ホーム > サイバー犯罪対策 > フィッシング対策

ページID:45714

公開日:2024年2月21日

ここから本文です。

フィッシング対策

フィッシングとは

実際のサービスや企業をかたり、偽のメールやSMS(携帯電話のショートメッセージ)で偽サイトに誘導し、IDやパスワードなどの情報を盗んだり、マルウェアに感染させたりする手口です。
情報を盗まれると、アカウントを乗っ取られてお金を奪われたり、インターネット通信販売サイトで勝手に買物をされたりします。また、マルウェアに感染してしまうと、スマートフォンに登録された電話帳の情報が盗まれたり、自分のスマートフォンがフィッシングSMSの発信源になってしまうこともあります。

<入力を求められる情報の例>

  • クレジットカード番号、金融機関の口座番号、暗証番号
  • 住所、氏名、電話番号、生年月日
  • 電子メール、インターネットバンキング、SNSアカウント等のID・パスワード
  • 運転免許証、マイナンバーカードの画像情報など

フィッシング01 フィッシング02
実在する金融機関、通信事業者等のログイン画面や支払いページを模した偽画面の例
出典:警察庁ウェブサイト(https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html)

誘導方法

最近では、携帯電話の電話番号宛てに送信可能なSMSを悪用し、携帯電話会社、宅配業者、銀行をかたって本物そっくりの偽サイトに誘導する事例を多数確認しています。そのほか、企業の本物のメールアドレスになりすました電子メールを送信する方法や、官公庁を名乗る電子メールを送信する方法、検索サイトの広告から誘引する方法など、様々な誘導方法が確認されています。
SMSの場合、携帯電話会社などの正規スレッドに偽メッセージが表示されたり、メールの場合、実在する企業のロゴが貼り付けられるなど、様々な手口がありますのでご注意ください。

<偽メッセージ事例>

  • あなたのアカウントに不正アクセスがありました。至急以下のサイトからアクセスしてログインしてください。ログインしないとあなたのアカウントは安全のため失効します。
  • ○○に関する申告の参考となる情報について、メッセージボックスに格納しましたので、内容をご確認ください。
  • お客様のアカウントは○○サービスを更新できませんでした。カードが期限切れになった可能性があります。

フィッシングサイトへの誘導手段は日々変化しています。最新の手口については、「フィッシング対策協議会~フィッシングに関するニュース」を参考にしてください。

フィッシング03 フィッシング04
SMSを悪用したフィッシングサイトへの誘導例
出典:警察庁ウェブサイト(https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html)

『送信元情報』の偽装

電子メールの場合、その仕様上、受信者が見ることのできる『見かけ上の送信元名称』『見かけ上の送信元メールアドレス』を変更可能なことから、簡単に実在の企業等になりすますことができます。よって、メールソフトに表示される『送信元情報』だけを見てメールの真偽を確認することは困難です。
また、スマートフォンのメールアプリで表示される『送信元情報』は、パソコンに比べて表示項目が少ない場合もあり、メールの真偽の判断はより一層困難です。

フィッシング05 フィッシング06
いずれも簡単になりすましが可能!
出典:警察庁ウェブサイト(https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html)

被害防止対策

フィッシングサイトは実在するサイトをそのまま複写(コピー)したものが多く、見た目で偽物であると判断することは非常に困難です。
よって、次の対策によってフィッシングサイトに繋がない(閲覧しない)ようにしましょう。

電子メールやSMS内のリンクはクリックしない

電子メールに記載されたリンクは偽装可能なほか、正規サイトに類似したドメイン名を付したフィッシングサイトも多く存在することから、見た目でリンクの真偽を判断することは非常に困難です。
電子メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトを「お気に入り」や「ブックマーク」に登録しておいたり、正規アプリを活用するなどして正しいサイトに接続するようにしましょう。

パソコンやモバイル端末を安全に保つ

OSやアプリのぜい弱性や不具合を悪用し、広告などからフィッシングサイトに誘導される可能性がありますので、OSやアプリ、ソフトウェアのアップデートを行い、端末を安全な状態に保ってください。

携帯電話会社などが提供するセキュリティ設定を活用する

携帯電話会社などが提供する迷惑メールブロック機能などを活用し、フィッシングメールや不審なSMSが届きづらい設定をしましょう。

ワンタイムパスワードなどを活用する

銀行やインターネット通信販売サービスでは、ログインするたびに異なるワンタイムパスワードがメールやSMSで通知され、これを入力しなければログインすることができないサービス(ワンタイムパスワードサービス)が提供されています。
万が一、IDやパスワードが盗まれた時のため、ワンタイムパスワードサービスを活用しましょう。
指紋や顔認証などの認証方法を活用するとより安全です。

ID、パスワードの使いまわしはしない

複数のサイトで同じID、パスワードを登録していると、一つでもID、パスワードを盗まれたら、銀行やSNS、インターネット通信販売サービスなど全てのサービスが乗っ取られる被害に遭ってしまいます。
ID、パスワードはサイトごとに違うものを登録するようにしましょう。なお、覚えられない場合には、パスワード管理アプリ、パスワードブックなどを活用しましょう。

フィッシングかもと思ったら

次のような場合には、県警察各警察署又はサイバー犯罪対策課まで通報をお願いします。

  • 個人情報を入力させようとする偽のウェブサイト(フィッシングサイト)を見つけた!
    →ウェブサイトのURLを教えてください。
  • フィッシングサイトへ誘導する電子メール・SMS(ショートメッセージ)を受信した!
    →メール等の送信元情報、内容、リンク先URL等を教えてください。
  • フィッシングサイトに個人情報を入力してしまった!
    →被害の状況について教えてください。

具体的な被害の相談については、最寄りの警察署又はサイバー犯罪対策課にお問い合わせください。
また、入力してしまった情報に応じて、クレジットカード会社、金融機関等の関係先に連絡をしてください。

ページトップへ