フィッシング詐欺が増加してます。進化しているフィッシング詐欺の手口・対策のご案内
こんにちは!つくるんです®︎オンライン担当の木村です。いつも「つくるんです®︎」を楽しんでいただき、ありがとうございます。
このような情報をオンラインストア内でお届けすることは、正直なところをお話ししますとオンラインストアの担当者として気が進まない部分もございました。皆様の不安を煽り、ネットショッピングへの意欲が減少することにも繋がりかねないためです。
つくるんですのオンライン販売は2020年12月、過去最高益を更新しました。(本当にありがとうございます。)そのような形でとても順調に進んでいる中にも関わらず、今回のような情報を発信することは、もしかすると「つくるんですを買おうと思ってたけど、ネットショッピングは危険なので辞めておこう」とお考えになられる方もいらっしゃるかもしれません。おうち時間を楽しめる商品を提供したい、すごく良い商品なのでもっといろいろな方に知っていただきたい!と、日々意気込んで頑張っている手前、それはちょっと悲しいことです。
けれどもやはり、安全に楽しくお買い物を続けていただくため、しっかりと発信すべき情報と判断し、なるべくわかりやすく解説することを心がけ、掲載いたしました。今回流行しているフィッシング詐欺は、事業者側の対策だけで完全に防ぐことができず、ネットショッピングをご利用の皆様にも気をつけて頂かなければならない点がいくつかあります。
そこで今回は、フィッシング詐欺の手口と対策方法についてをまとめ、記事にしました。様々なオンラインショッピングやWebサービスを利用するにあたり、知っておいていただきたい内容です。ぜひ時間をつくってご覧いただけたらと思います。
※ つくるんですのオンライン販売で詐欺被害が出たという報告はございません。
ある程度詳しい方は4つめの「こんな知識は古いです」だけでもご覧いただけたらと思います。
1 増加しているフィッシング詐欺
2020年、秋頃からフィッシング詐欺が増加しています。フィッシング詐欺とは、簡単にいうと「本物そっくりの偽サイトに誘導し、カード情報やアカウント情報を盗み取る詐欺」です。
11月のフィッシング報告は3万967件、国税庁や新たなカードブランドをかたるフィッシングが増加
フィッシング対策協議会に寄せられたフィッシング詐欺に関する報告は、2020年11月は3万0967件で、10月より2240件増加した。また、同月に確認されたフィッシングサイトのURLは4543件、悪用されたブランドは63件だった。
特にAmazonをかたるフィッシングの報告が多く、全体の62.3%を占めた。次いで三井住友カード、楽天、MyJCB、アプラス(新生銀行カード)をかたるフィッシングの報告もあり、これら上位5ブランドで、報告数全体の約90.1%を占めた。
11月は国税庁や新たなカードブランドなど、新規ブランドをかたるフィッシングが増加した。ブランド数が増えることで対象となる利用者層が広がっており、初めてフィッシングメールを受け取ったという報告も増えているという。
INTERNET Watch|https://internet.watch.impress.co.jp/docs/news/1293474.html
ドランクドラゴン鈴木拓 大みそかにフィッシング詐欺にひっかかる「電話鳴り止まない」
お笑いコンビ・ドランクドラゴンの鈴木拓が昨年12月31日にツイッターを更新。「今年最後の日にスマホのフィッシング詐欺にかかった」と報告した。
鈴木は「今年最後の日にスマホのフィッシング詐欺にかかった」と切り出し「スマホに変な表示がたくさん出る」「見知らぬ人から荷物が届けてくれなどの電話が鳴り止まない」(原文ママ)と、年の瀬に困った事態に陥った様子。
デイリースポーツ(Yahooニュース)|https://news.yahoo.co.jp/articles/f4f5749726d51d08239a48a02aad98ca913064ad
北海道銀行 “フィッシング詐欺発覚” 顧客3人70万円の被害 一部サービス停止
北海道銀行の顧客3人がIDやパスワードを盗まれ合計70万円が引き出されるフィッシング詐欺にあい、北海道銀行は注意を呼び掛けています。このフィッシング詐欺は客からの問い合わせで12月19日判明したものです。手口はインターネットバンキングの顧客に対し「異常ログインの可能性がある」とのメールが届き、偽サイトに誘導され、パスワードなどの入力を求められるものです。
北海道文化放送(FNNプライムオンライン)|https://www.fnn.jp/articles/-/122192
具体的な手口
フィッシング詐欺の具体的な内容は、こちらの画像をご覧いただけると分かりやすいと思います。
マイナビニュース|【3 / 3】Amazonのフィッシング詐欺が急増中! 見破り方のポイントを覚えておこう
https://news.mynavi.jp/article/20201127-1535047/images/003l.jpg
一見、Amazonから来るメールで、アクセスした先もAmazonのページですよね。Emailではなく、SMS(電話番号で送れるショートメッセージ)で来る場合もあります。
マイナビニュース|【3 / 3】Amazonのフィッシング詐欺が急増中! 見破り方のポイントを覚えておこう
https://news.mynavi.jp/article/20201127-1535047/images/001l.jpg
「問題が発生しているので、アカウントにアクセスしてください」といった不安を煽るような内容が送られてきます。
大体のパターンとしては、次のような形です。覚えておけば予防しやすいです。
1.偽の事業者から連絡が来て、偽サイトへ誘導される。
2.偽サイトで情報入力を要求される
例では、偽Amazonを挙げさせていただきましたが、色々な事業者を装ったフィッシング詐欺があります。
2 フィッシング詐欺の種類
ショッピングモール、ECサイト
Amazon、楽天等の誰もが知ってるショッピングモールを装い、情報を取得しようとしてきます。最近では、有名サイトだけでなく、独自運営のECサイトを偽るパターンも出てきているようです。
詐欺内容
アカウント情報や注文内容に問題があるといった旨の連絡が届き、ログイン情報を盗み出そうとします。ID/PASSだけでなく、カード情報の入力、住所、年齢等、様々な情報の入力を要求してくる場合もあります。
基本的な対策
トラブルが起きている等の連絡が来た場合、焦らず、メールのリンクをクリックするのではなく、いつも自分がアクセスする方法からサイトへ行きましょう。ブックマークやアプリ等を経由して確認します。
宅配事業者
最近急増中の宅配業者のなりすましです。ヤマトや日本郵便、佐川を偽り、「不在のため、荷物を持ち帰りました。ご確認ください。」といったメッセージとURLがSMSで届きます。
詐欺内容
コロナの影響もあり、全国でオンラインショッピングの利用が増えています。そのような状況を狙った詐欺です。URLをクリックするとフィッシング詐欺のサイトに繋がり、ID/PASSの入力を要求してきます。「住所を再度教えてください」「保管期限が過ぎてしまうので今すぐ連絡してください」といった内容が届くこともありますが、冷静に対応しましょう。
基本的な対策
宅配便大手3社(ヤマト/日本郵便/佐川)はSMSの不在通知は行っていません。どの会社もSMSによる不在通知は発信していないと明言しています。
不在時は、ポストに必ず伝票が入っているはずです。SMSでの通知は全て偽物です。
銀行
銀行を装い、Email、SMS等で重要情報を盗み出そうとしてきます。アカウント情報、口座番号や暗証番号の入力を促すメッセージが大半です。住所や名前を入力させようとするパターンもあります。
詐欺内容
「セキュリティ強化のため」「口座の利用が停止しています」「パスワードの更新が必要です」といった内容が多く、手続きが必要である旨とURLがEmailやSMSで送られてきます。
基本的な対策
アカウントにログインする場合は、ブックマークやアプリ等、いつものルートでログインします。メールからWebページにアクセスするのはやめましょう。
カード会社
クレジットカード会社を装い、Email、SMS等で様々な情報を盗み出そうとしてきます。
詐欺内容
「利用停止になっています」「不正に利用されている可能性があるので、こちらから手続きして確認してください」といった不安を煽るようなメッセージが送られてきます。
基本的な対策
銀行のアカウントにログインする場合と同様に、アクセスする場合はブックマークやアプリ等、いつものルートでログインします。メールやSMSに記載されたWebページにアクセスするのはやめましょう。また、「下記の番号に電話してください」といった形で電話を要求してくる場合もあります。こちらは振り込め詐欺の手口です。電話をしないようご注意ください。
国税庁
国税庁、税務署を名乗り、情報を盗み取ろうとしてきます。個人事業主の方や副業を行っている方、企業経営者の方は特に注意が必要です。
詐欺内容
「所得税に関する重要なお知らせ」「払い戻しの通知」「還付金の振込先を入力してください」といった税金に関する連絡を装い、フィッシングサイトへ誘導されます。不安を煽るようなパターンだけでなく、「お金の払い戻しがあるかも」と、期待させるようなパターンがあります。
基本的な対策
国税庁(国税局、税務署を含む)は、還付金の振込先等の入力を求めるメールやSMSを送信していません。e-Tax等にアクセスする場合は、リンク先からアクセスするのではなく、Google検索で表示されるページや国税庁のページからアクセスしましょう。
その他・Webサービス
Google、Yahoo等、誰もが知ってる有名サービスを装った詐欺が主流でしたが、近年は中小規模の事業者やWebサービスを装ったパターンが増えてきているようです。
詐欺内容
アカウント情報、名前、住所、クレジットカード番号を盗み出そうとしてきます。また、アプリやソフトウェアのダウンロードを促すパターンもあります。
基本的な対策
ECサイトや銀行アカウントにログインする時と同様、リンクのURLをクリックせず、いつものルート(ブックマークやアプリ)からログインしましょう。
3 フィッシング詐欺の対策
1. 不審なメールやSMSのリンクをクリックしない
怪しいリンクをクリックしないようにしましょう。フィッシング詐欺対策で最も大事なことです。不安や期待を煽るような内容は疑ってください。心当たりがあり、情報を確認する場合には、ブックマークやアプリ等、いつものルートでアクセスします。
2. 送信元やURLを確認する
送信元のアドレスやURLの文字を確認すると、微妙に違うことがあります。例えば、アルファベットの「o」(オー)を数字の「0」にしたり、アルファベットの大文字の「I」(アイ)を小文字の「l」(エル)にしたりして、送信元やURLを偽装していることがあります。ただし、メールの送信元を偽ったりすることは現実的に可能ですし、「amazon-co-jp.pw」といったサービスのスペル自体は正しかったりする場合もありますので、送信元やURLの確認のみでフィッシング詐欺かどうかを100%判断できるわけではありません。
3. OSやソフトウェアを最新の状態にする
スマートフォンのOSやPCのブラウザは最新の状態にしましょう。詐欺サイトへのアクセスをストップしてくれたり、注意勧告を出したりしてくれます。ただし、詐欺サイトかどうかの判定は、ブラウザ側が持っている情報(ユーザーの報告によって登録されます)によって判断されます。したがって、もしも最新の詐欺サイトへアクセスしてしまった場合は、通常通りにアクセスしてしまう可能性があります。
OS・・・PCやスマホ等の根幹となるソフトのことです。更新すると、機能が追加されたり操作性やセキュリティが改善されたりします。iPhoneであれば「iOS」Androidであれば「AndroidOS」です。
ブラウザ・・・インターネットでWebページを閲覧するためのソフトです。「Safari」「google chrome」「internet explorer」といったソフトを利用して、Webページを見ます。
4. メッセージをGoogleで検索してみる
怪しいかなと思ったら、メッセージ(「○○です。アカウントを更新してください」という文章)やURLをGoogleで検索してみます。「この手法やURLはフィッシング詐欺のサイトだ」という声が見られるようであれば、アクセスするのをやめましょう。ただし、こちらも最新の詐欺方法であれば、検索で情報が出てこない場合があります。
5. 個人情報を入力する場合には改めてURLを確認
ログインや決済、申込、お問い合わせ等、何か情報を入力する場合には、改めてURLを確認してください。特に、あまり有名でないサイトで、更新がしばらくされてなさそうなサイトは気を付けましょう。情報を入力するページへのリンクが書き換えられているというパターンもごく稀にあります。いわゆる「Webサイトの改竄・乗っ取り」というケースです。推移した先のページは不自然な場合が大半なので、多くの場合はすぐに改竄に気づくことができます。けれども、情報を入力する場合には、ページの内容を確認すると同時に、URLをしっかり確認しましょう。
6. 購入やサービスの申込をしっかり把握しておく
オンラインストアはどんどん手軽に購入できるようになり、Webサービスもサブスク(月額制サービス)がどんどん増え、インターネットを用いての購入や契約はどんどん増えてきています。自分が何を購入し、何を契約しているか、適切に把握しておくことで、怪しい通知に引っかかることも少なくなります。本当に必要かどうかも、購入や契約時に再確認しましょう。無駄遣いを減らすこともできます!
4 こんな知識は古いです
「フィッシング詐欺のことを自分はよくわかってる」と考えている人も要注意。詐欺の手法は進化してきています。以下のような知識は古い常識(もしくは、「間違った知識」)です。ご注意ください。
古い常識1 詐欺サイトは日本語が不自然
数年前のフィッシングサイトは、ところどころ日本語が変な箇所がありました。「大切!すぐ認証必要があります」「システムがあなたの更新がされた」「残念ながらあなたのアカウント更新されません」といった、日本語に違和感があるサイトです。けれども、最近の詐欺サイトの日本語はネイティブレベルです。日本語が不自然でなければ安心と思うのはやめましょう。
古い常識2 メールの送信元が正しければ詐欺じゃない
メールの送信元は偽装が可能です。メールの送信元を「amazon.co.jp」にして送信することは、誰でもやろうと思えばできてしまいます。メールの詳細情報を見れば偽装はわかりますが、ITに詳しい方でないとなかなか詳細チェックは難しいです。
古い常識3 詐欺サイトはSSL化されていない
数年前、SSL化された詐欺サイト(httpsで始まるサイト)はほぼありませんでした。当時、SSL化は手続きにも時間がかかり、有料だったためです。サイトをすぐに引っ越したり、ドメインを変更したりするため、その手間やコストが割に合わなかったのでしょう。現在、SSL化は素早く無料で手続き可能です。現在の詐欺サイトの多くがSSL化しています。また、SSLは「通信を暗号化するもの」であり、「サイトが詐欺サイトではない」という証明ではありません。
SSL化・・・「https://」で始まるサイトはSSL化されたサイトです。「http://」で始まるサイトはSSL化されていないサイトです。SSL化されたサイトは、ブラウザではURLの横に鍵マークがつきます。ただし、あくまで通信を暗号化している証明です。「SSL化されているので安全」ではないので、ご注意ください。
古い常識4 怪しいサイトにアクセスした経験がないから大丈夫
アダルトサイトや違法アップロードのサイトにアクセスした経験がないからといって、フィッシング詐欺のメールやSMSが届かないというわけではありません。詐欺業者は必ずしも個人情報のリストを元にメッセージを送信しているわけではありません。コンピュータを使い、不特定多数に送っています。
5 フィッシング詐欺サイトを100%見破ることはできない
このページに書かれた内容を理解し、対策を取っていればリスクは大きく減らせます。けれども、100%、確実に防ぐという方法はありません。詐欺の手法は日々進化しています。
万が一、詐欺サイトと思われるWebサイトに情報を入力してしまった場合、速やかに次の対応を実施してください。
6 もしもアクセスしてしまったら
サービスを提供している事業者に、フィッシング詐欺被害の疑いがあることを伝えましょう。Amazonであれば、Amazonのカスタマーサポートへ連絡します。銀行であれば、その銀行のお問い合わせ窓口に連絡します。
暗証番号の変更やカードの再発行、ID およびパスワードの変更等、指示や対応方法の案内が届きます。
もちろんですが、連絡する際も、ブックマークやアプリ、Google検索などからWebページを参照してください。
手続きが完了した後は、警察庁に連絡しましょう。フィッシング詐欺は犯罪です。
警察庁 - サイバー犯罪対策プロフェクト
(サイトの作りが古く、このサイトも詐欺なんじゃないかと思うかもしれませんが、こちらは本物です)
7 楽しくお買い物できるように
事業者が十分な対策を行うことはもちろんですが、利用するお客様も対策を行う必要があります。適切な対策を実施し、万が一の場合の対応手順を理解しておくことで、リスクは最大限に減らすことができます。改めて言うことではないかもしれませんが、インターネットはとても便利です。近所では売っていない商品を買うこともできますし、自分に合ったWebサービスを利用することで生活はより快適になります。
2021年1月6日現在、2回目の緊急事態宣言の発令が数日後に控えています。今後、ネットショッピングやWebサービスの利用はますます増えていくと思われます。是非みなさま、正しい知識と対策を実施し、インターネットの活用を楽しんでいただくと同時に利便性をしっかり享受していただけたらと思います。
もしも、身近な方でオンラインショッピングをよく使う方がいましたら、ぜひこのページを送ってあげてくださいね!私もこのページを実家の母に送っておきます。
つくるんです オンライン担当 木村
参照URL
総務省 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security
フィッシング対策協議会 https://www.antiphishing.jp/