国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
フィッシング詐欺とは、送信者を詐称したメールやSMSを送りつけ、貼り付けたリンクをクリックさせて偽のホームページに誘導することで、クレジットカード番号やアカウント情報(ユーザID、パスワードなど)などの重要な情報を盗み出す詐欺のことです。なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であるといわれています。
最近では、電子メールの送信者名を詐称し、もっともらしい文面や緊急を装う文面にするだけでなく、接続先のWebサイトを本物のWebサイトと区別がつかないように偽造するなど、ますます手口が巧妙になってきており、ひと目ではフィッシング詐欺であると判別できないケースが増えています。
また、スマートフォンを対象として、電子メールやSMSなどのメッセージ機能からフィッシングサイトに誘導しようとする手口も増えています。
フィッシング詐欺の手口としては、以下のようなものが挙げられます。
典型的な手口としては、クレジットカード会社や銀行からのお知らせと称したメールなどで、巧みにリンクをクリックさせ、あらかじめ用意した本物のサイトにそっくりな偽サイトに利用者を誘導します。
そこでクレジットカード番号や口座番号などを入力するよう促し、入力された情報を盗み取ります。
SNSの投稿サイトにURLを載せ、クリックさせて誘導します。短縮URLを悪用し、一読しただけではアクセス先のURLが分からないものが多いため注意が必要です。
電子メールやSNSに投稿されたURLを、実在するURLに見間違えるような表示にすることで偽サイトに誘導します。
例えば、アルファベットの(オー) o を数字の 0
にしたり、アルファベットの大文字の(アイ) I を小文字の(エル) l
にしたりして、閲覧者が見間違えるのを待ちます。
対策としては、以下の点に注意しましょう。
金融機関のID・パスワードなどを入力するWebページにアクセスする場合は、金融機関から通知を受けているURLをWebブラウザに直接入力するか、普段利用しているWebブラウザのブックマークに金融機関の正しいURLを記録しておき、毎回そこからアクセスするようにするなど、常に真正のページにアクセスすることを心がけましょう。 事業者が提供している正規のスマホアプリを利用することも有効です。スマホアプリをダウンロードする際は正規の提供元(Google Play や AppStore)から入手してください。
正規のドメイン名が分かっている場合には、ブラウザーの上部または下部に表示されている
WebサイトのURL
のドメイン名が一致しているかどうかを確認します。ドメイン名は「https://(ドメイン名)/」もしくは「(鍵マーク)(ドメイン名)」のように表示されます。
WebブラウザのURLに鍵マークが表示されているにもかかわらず、フィッシングサイトであるケースが増えています。鍵マークには、Webサイトとの通信が暗号化されているという意味と、Webサイトを運営している組織が実在しているといった全く異なる意味がありますが、いずれも同じように表示されています。鍵マークだけで安心せず、より詳しく、もしくは他の方法と組み合わせて確認しましょう。
金融機関などの名前で送信されてきた電子メールやSMSなどのメッセージの中で、通常と異なる手順を要求された場合には、内容を鵜呑みにせず、金融機関に確認することも必要です。フィッシング詐欺であるかどうか判断が難しい場合には、メールの送信元の会社に連絡をしてみるのもよいでしょう。ただし、電子メールに記載されている相手の情報は正しいものとは限らないため、電話をかける場合には必ず正規のWebサイトや金融機関からの郵便物などで連絡先の電話番号を調べるようにしてください。