2020/09/04

| 更新

2020/09/07

スマホのフィッシング詐欺とは?あなたを守る対策と人間心理をついた手口を解説

年々、サイバー攻撃が巧妙化している。フィッシング詐欺などサイバー攻撃の大半はサービスの脆弱性をついたものではなく、メールやSMSなど一般的なサービスを使い、利用者の心理を巧みについてくるものが多い。そのため、技術的なセキュリティ対策ですべてを防ぐには難しいところがある。騙されないためには利用者がどれだけ注意できるか、サイバー攻撃への理解を高めることが大切だ。

こういったサイバー攻撃は、人間が騙されやすい3つの心理を巧みに利用している。それが「信頼性が高い」「やましい気持ち」「不安」だ。今回は3つのだまされやすい心理をもとに、最新のサイバー攻撃の手口や対策を紹介する。

【目次】

信頼性が高い組織になりすました「フィッシング詐欺」

人間は信頼性の高い人から聞いた情報を信用しやすい。これを「エキスパートエラー」というが、フィッシング詐欺は信頼性の高い組織になりすました詐欺である。有名企業や公的機関など実在する組織になりすましてメールやメッセージを送信し、偽のサイトに誘導して、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する。

たとえば、auを装ったメールが届き、URLのリンクをアクセスするとauのログイン画面そっくりの偽サイトが表示される。そこで入力してしまうとau IDの情報が盗み取られるというわけだ。

auのログイン画面。左が正しいサイト、右が偽サイト 左:正しいサイト 右:偽サイト

最近の偽サイトは本物とほとんど見分けがつかないので、見た目だけで偽物と判断するのは難しい。迷惑フィルタでブロックすることも可能だが、それでも完全に防げるわけではないので、送信元のメールアドレスや、本文に書かれてあるリンクURLが正しいかを確認することが大切。メールのURLリンクにはアクセスせず、日常的にアクセスするサイトは、お気に入りサイトに登録しておき、そこからアクセスするのがおすすめだ。

信頼性が高い組織になりすます「スミッシング詐欺」

スミッシング詐欺とはSMSによるフィッシング詐欺のこと。「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください」といった不在通知を装ったSMSなどから偽サイトに誘導し、不正に個人情報の取得などを行う。

実際に日本郵便を詐称したスミッシング詐欺がこちら。不在の荷物を確認するSMSを受信。

SMSを使用したスミッシング詐欺

アクセスをすると日本郵便のWebを偽装した画面に誘導。偽サイトはロゴやイラストなども同じで完成度が高く、URLも「jppost-he.com」と日本郵便と誤認させやすいものを使用。そして偽サイトでは、マルウェア(有害な影響を与えるソフトやアプリ)のインストールが促される。

日本郵便の偽サイト 日本郵便の偽サイト

このケースでは、驚いたことに、身元不明のアプリのインストールを許可させるための設定マニュアルも存在していた。偽の設定マニュアルでは、設定画面からセキュリティに進むようご丁寧に説明してある。

日本郵便の偽サイトの設定マニュアル 日本郵便の偽サイトの設定マニュアル

誰もが知る信頼性の高い組織を名乗ったうえで、ここまで巧妙に偽サイトが用意されていると、疑うのは難しい。スミッシングのSMSをブロックすることは技術的に困難なため、身に覚えのないSMSが届いたら無視するよう肝に命じるとともに、URLが公式サイトと違いがないかを確認するといったクセをつけておこう。

信頼性が高いWebサイトを書き換える「リバースビッシング詐欺」

オレオレ詐欺のように、攻撃者から電話をかける詐欺を「voice phishing」、略して「ビッシング詐欺」という。その逆に、被害者から攻撃者に電話をかけさせて詐欺にあわせる手法が「リバースビッシング詐欺」だ。攻撃の多くは、Google MapやWikipediaなど、誰もが書き換え可能なサイトの情報を偽の連絡先に書き換えて、まるで正しい連絡先に電話をしていると思わせて行う詐欺行為。

こちらはGoogle Map で表示されるKDDI本社の情報だが、たとえばこの電話番号を攻撃者が勝手に別の番号に変えてしまうのだ。

Google Mapに表示されるKDDI株式会社

この間違った電話番号にかけてしまうと、攻撃者は本人確認をすると言って本名や生年月日、電話番号や住所などを聞き出し、情報を抜き取ろうとする。このように「Google MapやWikipediaなどの情報は信頼性が高い」と思っている人の心理をついた新たな詐欺だ。

現状では、悪意を持った情報を掲載しても常に修正されたりすることから、リバースビッシング詐欺の数はかなり少ないが、怪しいと思ったらオフィシャルサイトを確認するなどの注意が必要だ。

やましい気持ちにつけ込む「ワンクリック詐欺」と「ゼロクリック詐欺」

「ワンクリック詐欺」や「ゼロクリック詐欺」は古くからある攻撃手法だが、いまだに一部の不正なアダルトサイトなどで使われている。手口としては、不適切なWebサイトを閲覧中に、画面がしばらく表示された後に、突然「料金をお振込みください」や「登録が完了しました」などのメッセージが表示され、閲覧者に金銭などを要求する詐欺行為。ボタンを一回タップして表示されるのが「ワンクリック詐欺」で、利用者の操作なしに勝手に画面を遷移させるのが「ゼロクリック詐欺」だ。

ワンクリック詐欺の画面 画像提供/IPA 独立行政法人 情報処理推進機構

こちらはワンクリック詐欺の例。年齢確認を承認のボタンをクリックすると、契約完了画面が表示。あたかも利用者の操作で契約が完了させたと思わせる。

そもそも契約が成立するためには、契約を申し込む側の明確な同意が必要で、契約内容の明示も確認もなくWebサイトでクリックをしたり、画面を見たりしただけで契約が成立することはない。

2020年4月1日の民法改正により、「定型約款(ていけいやっかん)」※に関して下記のようなルールが新しく定められている。

※不特定多数の人との大量の契約手続きを円滑に結ぶために、定型取引を前提としてあらかじめ定められた条文のこと。

①不特定多数の者を相手方として行う取引。
②内容の全部又は一部が画一的であることが当事者双方にとって合理的である取引。
③契約の内容とすることを目的に作成されたもの。

上記3つの条件に合致する際には、「定型約款」を作成し、これに合意することをもって契約が成立する。

ちなみに、スマホアプリでは初回起動時に利用規約を表示させて、同意することで契約成立としている。その後に、アプリケーションのプライバシーポリシーにて取得する利用者情報の同意を取得する仕組みだ。

「ワンクリック詐欺」や「ゼロクリック詐欺」は、冷静に考えれば詐欺だとわかりそうなものだが、実は人はやましいと感じる場合に騙されやすくなる心理がある。このケースでは、アダルトサイトを見ているというやましい心理を巧みに利用している。対策としては、焦らず速やかにサイトから移動し、そのサイトにはもうアクセスしないようにすることだ。気になるなら閲覧履歴やCookieなども削除しておこう。予防としては、怪しげなサイトを閲覧しないことも大切だ。

不安にさせる「偽警告詐欺」

「ワンクリック詐欺」「ゼロクリック詐欺」の亜種で、Web閲覧中に突然「ウイルスに感染しました」など、ウイルス感染警告の画面を表示させ、リンク先URLに移動させたあとに、マルウェアのインストール(Android)、不正プロファイルのインストールやApple IDの不正取得(iPhone)を行う詐欺攻撃のこと。

偽警告詐欺詐欺の画面 画像提供/IPA 独立行政法人 情報処理推進機構

「ウイルスに感染した」というドキッとする情報で不安にさせて、早く解決したいと焦る心をついた詐欺だ。

対策だが、iPhoneの場合は、そもそもウイルスチェックアプリが存在せず、またブラウザにもウイルスチェック機能がないため、ウイルスに感染したという警告画面が表示されることがない。そのことからも、こういった画面はまず詐欺だということを知っておこう。

Androidの場合は、ウイルスチェックアプリは存在するが、Webを閲覧するだけでウイルスに感染することはまずない。このような画面が表示された場合は、速やかにそのサイトから移動し、閲覧履歴、Cookieなどを削除してほしい。

「自分は騙されない」という思い込みから人は騙される

このようにサイバー攻撃の手法はさまざまだが、詐欺の一歩は「信用させること」。信用させるために、創意工夫をして騙しにかかってくる。そして、騙される側の理由として「正常性バイアス」や「確証バイアス」が原因だといわれている。

「正常性バイアス」とは自分に都合の悪い情報を無視したり、過小評価したりして、大事な問題を見落とすこと。

「確証バイアス」は自分の考えが正しいか否かを検証する際に、自分に都合よく解釈し、客観的な判断ができなくなることだ。

「自分は大丈夫」という思い込みや先入観から、十分な確認をせずに行動して騙されてしまうことを知っておいてほしい。

サイバー攻撃に対する心構え

最後にサイバー攻撃に対する基本的な心構えを伝えよう。

・フェイクの情報があることを知っておく
大前提として、送られてくるメールやSMS、ネットの情報には、正しくないものが存在することを知っておこう。

・オフィシャルサイトを確認するクセをつける
フィッシング詐欺など、有名な組織を謳った詐欺は多いので、情報がほしいときはオフィシャルサイトをチェックする癖をつけよう。

・調べてから行動する
怪しいと思ったときは、「焦らず、調べてから行動すること」が重要だ。怪しいURLのリンクは絶対に踏まないこと。

・第三者に相談する
自分では判断できないときには、第三者に意見を聞いてみよう。案外、似たような事例を知っていて、あっさり詐欺とわかることもある。

・正しい知識を得る
タップしただけでは契約にはならない。Webブラウザを閲覧するだけでウイルス検知やウイルス感染することはないなど、正しい知識を知っておこう。

IT知識に詳しい人でも引っかかることがあるサイバー詐欺。世間でもオレオレ詐欺がなくならず進化してるように、サイバー攻撃も増え続け、利用者の心理を巧みについて騙そうとしてくる。スマホメーカーや通信会社のセキュリティ技術は向上しているが、心理的な攻撃は技術だけで防ぐのは難しい。だからこそ、ここに挙げたポイントをおさえて、自身でも気をつけ、騙されないようにしてほしい。



文:TIME&SPACE編集部
監修:本間輝彰

本間 輝彰

本間 輝彰(ほんま・てるあき)

1966年生まれ、東京都出身。KDDI株式会社、一般社団法人日本スマートフォンセキュリティ協会(JSSEC) 副会長・理事。現在、サービス開発部門にてスマートフォンやIoT機器のセキュリティ対策の推進。JSSECを通じてスマートフォンを中心にモバイルデバイスの安全な利活用を図り普及を促進。

この記事は役に立ちましたか?
ご回答ありがとうございました。よろしければ評価の理由を教えてください。
※300文字以内でご入力下さい。
※ご入力いただいた内容については今後の改善に利用させていただきます。
※返信は行っておりませんので、個人情報のご入力はご遠慮下さい。
  • 39

おすすめキーワード

最新情報はこちらでチェック
CLOSE

さん