ここから本文です。
実在のサービスや企業をかたり、偽のメールやSMS(携帯電話のメッセージ)で偽サイトに誘導し、IDやパスワードなどの情報を盗んだり、マルウェアに感染させたりする手口です。
情報を盗まれると、アカウントを乗っ取られてお金を奪われたり、インターネット通信販売サイトで勝手に買物をされたりします。また、マルウェアに感染してしまうと、スマートフォンに登録された電話帳等の情報が盗まれたり、自分のスマートフォンがフィッシングSMSの発信源になってしまうこともあります。
<入力を求められる情報の例>
実在する金融機関、通信事業者等のログイン画面や支払いページを模した偽画面の例
出典:警察庁ウェブサイト(外部サイトへリンク)
<相談事例1>
ネット口座を開設している銀行から「重要なお知らせ」という件名のメールが届いたので、記載されたURLにアクセスし、口座番号、暗証番号等を入力した。その後、知らない口座に対して、身に覚えのない多額の送金をされていることが分かった。
<相談事例2>
クレジットカード会社から「クレジットカード情報の確認」という件名のSMSが届いたので、記載されたURLにアクセスし、カード情報を入力した。後日、クレジットカードの支払い明細を見ると、身に覚えのない支払いがあった。
<相談事例3>
大手通販サイトから、「アカウントで不正なログインが確認されたため、アカウントをロックしました。解除するには下記のURLから手続してください。」というSMSが届き、慌ててURLに接続し、当該大手通販サイトのIDとパスワードを入力してしまった。
<相談事例4>
携帯電話に宅配業者から「お荷物のお届けにあがりましたが、不在でしたので持ち帰りました。」という不在通知(SMS)を受信したので、記載されていたURLにアクセスし、荷物追跡のアプリをインストールしてしまった。そうしたところ、知らない間に携帯電話に登録されている電話番号に、荷物追跡の内容のSMSが大量に送信されていることが判明した。
携帯電話会社、宅配業者、金融機関をかたって電子メールやSMSを送信し、本物そっくりの偽サイト(フィッシングサイト)に誘導する事例が多数確認されているほか、検索サイトの広告から誘引する方法など、様々な誘導方法が確認されています。
電子メール等の文面は、「個人情報の漏えい」、「不正アクセス検知」、「取引の停止」等、切迫感を煽り、ログインさせようとするものが多数確認されています。
最近では、携帯電話の電話番号宛てに送信可能なSMSを悪用し、携帯電話会社、銀行をかたって本物そっくりの偽サイトに誘導する事例を多数確認しています。そのほか、企業のメールアドレスになりすました電子メールを送信する方法や、官公庁を名乗る電子メールを送信する方法、検索サイトの広告から誘引する方法など、様々な誘導方法が確認されています。
<電子メール等の文面例>
フィッシングサイトへの誘導手段や手口は日々変化しています。最新の手口については、「フィッシング対策協議会~フィッシングに関するニュース」(外部サイトへリンク)を参考にしてください。
SMSを悪用したフィッシングサイトへの誘導例
出典:警察庁ウェブサイト(外部サイトへリンク)
電子メールは、仕様上、受信者から見える「送信元名称」や「送信元メールアドレス」を変更することが容易であるため、実在の企業等になりすますことができます。したがって、メールソフトに表示される「送信元名称」や「送信元メールアドレス」だけを見てメールの真偽を判断することは困難です。
また、スマートフォンのメールアプリで表示される「送信元名称」や「送信元メールアドレス」は、パソコンに比べて表示項目が少ない場合もあり、メールの真偽の判断はより一層困難となります。
いずれも簡単になりすましが可能!
出典:警察庁ウェブサイト(外部サイトへリンク)
フィッシングによって、不正送金の被害に遭った場合は金融機関が、クレジットカードの不正利用の被害に遭った場合はクレジットカード会社が、それぞれ補償制度を設けていたり、トラブルに関する相談窓口を設けているところもあります。被害に遭ったサービスを提供している会社に相談してください。
【不正送金への対応】
フィッシングサイト等に普段から利用しているIDやパスワード等を入力してしまった場合は、そのIDやパスワード等を利用している全てのサービスにおいて、パスワード等を速やかに変更してください。
フィッシングサイトを発見した場合は、当該フィッシングサイトのURLを、
に通報してください。
また、フィッシングの被害に遭った場合は、最寄りの警察署又はサイバー事案に関する通報等のオンライン受付窓口に通報・相談してください。
電子メールに記載されたリンクは偽装可能なほか、正規サイトに類似したドメイン名を付したフィッシングサイトも多く存在することから、見た目でリンクの真偽を判断することは非常に困難です。
電子メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトを「お気に入り」や「ブックマーク」に登録しておいたり、公式アプリを活用するなどして正しいサイトに接続するようにしてください。
なお、金融機関が、ID、パスワード等をメールやSMSで問い合わせることはありません。
OSやアプリ、ソフトウェアのぜい弱性や不具合を悪用し、広告などからフィッシングサイトに誘導される場合があるので、OSやアプリ、ソフトウェアのアップデートを行い、パソコンやスマートフォンを安全な状態に保ってください。
携帯電話会社などが提供する迷惑メッセージブロック機能などを活用し、フィッシングメールや不審なSMSが届きづらい設定にしてください。
複数のサイトで同じID、パスワードを登録していると、一つでもID、パスワードを盗まれたら、銀行やSNS、インターネット通信販売サービスなど全てのサービスが乗っ取られる被害に遭ってしまいます。
ID、パスワードはサイトごとに違うものを登録するようにしてください。ID、パスワードを覚えられない場合には、パスワード管理アプリなどを活用してください。
銀行やインターネット通信販売サービスでは、パスワードに加え、メールやSMSに通知されるワンタイムパスワードを入力しなければログインすることができないサービス(ワンタイムパスワードサービス)が提供されています。
IDやパスワードが盗まれた時のため、ワンタイムパスワードサービスを活用してください。
指紋や顔認証などの認証方法を活用するとより安全です。
フィッシングサイトへは、企業の本物のメールアドレスになりすましたメールで誘導するケースも確認されています。
事業者にあっては、自社のドメインの悪用を防止する観点で『送信ドメイン認証技術』の導入をご検討ください。
主な『送信ドメイン認証技術』
特に、DMARCは、認証に失敗したメールの取扱いを送信側で指定でき、「なりすまされているメールは受け取らない」といった強いポリシーを受信側に実施させることができるようになります。
なお、DMARCは、メール送信側の事業者のみならず、メール受信サービスを提供する電気通信事業者における導入も必要ですので、電気通信事業者にあっても積極的な導入を検討してください。
DMARKの仕組みの概要
出典:警察庁ウェブサイト(外部サイトへリンク)
DMARCを含めた送信ドメイン認証に関する技術的な導入マニュアルが、迷惑メール対策推進協議会(外部サイトへリンク)から公表されています。