フィッシング詐欺とは？実例と手口から学ぶ対策と注意事項

フィッシング詐欺とは、偽サイトに誘導してログインIDやパスワードを盗むネット犯罪の一種です。近年は手口の巧妙さが増しており、発生件数も非常に増えています。被害に遭ってから初めて気がつくという人も多く、事前の対策が肝心です。

この記事では、フィッシング詐欺の実例を紹介し、手口から学ぶ対策と注意事項について詳しく解説していきます。

フィッシング詐欺とは？

フィッシング詐欺とは、ネット犯罪の一種でメールやSMSを不特定多数に送信することで個人情報を盗み取る犯罪です。メールの送信元が、一見すると信用できるAmazonや楽天市場などのネット通販販売会社や公的機関を名乗っていることが特徴に挙げられます。

フィッシング詐欺は、メールに偽サイトのURLが添付されており、リンクを経由してログインIDやパスワードを入力させて、情報を抜き取るという手口が使われます。

フィッシングによる不正送金被害は令和5年に入ってから被害額が再度急増しているため特に注意が必要です。警察庁と金融庁の調査によると、令和5年上期における被害件数は過去最多の2,322件、被害額も約30億円となっています。

参考：警察庁 金融庁『フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）』

フィッシング詐欺の手口

フィッシング詐欺の手口は非常に巧妙です。メールから誘導される偽サイトは、本物サイトに限りなく似ているため、受信者は気がつかずにログイン情報やクレジットカード情報などを入力してしまうケースが多いです。

なかでも代表的な手口を3種類解説します。

1.送信元を偽ったなりすましメール｜メールフィッシング

メールフィッシングとは、送信元にAmazonや金融機関の名を騙る「なりすましメール」を用いた手口のことです。

なりすましメール内には、下記のようにメールの受信者が不安を感じるような内容を送るため、慌てて偽サイトにログインしてしまう人も多いです。

• 配達物が届けられません
• カードが不正使用された
• 不正アクセスを検知しました

2.SMSでのテキストメッセージ｜スミッシング

スミッシングとは、SMS（ショートメッセージ）に偽サイトのURLを記載して送りつけ、個人情報を盗み取る手口です。

SMSは電話番号を用いるため、たとえランダムな数字であっても番号が存在すれば送信できてしまいます。そのため、SMSを用いたスミッシングは近年増加傾向にあります。

また、メールよりもSMSのほうが、開封率が高く偽サイトへ誘導しやすい点も増加の要因に挙げられます。

3.標的を絞った手口｜スピアフィッシング

スピアフィッシングは、標的を絞り込み計画的に送り込んでくる手口です。スピアフィッシングの手口は、特に企業を標的とするケースも多いことが特徴です。

標的となる人物や企業の組織情報を調べ、関係者になりすましてメールを送ってきます。企業や公的機関が被害に遭った事例もあり、氏名や個人に関わる情報の流出リスクとなるので注意が必要です。

【最新】フィッシング詐欺の実例

ここまで、フィッシング詐欺の手口について解説してきました。巧妙な手口のフィッシング詐欺に騙されないためには、実例を知り対策を立てておくことが欠かせません。

ここからは、フィッシング詐欺の実例を紹介します。

金融機関やカード会社を装ったフィッシング詐欺

金融機関やカード会社を装ったフィッシング詐欺では、主にネットバンキングサービスでのログインへの誘導や、カード番号を盗み出すために不安を煽る内容のメールが送られてきます。

金融機関やカードが会社を装ったフィッシング詐欺では、下記のような内容が見られます。

• 新システム導入に伴いログインが必要です。期限までに再設定されないと利用を停止させていただきます。
• ネットバンキングの不正アクセスの疑いがあります。すぐにログインして確認する必要があります。
• クレジットカードの不正利用が疑われます。カード番号の確認をお願いします。

ネットバンキングのログイン情報やカード情報が盗まれると、身に覚えのない送金や請求がされ、被害金額が大きいケースも多いです。

大手通販サイトを装ったフィッシング詐欺

大手通販サイトを装ったフィッシングメールの実例としては、Amazonや楽天市場などが挙げられます。大手通販サイトを装い、メールアドレスや電話番号、住所といったアカウント情報を盗み取る手口の詐欺です。

大手通販サイトを装ったフィッシング詐欺では、主に下記のような文言が見られます。

• 購入代金が支払われていません。至急ログインして支払い方法の確認をお願いします。
• Amazonのアカウント情報が更新できませんでした。情報の更新ができない場合にはアカウントの利用を停止させていただきます。
• お客様のアカウントの不正アクセスを検出しました。ただちにアカウント情報を更新してください。

普段から利用している人でも偽サイトと本物のサイトの見分けは難しいです。

そのため、フィッシングメールを受信した時に、詐欺であることに気づけるよう対策をしておく必要があります。後述の、「フィッシング詐欺の被害に遭わないための5つの対策」にて詳しく対策方法を解説します。

キャリアになりすましたフィッシング詐欺

大手携帯キャリアを名乗ったフィッシング詐欺もあるので注意が必要です。例えば、下記のような文言とともに偽サイトのURLが添付されている実例が挙げられます。

• 決済に関するご利用内容のお知らせ。詳細は下記URLをご確認ください。
• お客様のアカウントのご利用を一時停止しております。
• お客様の端末からウイルスが検出されました。安心セキュリティよりお守りください。
• ご利用料金に関してご確認がございます。

身に覚えのない内容のメールは開かない、確認するときは公式サイト上からログインするなどの対策が欠かせません。

偽の警告メッセージで危機感を煽るフィッシング詐欺

Web検索をしている最中に、ポップアップが表示され「ウイルス感染の警告」といった不安を煽る内容が表示されるフィッシング詐欺もあります。

警告画面に記載されている連絡先に問い合わせると、ウイルス除去費用と称して契約を交わされたり、次々に支払いを求められたりする被害も増えてきています。

公共機関や官公庁を装ったフィッシング詐欺

公共機関や官公庁を装ったフィッシング詐欺では、偽のサイトへ誘導して個人情報を入力させて盗み取るのが主な手口です。メールの内容は不安を煽ってすぐ確認させようとする文言が多く見られます。

よくある文言には下記が挙げられます。

• 【◯◯電力】電気料金が未納です。支払いの確認ができない場合には電気を止めさせていただきます。
• 【重要なお知らせ】〜に関する申告に関して確認がございます。

対策として、記載されているURLが公式HPと同じであるかを確認したり、公共機関や官公庁の問い合わせ窓口で相談したりするなどの対策が必要です。

宅配業者からの不在通知を装ったフィッシング詐欺

宅配業者を装ったフィッシング詐欺のよくある文言には下記が挙げられます。

• 〇〇（宅配業者名）-お荷物お届けのお知らせ
• お預かりの期限が過ぎました
• ご不在のため荷物を持ち帰りました。詳細は下記をご確認ください。

宅配業者からSMSによる荷物集配の案内が送られてくることはないです。ネット通販で購入を利用する人の増加に伴い、宅配業者からの不在通知を装うケースも多く報告されています。

添付されているURLはクリックしないようにしましょう。

フィッシング詐欺の被害に遭わないための5つの対策

フィッシング詐欺は前述した実例の通り、非常に巧妙で気付かぬうちに被害に遭う場合もあります。まずは、メール内容の確認を徹底したり、公式サイト上からログインしたりするなど、今からできる対策から始めてみましょう。

ここからは、フィッシング詐欺の被害に遭わないための対策を5つご紹介します。

送られてきたメールやメッセージが本物か確認する

メールを受信した際に必ず「送信元メールアドレス」「ヘッダー情報」を確認するようにしましょう。

まずは＠以降のドメイン部分を確認しましょう。Amazoは主に下記のドメインを利用してメールを送っていますので、下記以外の場合にはフィッシングメールである可能性が高いです。

• amazon.co.jp
• amazon.jp
• amazon.com
• business.amazon.co.jp
• email.amazon.com
• marketplace.amazon.co.jp
• m.marketplace.amazon.co.jp
• gc.email.amazon.co.jp
• gc.amazon.co.jp
• payments.amazon.co.jp

次に、送信者名を確認します。上記の画像のように送信者名がAmazonとなっており、一見すると信頼できる送信者であると見せかけているケースも非常に多いです。

送信者名だけでなく、メールアドレスも合わせて確認するようにしましょう。

フィッシング詐欺メールを送る攻撃者は、差出人のメールアドレスを少しだけ変更した、見分けにくいメールアドレスを使っている場合があります。例えば、norton.com をnortom.comのように、nとmを変えているケースも。アドレスを注意深く見れば、詐欺メールを見抜くことが可能です。

URLや添付ファイルを不用意に開かない

フィッシング詐欺は、メールを受信するだけでは被害には遭いません。詐欺師は受信者にURLをクリックさせ、偽サイト上で個人情報を入力させようとしています。

メールやSMSで送られてくるURLや添付ファイルを不用意に開かないようにするのも対策として有効です。

IDやパスワードを入力する場合は、URLやドメインを確認する

アカウントの停止や支払い情報の確認など不安を感じるメールの内容には、記載されているURLではなく、公式ページからログインし確認したり、お客様センターへ問い合わせを行ったりするようにしましょう。

フィッシングメールに記載されているURLから遷移する偽サイトは、本物との見分けができないほど巧妙に作り込まれています。

アカウント情報の確認をするときはメールからはしないように徹底することも大切です。

SSLサーバー証明書の導入を確認する

SSLサーバー証明書とは、通信情報を暗号化する機能とサイトを運営する会社の身元を確認する機能を備えています。

SSLを確認する方法はブラウザによって異なりますが、サイトURLの横に鍵マークがある、「https」から始まるサイト名であるなどです。

▲SSL証明書が発行されているサイトは、ブラウザ上で上記のような表示になっている。

セキュリティソフトを導入する

先に紹介した4つの対策は、目視で確認しなくてはならないため、フィッシング詐欺の被害を完全に回避することは難しいです。

自分で確認をすると同時に、セキュリティソフトを導入することで、詐欺の被害を未然に防ぎやすくなります。

ノートン360はフィッシングだけでなくマルウェア対策としても活用可能です。近年はフィッシングとマルウェアを組み合わせた詐欺手口もあるので、ウイルス検知機能を備えたセキュリティソフトが役立ちます。

まずは無料体験版でセキュリティソフトを試してみるのがおすすめです。

フィッシング詐欺に遭ってしまった時の対処法

十分に対策をしていても、フィッシング詐欺に遭う可能性はゼロではありません。

万が一、フィッシング詐欺に遭ってしまった場合には、被害内容に応じて対処していきましょう。すぐにやるべきことは下記の4つです。

• 金融機関やクレジットカード会社などのサービスの提供元に通報
• アカウントやカードの利用停止手続きを行う
• 警察に被害届
• ID、パスワードを変更する

被害状況ごとに、必要な対処法をひとつずつ解説します。

インターネットバンキングで預金を引き出された場合

インターネットバンキングサービス情報やクレジットカード情報が盗まれた場合には、まず金融機関やクレジットカード会社などのサービスの提供元に通報が必要です。詐欺に遭ったと気づいた時点ですぐ利用停止を申し出ることで被害を拡大させないようにしてください。

また、インターネットバンキングで預金が引き出された場合には、銀行の指示に従って手続きを進めることで「口座所有者自身に過失が無い場合」は払い戻しがなされます。ただし、金融機関から払い戻しを受けるには、被害発生から期限日以内に申し出をこなう必要があるので注意が必要です。

補償対象や内容については、各金融機関の公式HPで事前に確認しておくと良いでしょう。

クレジットカードをインターネットで不正利用された場合

クレジットカード番号が流出した時には、ただちにカード会社へ連絡しましょう。カードの利用停止手続きなどが行えます。

クレジットカードの不正利用の補償があるカードの場合には、被害発生から期限内までに申し出を行えば、請求金額を支払わずに済みます。

クレジットカード会社により補償制度は異なるので、期限や補償内容については手持ちのクレジットカード規約を確認しておきましょう。

SNSやGoogleなどのアカウントを乗っ取られた場合

SNSやGoogleアカウントが乗っ取られた場合には、すぐIDとパスワードの変更が必要です。すぐに被害があった旨をサービス元に連絡します。

SNSやアカウントの乗っ取りのケースでは、自分がスパムメールを送る攻撃者になるケースも多いです。身近な人にスパムメッセージを送っていないかも確認しておきましょう。

フィッシング詐欺対策には送信元とリンク先を要チェック

フィッシング詐欺は受信するだけで被害に遭うことはありません。日常的にメールを開封する前のセキュリティチェックを習慣にすることから始めていきましょう。

さらに企業を標的としたフィッシング詐欺もあるため、個人に限らず企業にとっても十分なセキュリティ対策をしておく必要があります。

一方、自力でのセキュリティチェックでは完璧に対策するのは難しいものです。セキュリティソフトを導入し、より安全にスマホやパソコンを操作できる環境を整えることも検討してみてください。

ノートン 360のセールス

ノートン360は世界シェアNo,1のセキュリティソフトです。世界中のセキュリティデータと数十年にわたる経験は、世界中で日々増え続けるフィッシング詐欺対策に有効です。実に1分間に数千もの脅威をブロックしております。またノートン 360は「ノートン プロテクション プロミス」というサービスを付与しており、ノートンの専門家がお使いのデバイスからランサムウェア・マルウェア・ウイルスを駆除できなかった場合は、対象となるライセンスの現行の期間に対して実際に支払った金額について、全額返金が可能です。それほど、お使いのデバイスをフィッシング詐欺から保護する能力に自信と誇りを持っております。

※「ノートン プロテクション プロミス」は自動更新の場合のみご利用可能です。