2019/06/13

フィッシング詐欺は見破れる? 事例や手口、対策や偽サイトの見分け方を解説

スマホ全盛の時代にインターネットを使った思わぬトラブルにあわないよう、話題になっているネット詐欺の手口や事例を解説し、セキュリティに関する素朴な疑問に答える本連載。今回は「フィッシング詐欺」のお話。

近年、急増中のフィッシング詐欺

フィッシング詐欺とは、有名企業や公的機関などになりすましてメールやメッセージを送信して、偽のサイトに誘導することで、アカウントのIDやパスワード、クレジットカードなどの重要情報を盗む犯罪行為のこと。

最近では本物のメールとほとんど見分けがつかないほど巧妙化しており、その件数も増えているという。

では、騙されないためにはどうすればいいのか?

フィッシング詐欺の最新の手口や対策について、KDDIで不正利用対策を専門に行っているUX・品質統括部の新井 契(ひさし)に話を聞いてみた。新井は、auのお客様が安心してサービスを利用できるようにセキュリティ対策を推進している、いわばネットセキュリティのスペシャリスト。ちなみに新井は社内では「セキュリティ先生」と呼ばれている。

KDDI 新規ビジネス推進本部 UX・品質統括部 セキュリティ・設備品質グループの新井 契 KDDI 新規ビジネス推進本部 UX・品質統括部 セキュリティ・設備品質グループの新井 契

2018年3月からフィッシング詐欺が急増

――最近のフィッシング詐欺ってどんどん巧妙化してますよね。ちょっと前までこの手のメールって文面がちょっと変だったり、デザインが違ったり、おかしな“におい”がしてたものですけど、いまは本物と見比べても見分けがつかないくらいです。

新井「「実は、フィッシング詐欺の報告件数は2018年3月から一気に増えています。本物そっくりの偽サイトに誘導し、アカウントの情報を入力させて情報を騙し取るために、多くのメールがばらまかれるようになって増えたようです」」

2017年4月〜2019年3月までのフィッシング詐欺の報告件数 2017年5月〜2019年3月までのフィッシング詐欺の報告件数 ※グラフは「フィッシング対策協議会」による報告状況をもとに編集部が作成

――たしかに2018年の3月からフィッシング詐欺の報告件数が一気に跳ね上がってますね。悪用されたブランド数もゆるやかに右肩上がりです。

新井「「フィッシング詐欺は有名なブランドやサービスを偽るケースが多いですね。最近の例ではゆうちょ銀行があります。ゆうちょ銀行のふりをしてメールを送信してフィッシング詐欺のサイトに誘導。そのサイトでお客さま番号やログインパスワードなどを入力させて、情報を盗み出すという手口です。ほかにもAmazonやAppleを偽ったものも多いですね」」

――そういえば、自分のところには毎日のようにAmazonからアカウントについてのメールが届きます。怪しいからスルーしてたんですが、これってやっぱりフィッシング詐欺なんですよね?

実際に届いたAmazonのフィッシング詐欺メール 実際に届いたAmazonのフィッシング詐欺メール

新井「「その可能性が濃厚ですね。サイトに誘導していますが、絶対に開いてはいけません。もしも開いてしまって、仮にアカウントを入力するページが表示されたとしても、IDやパスワードを入力しちゃダメです」」

――アカウントの情報を入力したらどうなります?

新井「「アカウントを不正利用される可能性が高いです。Amazonの場合、個人情報を見られるだけでなく、知らないうちにネットショッピングに使われる危険性があります」」

――毎日のように送られてくるメールが、そんなにおっかないヤツだったとは……これからも絶対にサイトを開かないようにします。

そっくりのフィッシングサイト、どっちが本物?

――ちなみに、auを偽ったフィッシング詐欺もありますよね。

新井「「残念ながらあるんです。auを装ってメッセージを送り、au IDの情報を盗み取ろうとするフィッシング詐欺の存在が確認されています。こちらが実際に、SMS(ショートメッセージサービス)に送られてきた画像です」」

auを装ったフィッシング詐欺のメッセージ auを装ったフィッシング詐欺のメッセージ

――これは、不正なログインの可能性があるから、それを確認するためにサイトを検証してほしいという内容ですね。うっかりサイトを開いてしまいそう……。

新井「「URLをクリックすると、au IDのログイン画面が表示されます。ここで、パスワードや暗証番号を入力させようとするんです。
ちょっとテストをしてみましょう。2つのログイン画面、どちらが本物かわかりますか?」」

 au IDのログイン画面の本物と偽物? au IDのログイン画面、どちらかが本物だ

――えーと……どっちも本物に見えます。

新井「「今のフィッシングサイトは画面をコピーして、そっくり同じものをつくっています。見分ける方法はサイトアドレスくらいしかないんです」」

――う〜ん、でも両方のアドレスにauが入っていて、どっちもそれっぽい……。自信はないけど、左のconnectのほうが偽物です! myau-netのほうが本物っぽい。

新井「「ハズれ。実は左が本物で、右が偽サイトです。[myau-net.com]というアドレスは偽物で[connect.auone.jp]が本物なんですよ」」

――むむ。この手のメールが届いたらどういったところに注意すればいいでしょう。

新井「「まずはメールのサイトアドレスは安易にクリックしないこと。偽サイトに誘導するメールにはいくつかパターンがありますが、新商品や新サービスが発表されたあとに便乗してキャンペーンのふりをして送られてくるケースがあります。たとえば、『ログインするだけで5,000円プレゼント!』といった、一見おいしい話を信じないようにしてください」」

――なんか怪しいけど、詐欺メールという確信が持てない場合もあります。

新井「「いまはサイトに誘導する文章もコピーしてつくるから、本物とほぼ同じなので、怪しいキャンペーン告知のメールやメッセージが届いたときは、公式サイトを見て本当にキャンペーンが存在するかを確認しましょう。

もしくは、メールの文章をコピーして検索すれば、すでに誰かが『これは詐欺の手口だ』と注意喚起しているケースもあるのでチェックしてみてください。それでも確信が持てない場合は、すべて無視するのがいちばんの回避方法です」

2段階認証でフィッシング詐欺を防ぐ

――フィッシング詐欺にひっかからないためには、スルースキルが重要なんですね。もしも詐欺サイトでうっかりIDやパスワードを入力しちゃった場合はどうすればいいんでしょう?

新井「「そういったとき、不正アクセスを防いでくれるのが2段階認証です。2段階認証はIDやパスワードに加えて、別の方法で本人確認を行うことで、不正アクセスを防止するシステムです。

たとえば、偽サイトでau IDやパスワードを入力してしまったとします。情報を得た悪意のある第三者は、あとであなたのIDやパスワードを使ってログインしようとします。その際に2段階認証のメールがあなたのスマホに届くはずです。ここでログインの許可を出すと、あなたのアカウントがのっとられてしまいます

au IDの2段階認証画面 au IDの2段階認証画面

もしもログインした覚えがないのに、2段階認証のメールが送られてきたら、絶対に『上記の端末でログインする』のボタンを押してはいけません。『ログインしない』ボタンを押してください。そのあとパスワードを忘れずに変えましょう。詳しい手順などが知りたい方はこちらをチェックしてください」

――2段階認証の知らせがくることで、不正アクセスを水際で防ぐことができるんですね。

新井「「そうです。auのスマホは、はじめから2段階認証が設定されています。SNSなども2段階認証が用意されているものがありますが、自分で設定しないと使えないものもあるので、必ず設定しておきましょう。

最後に、フィッシング詐欺に騙されないための5か条をまとめました。auの公式サイトにもフィッシング詐欺の手口や対策を紹介しているので、一度チェックしてみてください 」」

――わかりました、ありがとうございます。これからは怪しいメールがきても、迷わずスルーします!

セキュリティ先生のフィッシング詐欺に騙されないための5か条

1. 不審なSMSやメールが届いても、絶対にサイトのリンクは開かない。
2. 疑わしいサイトやメールはアドレスを確認。さらに公式サイトと比べる、タイトルなどを検索して詐欺メール情報を確認。
3. リンク先のサイトが疑わしい場合は絶対にIDやパスワードを入力しない。
4. ログインした覚えがないのに、2段階認証のメールが送られてきたら、絶対にログイン許可をしない。
5. SNSなどのサービスでも2段階認証の設定をする。

文:TIME & SPACE編集部

※掲載されたKDDIの商品・サービスに関する情報は、掲載日現在のものです。商品・サービスの料金、サービスの内容・仕様などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。