個人情報流出警告メールへの対処法【フィッシング詐欺対策】

突然ですが、【情報セキュリティクイズ】です。

「不正アクセスによりあなたの個人情報が流出しています」というメールを受信しました。この状況で正しい対応はどれでしょうか?

以下から選んでください:

  1. ①メールに記載されたリンクをクリックした
  2. ②メールの指示に従ってパスワードを入力し送信した
  3. ③検索ページから公式ウェブサイトにアクセスし、アカウントを確認したうえで企業に問い合わせを行った
  4. ④リンククリック後、指示の通りにファイルダウンロードを行った

いかがでしょうか?

正解は、


③です。

このクイズでは、フィッシング詐欺の一つの典型的な例に対処する方法を解説しました。

フィッシング詐欺は多岐にわたる手法が存在します。
本記事では、フィッシング詐欺に関する詳細な情報と対策方法をご紹介します。

おすすめサービスはこちら

目次

フィッシング詐欺とは
フィッシング詐欺おもな4つの種類と手口
メールフィッシング
ソーシャルメディアフィッシング
スミッシング
スピアフィッシング
フィッシング詐欺の最新被害事例6つ
金融機関やカード会社を装う
大手通信販売会社を装う
大手キャリアになりすます
警告メッセージで危機感を煽る
公共機関や官公庁を装う
宅配業者からの不在通知を装う
フィッシング詐欺の特徴と見分け方3つのポイント
URLがニセモノ
不安を煽る
日本語がおかしい
フィッシング詐欺による被害にあわないための対策
個人で取る対策
メールアドレス・URLを確認する
URLや添付ファイルを開かない
メール内容を確認する
ワンタイムパスワード・二段階認証を利用する
企業で取る対策
セキュリティソフトを導入する
セキュリティ研修を徹底する
フィッシング詐欺対策に欠かせないセキュリティ意識の向上

フィッシング詐欺とは

フィッシング詐欺とは、ログインIDやパスワードなどの重要な個人情報を盗むネット犯罪の一種です。送信者を詐称した電子メールを送りつけたり、偽の電子メールから不正サイトに誘導したりします。

近年は手口の巧妙さが増しており、発生件数も非常に増えています。

被害にあってから初めて気がつく方も多く、事前の対策が重要です。

参考:警察庁金融庁「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)」

フィッシング詐欺おもな4つの種類と手口

フィッシング詐欺の目的は、金銭利益につながる個人情報の搾取です。その手口は、従来のメール詐欺のほかSMSやSNSなどを利用し多岐にわたります。

誘導される偽サイトは、実に巧妙でひと目みただけでは本物サイトと見分けがつきません。そのため、受信者は気がつかずに個人情報を入力してしまうケースが多いです。

フィッシング詐欺のおもな4つの種類とその手口を解説します。

メールフィッシング

メールフィッシングとは、「なりすましメール」を用いた一般的な手口です。実在する銀行やクレジットカード会社、有名企業の名称を装ったメールを送信します。

  • ・アカウントがロックされた
  • ・サイトで購入した商品の決済ができていない
  • ・不正利用があった

など、受信者に不安を感じさせて偽URLをクリックさせ、クレジットカード番号やセキュリティコードなどの個人情報を入力させようとします。

ソーシャルメディアフィッシング

ソーシャルメディアフィッシングとは、FacebookやInstagram・X(旧Twitter)など、SNS(ソーシャル・ネットワークサービス)のプラットフォームを利用した手口です。

  • ・偽のログイン画面に誘導し、認証情報を搾取する
  • ・本物のユーザーになりすまし、友達やフォロワーから個人情報を聞き出す
  • ・アカウントをほかのSNSや金融機関などで共有している場合は、そちらにもアクセスできる

搾取後、個人情報・設定・パスワードを変更し完全に乗っ取られると、元の所有者はアクセスできなくなります。

スミッシング

スミッシングとは、開封率の高い携帯電話のSMS(ショート・メッセージ・サービス)を悪用した手口です。

  • ・宅配会社になりすまし、不在通知をSMSに送りつけ、偽サイトに誘導する
  • ・携帯会社になりすまして、未払い料金があることを知らせるSMSを送りつける

SMSは電話番号で送信できるため、ランダムに入力された数字で番号が一致すれば届いてしまいます。

スピアフィッシング

スピアフィッシングは特定の標的を絞り、機密情報にアクセスできる権限を持つシステム管理者などを狙う手口です。

  • ・ランサムウェアや、そのほかのマルウェアを拡散する
  • ・ユーザー名やパスワードなど資格情報を搾取する
  • ・顧客や従業員の個人情報、企業秘機密情報を搾取する

企業を攻撃対象とするフィッシングでは、主に社内ネットワークやクラウドサービスで使用するアカウントと認証情報が狙われます。

フィッシング詐欺の最新被害事例6つ

フィッシング詐欺に騙されないためには、詐欺の手口と実際の被害事例を知っておくと対策につながります。

ここからはフィッシング詐欺の被害事例を6つ紹介します。

金融機関やカード会社を装う

金融機関やカードが会社を装ったフィッシング詐欺では、主にネットバンキングサービスでのログインへ誘導し、カード番号などを搾取します。

下記のような内容のメールで受信者の不安を煽ります。

  • ・パスワードの入力ミスが連続して発生したため、お客様のアカウントのウェブアクセスを一時的に制限しました。ご迷惑をおかけして申し訳ありませんが、ご協力をお願いいたします。
  • ・アカウントの制限を解除するためには、以下のボタンをクリックして本人確認を行ってください。

ログイン情報やカード情報が盗まれると、身に覚えのない送金や請求がされ、被害金額が大きくなるケースも多く見受けられます。

大手通信販売会社を装う

大手通販サイトを装ったフィッシング詐欺では、大手通販サイトを装い、メールアドレスや電話番号、住所などのアカウント情報を搾取します。

主に下記のようなメールが届きます。

  • ・お客様の会費のお支払い方法に関して、問題が確認されました。現在、お客様の会員サービスは一時的に影響を受けております。
  • ・問題を解決し、サービスをスムーズにご利用いただくために、お支払い情報の更新が必要です。

フィッシングメールに記載されているURLから遷移する偽サイトは、本物との見分けができないほど巧妙に作り込まれています。普段から利用している方でも本物のサイトの見分けは難しいです。

大手キャリアになりすます

大手携帯キャリアを名乗ったフィッシング詐欺では、下記のようなメールが送られてきます。

  • ・決済に関するご利用内容のお知らせ。詳細は下記URLをご確認ください。
  • ・お客様の端末からウイルスが検出されました。安心セキュリティよりお守りください。

偽サイトのURLに誘導し、アカウントのID・パスワード、クレジットカード情報などの個人情報を搾取します。

警告メッセージで危機感を煽る

パソコンでインターネットを閲覧中に、ポップアップが表示され以下のような「ウイルス感染の警告」といった不安を煽る内容が表示されるフィッシング詐欺もあります。

  • 「ウイルスに感染しています。カスタマーサポートまで電話してください。」と警告画面が表示されて消せなかった。
  • 「警告!コンピュータがウイルスに感染しています。サポートセンター(050-XXXX-XXXX)に電話してください」と表示された。

何度も表示させることで心理的に焦らせます。画面に記載された連絡先に電話をかけさせ、ウイルス駆除費用として金銭を騙し取しとったり、遠隔操作ソフトをインストールさせたりする手口です。

公共機関や官公庁を装う

フィッシング詐欺では、公共機関や官公庁を装ったメールがよく使われます。このメールには、以下のような受信者の不安を煽る内容が多く含まれています。

  • ・このメールは、未払いの電気料金についてご連絡させていただくものです。お手数ですが、以下の内容をご確認いただき、早急にお支払いいただけますようお願い申し上げます。お支払い期限:〇〇/〇/〇
  • ・お支払いが確認できておりませんので、お早めにお支払いください。オンラインでのお支払い:以下のボタンをクリックして、オンラインでお支払いください
  • ・国税局からのお知らせ。最新の税制改革に基づき、国税局は国税払い戻し金の電子発行サービスを開始いたしましたことをお知らせいたします。個人の税金情報を迅速に更新し、税務サービスをより便利にご利用いただくため、全ての納税者に個人e-Tax×アカウントの登録をお願いしております。

支払期限などで焦らせたり、官公庁を装うことで義務感を煽ったりして偽のサイトへ誘導し、個人情報を搾取するのが狙いです。

宅配業者からの不在通知を装う

ネット通販利用の増加に伴い、不在通知を装う手口も増えています。宅配業者を装ったフィッシング詐欺では、SMS(ショートメッセージサービス)を利用して不在通知を装います。

  • ・お荷物の保管期間は、最大7日間となります。

宅配業者からは、荷物の集配の案内がSMSで送られてくることはありませんので、ご注意ください。SMSに記載されているURLがある場合は、クリックしないようにしましょう。

参考:フィッシング対策協議会「緊急情報」

フィッシング詐欺の特徴と見分け方3つのポイント

フィッシング詐欺を見分けるポイントとして、共通する特徴があります。フィッシング詐欺の特徴を知っておくと、対策につなげられます。

フィッシング詐欺の3つの特徴を紹介します。

URLがニセモノ

フィッシング詐欺のメールやSMSに記載されているURLのリンクは、実在する企業や団体のサイトのURLに似せて作られているのも特徴の一つです。

受信者が見間違えて信用するように、下記のように文字列を1文字だけ変えていることがあります。

  • ・アルファベットの一文字のo(オー)を「大文字のO(オー)にする」、「数字の0(ゼロ)にする」
  • ・アルファベットの大文字のI(アイ)を「小文字のl(エル)にする」、「数字の1(イチ)にする」

Unicode文字を使って、公式サイトと見分けがつかないような手口で、人々を偽サイトに誘導する方法も存在しています。

この手法は、目で判断することが難しいため、メールに記載されているURLをクリックすることは避け、代わりに公式サイトを検索してアクセスするようにしましょう。

不安を煽る

フィッシング詐欺のメールやSMS、DMは、受信者に不安を煽る文章を使うことが特徴です。

以下のような文章で、「すぐに対応しないと大変なことになる」と思わせて、焦らせます。

  • ・安心してお買い物を楽しんでいただくためには、クレジットカードの詳細情報(カード番号、有効期限など)を登録していただく必要があります。お客様の安全を守るための措置としてお考えください。
  • ・第三者による不正アクセスが発生していることを確認しました。お客様のクレジットカード番号などの個人情報が危険にさらされている可能性がございます。大変恐れ入りますが、早急に再登録手続きをお願いいたします。

慌てて記載されたURLをクリックしないよう気をつけるようにしましょう。

日本語がおかしい

フィッシング詐欺のメールの文章に、日本語として違和感のある単語や文法がおかしい文章が使われているのも特徴の一つです。

  • ・あなた様がご本人であることをすぐに確認してください。
  • ・会員番号および暗証番号等を入力すべきです。

このような日本語としておかしな言葉遣いのメールが届いたら、詐欺を疑いましょう。

フィッシング詐欺による被害にあわないための対策

フィッシング詐欺は受信するだけでは、被害にあいません。

フィッシング詐欺による被害にあわないための対策として、個人で注意する対策とともに、企業での対策も必要です。

ここでは個人と企業で取る対策をそれぞれ解説します。

個人で取る対策

フィッシング詐欺による被害にあわないためには、ITリテラシー(セキュリティ意識)の向上が不可欠です。日常的にメールを開封する前にセキュリティチェックする習慣を身につけましょう。

メールアドレス・URLを確認する

怪しいメールが届いたときには、送信元のメールアドレスと、記載されているURLを確認してください。また、公式のアドレスやURLと相違ないかも、確かめておきましょう。

スマートフォンのメールアプリによっては、メールの差出人欄に「ディスプレイネーム」しか表示されないことがあります。このような場合には、記載されたURLを確認するようにしてください。

メールのフィルタリング機能や、SMSの振り分け機能を使うのも対策の一つです。

URLや添付ファイルを開かない

メール・SMS・DMなどで届いたメッセージに記載されているURLを簡単にクリックしてはなりません。

URLをクリックすると、偽サイトにアクセスした瞬間にパソコンやスマートフォンの端末情報が盗まれる恐れがあります。添付ファイルを開いてしまった場合は、すぐにネットワークの接続を切るようにしてください。

SNS経由の友人・知人から突然URLだけ送られてきた場合、アカウントが乗っ取られている可能性もあります。少しでも不審に思ったり、違和感を覚えたりしたら、決してクリックしないようにしてください。

メール内容を確認する

企業を名乗るメールやSMSのメッセージが届いたら、それが本物の企業からのものか確認しましょう。

冒頭での【情報セキュリティクイズ】の解説にもありましたが、検索ページから公式ウェブサイトにアクセスし、アカウントを確認したうえで企業に問い合わせを行います。

ほかにもフィッシング詐欺の疑いがあるメールの文章をコピーして、被害報告がされていないか検索する方法もあります。

ワンタイムパスワード・二段階認証を利用する

ワンタイムパスワードは、パスワードの有効時間が約30秒と短いのが特徴で、ユーザー本人であっても一度しか使えません。短時間の中で不正に搾取されることはほとんど不可能です。

二段階認証は、ログイン時にIDやパスワード以外にセキュリティコードなどの文字列の入力をする、二段階で認証を行う方法です。通常セキュリティコードは本人の端末に届くことが一般的です。仮にIDやパスワードを不正取得されても、セキュリティコードを取得しない限り、ログインはできません。

企業で取る対策

フィッシング詐欺は、特定の企業を標的としたケースもあります。情報漏えいを防ぐために企業は、従業員と顧客の個人情報を守る二つの観点から対策を取る必要があります。

セキュリティソフトを導入する

従業員がフィッシング詐欺にあうリスクを下げるためにはハード面の対策も必要です。

業務用の端末では、フィッシング詐欺メールを見つけ出してブロックするセキュリティソフトの導入がおすすめです。セキュリティソフトには、フィッシング詐欺のリンクへのアクセスを遮断する機能や、検索結果のサイトの安全性をチェックする機能もあります。

セキュリティ研修を徹底する

フィッシング詐欺の対策として、従業員1人ひとりのセキュリティ意識を高めることが求められます。そのためには、情報セキュリティ教育を実施し、セキュリティの重要性を理解させることが重要です。定期的に教育を継続すると、意識が根付きセキュリティ遵守の行動を促します。

セミナーやeラーニングの他に、セキュリティ関連企業に依頼して、フィッシング詐欺を装ったメールを従業員に送って反応をテストすることも効果的です。

フィッシング詐欺対策に欠かせないセキュリティ意識の向上

企業では、フィッシング詐欺の対策と共にインシデント発生時の緊急時マニュアルやルールなどの整備も重要となります。

また個人情報流失を防ぎ、従業員のセキュリティ意識を向上させるためにはセキュリティ教育は必要不可欠です。

日本パープルが提供するコーチマモルの「情報セキュリティ教育」は、300社以上の教育コンサルティング実績を持った経験豊富な講師が担当いたします。

参加者のセキュリティレベルに応じた実践的な研修を行っており、企業の要望や課題に応じたカスタマイズも可能です。

自社にあった情報セキュリティ対策にご興味を持たれましたら、お気軽にご相談ください。

おすすめサービスはこちら

カテゴリー:情報セキュリティ