| 種別 | フィッシング詐欺(なりすましによる情報窃取) |
|---|
| 狙われる情報 | ID・パスワード、クレジットカード番号、銀行口座、認証コードなど |
|---|
| 主な経路 | メール、SMS(ショートメッセージ=スミッシング)、SNSのメッセージ など |
|---|
| 装う相手 | 宅配業者、銀行・クレジットカード会社、携帯キャリア、通販サイト、公的機関 など |
|---|
| 傾向 | 件数は年々増加し、日本でも非常に身近な被害に。個人だけでなく中小企業も標的 |
|---|
1. フィッシング詐欺とは
フィッシング詐欺とは、実在する企業や公的機関になりすましたメール・SMSを送りつけ、本物そっくりの偽サイト(偽のログイン画面)に誘導して、ID・パスワードやクレジットカード情報を入力させて盗む詐欺です。「fishing(魚釣り)」をもじった呼び方で、エサ(それらしいメッセージ)で釣り上げるイメージです。
特に近年は、SMS(ショートメッセージ)を使った「スミッシング」が急増しています。「お荷物のお届けにあがりましたが不在でした」「ご利用料金のお支払いが確認できません」といった、つい反応してしまう内容で偽サイトに誘導します。EmotetやBECと同じく、技術よりも人の心理(不安・焦り・親近感)を突く攻撃です。
2. よくある手口
| 装う相手 | よくある文面の例 | 狙い |
|---|
| 宅配業者 | 「不在のため持ち帰りました。下記より再配達の手続きを」 | 偽アプリの導入・ID窃取 |
| 銀行・カード会社 | 「不正利用を検知しました。本人確認のため確認を」 | 口座・カード情報の窃取 |
| 携帯キャリア | 「料金のお支払いが確認できません。利用停止前にご確認を」 | ID・決済情報の窃取 |
| 通販サイト | 「アカウントに異常な動きが。ロック解除はこちら」 | ログイン情報の窃取 |
| 公的機関 | 「給付金・還付金のお手続きが必要です」 | 個人情報・口座の窃取 |
共通するのは「不安をあおる」「急がせる」こと。「利用停止」「不正利用」「本日中」などの言葉で冷静さを奪い、確認せずにリンクを踏ませようとします。
3. 見分け方
- 身に覚えのない通知:頼んでいない荷物、使っていないサービスからの連絡は疑う。
- リンクの誘導が主目的:「すぐにこちらから手続きを」とリンクを踏ませようとする。
- URLが不自然:本物と微妙に違う、見慣れない文字列、無関係なドメイン。短縮URLにも注意。
- 差出人が偽装されている:表示名は本物でも、アドレスが不自然なことがある(表示名は偽装可能)。
- 過度に急かす・不安をあおる:「利用停止」「法的措置」などで焦らせる。
- 個人情報・認証コードを聞く:正規の事業者は、メールやSMSのリンク先でパスワードやカード情報を求めない。
届いたメール・SMSのリンクは踏まないのが大原則です。確認したいときは、リンクからではなく、公式アプリや、自分でブックマークした正規サイト、カード裏の電話番号からアクセスしてください。
4. 対策
個人・従業員ができる対策
- メール・SMSのリンクから手続きしない:必ず公式アプリ・ブックマーク・正規の番号から確認する。
- 慌てない:「至急」「利用停止」で焦らせるのは詐欺の常套手段。一度立ち止まる。
- 多要素認証(MFA)を設定する:万一パスワードを盗まれても、不正ログインを防ぎやすくなる。
- パスワードを使い回さない:1つ盗まれても被害を他に広げない。
- OS・ブラウザ・セキュリティソフトを最新に保つ:偽サイトの警告機能なども働きやすくなる。
- 少しでも怪しければ確認・相談する:家族・職場・公式窓口・フィッシング対策協議会などに確認する。
事業者(送る側として疑われない工夫)
- 顧客にメールで重要手続きを求めるなら方針を明確に:「当社はメールのリンクでパスワードを尋ねません」と周知する。
- 自社ドメインのなりすまし対策をする:メール送信の認証技術(SPF・DKIM・DMARCなど)を整え、なりすましメールを送られにくくする。
- 従業員教育を行う:フィッシングは会社の認証情報窃取にもつながる。社内でも注意喚起する。
5. まとめ
フィッシング詐欺は、特定の事件というより「誰のもとにも日常的に届く」最も身近な脅威です。手口は巧妙化していますが、守り方はシンプルです——届いたリンクは踏まず、公式アプリ・ブックマーク・正規の番号から確認する。そして多要素認証とパスワードの使い分けで、万一に備えましょう。
※本記事は公的機関の注意喚起など一般に公開された情報をもとに、教育・啓発を目的として作成した手口解説です。最新の手口・対策は、フィッシング対策協議会やIPA等の公式情報をご確認ください。