デジタル

「不正アクセスがありました」メールは信じるな。フィッシング詐欺の最新手口

メールでのフィッシング詐欺の手法はセキュリティを騙る

フィッシング詐欺 SMSのURLは押さない!ということは分かった。しかし、通常のメールではURLから接続をする場面は多い。具体的に「URLがこのスペルになっていたら詐欺」などがわかれば注意しやすい気もするが…… 「『Amazon』がよく見ると『annazon』や『annaz0n』になっているといった、そっくりドメイン系はフィッシング詐欺では常套手段です。しかしこうしたドメインは、詐欺だとわかるとフィッシング対策協議会や日本のセキュリティ機関JPCERT/CCなどが『テイクダウン依頼』を行い、サーバーの会社に潰してもらっています。するとそのドメインは使えなくなりますが、新たに量産される……といういたちごっこが続いているわけです。そのため、具体的に『このドメインには注意しよう』という対策はできません」  対策としてはSMSと同様、「安易に押さない」ことが大切なのだと三上氏は語る。 「メールの内容を吟味したり、本物か偽物かを考えたりするのではなく、たとえ本物であっても基本的にはメールのURLを押さないようにすることです。少しでも不安に思ったら来たメールに記載のURLからではなく検索して、あるいはブックマークなど本物だとわかっている手段で、サイトを開きログインしてください。そのくらい注意深くならないといけないくらい、詐欺は多いということです」  三上氏によると、こうしたフィッシング詐欺メールの内容は、ほとんどがセキュリティ関係が多いという。 「不正アクセスがありました」 「あなたのクレジットカードが不正に使われました」 「外国からアクセスがあったのでログインして確認してください」 「買い物を勝手にしていますが本人ですか?確認してください」  など、不安をあおられるものが多い。そのため、ついうっかりURLを押してしまう人が多いのだという。万が一うっかりURLをクリックするとその後何が起こるのだろうか。 「最近クレジットカード会社やショッピングサイトのフィッシング詐欺メールで多いのは、クレジットカード番号を盗み取るものです。偽サイトに誘導し、クレジットカード番号や暗証番号などを入力させ情報を得ると、その後そのクレジットカードが不正利用されてしまいます。 携帯電話会社を騙るフィッシング詐欺メールもコロナ以降非常に増えています。ドコモやソフトバンクなどを騙って『特定給付金を携帯電話のサイトから申請できます』『あわせて携帯電話料金を3万円値引きします』といった内容が多いです。偽サイトに誘導し、IDとパスワードを入力させようとします。最近は携帯電話会社のIDとパスワードが分かればd払いなど買い物ができてしまうことが多いため、クレジットカード同様、不正利用がされてしまう被害が報告されています」  万が一騙されてしまい不正利用されていることに気づいた場合にはどうすればいいのだろうか。 「騙された場合には、クレジットカード会社や携帯電話会社に連絡することで取り消しができることがあります。そのため、クレジットカードや携帯電話の利用明細はちゃんと確認することが大切です。低額なものを長く盗み取るという詐欺も報告されていますので、高額な明細だけでなく全てをきちんとチェックしましょう」

「ワンタイムパスワードがあるから大丈夫」と過信してはいけない

フィッシング詐欺 また、近年増えているのは便利になったインターネットバンキングによる詐欺被害だ。三上氏によると、2019年9~10月くらいから急増しているという。 「もともと2000年代後半から2010年代前半にかけてインターネットバンキングでの詐欺は多かったものの、銀行がワンタイムパスワードを導入したことで被害が大きく減っていたはずでした」  ワンタイムパスワードといえば、インターネットバンキング利用時に一時的に利用する数字6桁などの暗証番号だ。トークンと呼ばれる電卓のような端末やスマホアプリなどで表示されるもので、有効期限が1分間などすぐに使えなくなってしまうことが特徴で安全面が保障されているように思うが…… 「しかし最近、過去最悪ペースでインターネットバンキングでの詐欺被害が増えているのです。その手法としてはは恐らく、フィッシング詐欺メールを送り、記載のURLからワンタイムパスワードを入力させます。その後、ワンタイムパスワードが有効な約1分間の中で犯人が勝手に不正送金したり、登録の携帯電話番号を勝手に変更するなどの手口だと推測されています」  安全のために使われているワンタイムパスワードさえも、このように不正送金に使われてしまうというのはあまりにも怖い。  改めてこうしたフィッシング詐欺メールへの対策を教えてもらった。 ・SMS及び、メールのリンクはクリックしないこと ・たとえ本物であってもメールのリンクはクリックしないこと(セキュリティ面で不安なことがある場合はサイトに直接アクセスし確認する。本当に不正アクセスなどがあればサイトにログインした際に確認できる) ・ID&パスワード、クレジットカード番号を入力させる画面では注意深くURLを確認すること  ちなみに、Googleの設定でパスワードを保存できるようにする自動入力機能があるが、これは最初に正しいサイトで登録していれば、勝手に偽のサイトにもログインしてしまうことはないと言う。 「しかし、1回入力してしまえばその後は同じサイトにアクセスするとパスワードが入力された状態になるので、最初のパスワード保存時には十分注意してください」 「自分は絶対騙されない」と過信することなく、警戒しすぎるくらいでもちょうどいい。怪しいと感じたら、ためらわず企業などに相談しよう。 <取材・文/松本果歩>
インタビュー・食レポ・レビュー記事・イベントレポートなどジャンルを問わず活動するフリーランスライター。コンビニを愛しすぎるあまり、OLから某コンビニ本部員となり店長を務めた経験あり。X(旧Twitter):@KA_HO_MA
1
2
おすすめ記事