ける危険性があります。
アカウントの不正利用・乗っ取り
WebサービスやSNSを装うフィッシングサイトにユーザーIDおよびパスワードを入力してしまうと、アカウントの不正利用や乗っ取りを受ける可能性があります。勝手にパスワードを変更され、本人が使用できなくなってしまうなどの事態も起こり得ます。
個人情報の流出
宅配業者の不在連絡や懸賞応募を装うフィッシングサイトに氏名、住所、電話番号などを入力してしまうと、個人情報が第三者に流出してしまいます。さらに流出した個人情報が売買され、新たな被害に遭う危険性もあります。
フィッシングサイトによる被害事例
フィッシングに関する情報収集・提供、注意喚起等の活動を行っている「フィッシング対策協議会」では、毎年「利用者向けフィッシング詐欺対策ガイドライン」を公開しています。ここでは、2020年度版の巻末に付録として収録されている被害事例についていくつか紹介します。
クレジットカードを騙るフィッシングサイト
「第三者によるアクセスを確認した」旨の偽メールで危機感を煽り、会員専用ページへと誘導。IDの再登録のために必要だと偽り、クレジットカード番号やカード裏面のセキュリティコードの入力を求めるフィッシングサイトが出現しました。
オンラインゲームを騙るフィッシングサイト
「不審なアクセスを検知したためアクセスを制限した」旨のメールで24時間以内のパスワード再認証を求めるフィッシングサイトが出現しました。ゲーム内のアイテムを詐取したり、アカウントを勝手に売買するといった行為を狙ったものと考えられています。
SNSを騙るフィッシングサイト
無料のプレゼントを装うメールでSNSのユーザーIDおよびパスワードの詐取を狙うフィッシングサイトも出現しました。あるユーザーのアカウントが乗っ取られた場合、本人だと思い込んだ友人たちも連鎖的に被害を受け、さらなる個人情報の流出などに繋がる危険性があります。
ショッピングサイトを騙るフィッシングサイト
大手ショッピングサイトの名を騙り、アカウント情報およびクレジットカード情報の詐取を狙うフィッシングサイトです。同対策協議会によると、最大手1社のみで全体の約4分の1を占めているそうです(2021年12月時点)。クレジットカードの不正利用により、金銭的な被害を受ける可能性があります。
フィッシングサイトの見分け方
では、「怪しいな」と感じたときにはどのような手段で確認すれば良いのでしょうか。
URLを確認する
同一のURLが複数存在することはありませんから、まずはURLを確認することが重要です。企業名のスペルが違っていないか、「.co.jp」「.com」などのドメインが正しいかを確認します。その際、「I(アイ)」と「l(エル)」、「O(オー)」と「0(ゼロ)」など、形の似ている文字にも注意しましょう。
送信元を確認する
メールやSMS経由の場合には、送信元も確認しましょう。送信元を偽装するケースもあるため100%安心はできませんが、送信元がこれまで受信したものと異なっていたり、ランダムな文字列だったりする場合にはフィッシングサイトなどへの誘導を狙ったものと考えられます。
メールの題名などでネット検索する
メールの件名や本文のうち特徴的な部分などを使ってネット検索するという手段も有効です。被害報告や注意喚起などの情報が発見できれば、被害を未然に防ぐことができます。件名や本文を見直す過程で不自然な表現に気づくこともあるでしょう。
最近は、楽天やAmazonなど著名なECサイトに偽装したフィッシングメールも増加しているので注意しましょう。
フィッシング詐欺への対策
フィッシング詐欺に合わないため、まずは次のような対策を取ると良いでしょう。
リンクを直接クリックしない
メール本文などに記載されているリンクでは、表示されているURLと実際にアクセスするサイトのURLが異なる場合があります。PCをお使いの場合であれば、リンクを直接クリックせず、リンク上で右クリックして「リンクをコピー」を選択してメモ帳に張り付けるなどの手段で実際のリンク先を確認することができます。
正しいURLにアクセスする
URLの真偽が判断できない場合には、いったん該当企業の正規のトップページにアクセスし、そこからリンクを辿る方法が安全です。ただし、偽サイトの中には正規のトップページへのリンクを貼っているものもありますから、疑わしいページから正規のトップページにアクセスできるからといって正規のサイトとは言えない点に注意が必要です。
フィッシング詐欺対策ソリューションを導入する
ウィルス対策ソフトには、フィッシング詐欺対策機能を持ったものもあります。そうしたソリューションを導入すれば、比較的容易にフィッシングサイト対策を実施することができます。また、メーラーのフィルタリング機能を設定して疑わしいメールをあらかじめ分類する方法もあります。
前述のフィッシング対策協議会のWebページでは、「緊急情報」として報告のあったフィッシングサイトを社名入りで公開しています。定期的にチェックすることで、さらに対策を強化できるでしょう。
フィッシング詐欺への対策として、
NTTPCのセキュアアクセスゲートウェイがおすすめ
「Secure Access Gateway(セキュアアクセスゲートウェイ)」は、中堅・中小企業様向けのネットワークの安全対策として、お勧めのセキュリティサービスです。
DNSセキュリティ(Cisco Umbrella:DNS Security Essentials)機能により、本社オフィスはもちろん、自宅や外出先でも悪意のあるサイトへのアクセスをブロックできるため、リモートワーク中の社員含めフィッシングサイトの脅威から保護することができます。
NTTPCのクラウドWAFを導入し、多層防御でセキュリティを強化
「クラウドWAFセキュリティオペレーションサービス」は、中堅・中小企業様にお勧めのセキュリティ対策サービスです。WAF機能だけでなく、IDS/IPS機能もクラウド上で提供しており、お客さまのWebサイトを多層的に保護します。
これにより、「クロスサイトスクリプティング(XSS)」などの攻撃を受けて自社のWebページが改ざんされ、フィッシングサイトへの踏み台にされるといった被害も防ぐことができます。
フィッシングサイトの被害に遭ってしまったら?
万一、フィッシングサイトで個人情報を入力してしまった場合、どのような対応を取れば良いのでしょうか。前述の「利用者向けフィッシング詐欺対策ガイドライン」から主な対応を紹介します。
まずは被害状況を確認する
ログインID、パスワードなどのログイン情報を入力してしまった場合には、まず正規のサイトに正常にアクセスできるかどうかを確認します。パスワードを勝手に変更されたなど、既にアクセスできない状態になっている場合には、速やかに警察、消費者センターなどの関係機関に通報・相談しましょう。
パスワードを変更する
ログイン情報を入力したもののアクセスが可能な場合には、速やかにパスワードの変更を行いましょう。また、他のサイトでも同じパスワードを利用している場合には、流出したパスワードを利用して他サイトへの侵入を試みる「パスワードリスト攻撃」を受けることがあります。合わせて変更しておきましょう。
必要に応じてサービス利用停止の措置を取る
銀行カード/クレジットカード情報を入力してしまった場合には、速やかに利用停止の措置を取ります。一時的に利用を停止しても将来的な脅威は消えませんから、カードの場合であれば、再発行の手続きを取った方が良いでしょう。
まとめ
今回はフィッシングサイトについて解説するとともに、被害を防ぐための対策や被害を受けた場合の対応などについて紹介しました。
今後フィッシング詐欺に遭わないため、今回の記事を参考に対策を立ててみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
