偽サイトを見分けるポイントとアクセスしてしまった時の対処法
「偽サイトの見分け方ってあるのかな」
「もしも被害にあったらどうしよう」
インターネット上では、個人情報や機密情報などを盗み取るために、正規のウェブサイトに似せて作られた偽サイトがたくさん存在しています。誰もがインターネットの世界を安心して利用したいものですね。
そこで【情報セキュリティクイズ】です。
インターネット閲覧中、探していた商品で「今日限り最大90%OFF」というバナーを見つけました。次のうち正しい行動はどれでしょうか。すべて選択してください。
①探していた商品のため、すぐにアクセスしクレジットカード情報を入力した
②価格が不自然なため、インターネットで検索などを行い、企業名の盗用や虚偽の内容などがないか確認する
③URLの「https://~」やドメインに違和感はないか確認する
いかがでしょうか?
・
・
・
正解は ②と③です。
解説:「あと〇分」など、購入を急がせる手口が多くなっています。日本語が不自然なパターンや、架空の会社名などが表示されていることも多くなっておりますので、手続き中に不審な点があった場合は、すぐさま手続きを停止してください。
このクイズでは、偽ショッピングサイトに誘導されて詐欺の被害に遭わないための注意点を解説しました。
本記事では、偽サイトの見分け方のポイントやアクセスしてしまった時の対処法などを解説します。
1.偽サイト・詐欺サイトについて
2.偽サイト・詐欺サイトの具体例
3.偽サイト・詐欺サイトにアクセスしてしまった時の対処法
4.偽サイト・詐欺サイトを見分けるポイント
5.偽サイト・詐欺サイトに騙されないための対策
6.人的対策はセキュリティ教育から
偽サイト・詐欺サイトについて
偽サイト・詐欺サイトは、ユーザーを騙して詐欺行為や悪質な攻撃を行うために作られた違法なサイトのことです。実在する会社名などを用いて、正規のウェブサイトに似せて作られた偽物のサイトに誘導します。
偽サイト・詐欺サイトは、主にフィッシング詐欺として利用されています。こちらの記事も併せてご覧ください。
では、偽サイト・詐欺サイトの目的と手口を解説していきます。
偽サイト・詐欺サイトの目的
偽サイト・詐欺サイトに誘導する主な目的は次の3つです。
金銭の搾取
ショッピングサイト・銀行などの金融機関・クレジットカード会社などになりすまして不正に情報を抜き取り、不正に金銭を搾取します。
個人情報・ID情報の搾取
本物のサイトになりすましてログインIDやパスワードを手に入れます。アカウントを乗っ取り本人になりすまし、個人情報や関係者の情報を搾取するのが目的です。
企業においては 主に社内ネットワークやクラウドサービスで使用するアカウントと認証情報が狙われ、顧客情報や機密情報を搾取します。
攻撃の踏み台としての利用
ランサムウェアやマルウェアをダウンロードさせ、フィッシングメールをばらまく踏み台に利用されることもあります。
偽サイト・詐欺サイトの手口
偽サイト・詐欺サイトでユーザーを騙す手口は主に次の三つの流れです。
STEP1
犯罪者は、SNS・電子メール・SMSなどを通じて、ユーザーを偽のウェブサイトに誘い込みます。
実在する企業・サービス・クレジットカード会社・銀行などを装ってメールやショートメッセージを送り、ユーザーの希少性、不安感、危機感などを煽ります。
心理的に焦らせることでユーザーの判断を鈍らせて、巧みに本物とそっくりの偽サイトや詐欺サイトに誘導するのです。
STEP2
ユーザーは、騙されている判断がつかず知らず知らずのうちに、自分の名前・住所・ID・パスワード・クレジットカード情報などの個人情報を犯罪者に渡してしまいます。
STEP3
犯罪者はユーザーの情報を搾取し、アカウントの乗っ取り・端末のマルウェア感染などを実行します。
偽サイト・詐欺サイトの具体例
偽サイト・詐欺サイトは、冷静に注意していればおかしいと気づきます。しかし、不安を煽られると冷静な判断ができません。
実際にどのようなものがあるのか、事前に知っておくことが大切です。
4つの主な事例をみていきましょう。
大手ショッピングサイトをかたるもの
大手ショッピングサイトの会員に関して、メールやSMSから「情報の更新」と称して偽サイトに誘導する事例が増加しています。
- 支払方法に問題があり、自動更新ができなかった
- システムによるチェックの結果アカウントの再認証が必要となった
なかには、URLが偽のものであると悟られない工夫をされているケースも多いです。例えば、メールに記載された二次元コードで偽サイトに誘導し、本物とそっくりのログインページなどで、アカウント情報・住所・クレジットカード情報を入力させるものもあります。
カード会社をかたるもの
実在のカード会社をかたり、以下のような件名でメールが送られてくる事例もあります。
- カード年会費のお支払い方法に問題があります
- 【緊急通知】●●カードセキュリティ更新のお知らせ
- 【ご注意】カード不正使用疑惑のセキュリティチェック
ID・パスワード・クレジットカード番号・有効期限・セキュリティコード・生年月日・ワンタイムパスワードといったカード情報を入力させ、搾取します。
携帯会社をかたるもの
携帯会社からSMSを通じて、「未払い料金のお知らせ」「利用停止」などと称して、偽サイトへ誘導をする事例も報告されています。
- 偽サイトでは、「メンテナンスにともなうサービス一時停止」と表示され、プリペイドカードでの支払いしか選択できない
- 不正アプリのダウンロードを促す
以上のような不自然な点が見受けられます。
参考:ソフトバンクを装った不審なSMSやメールに関するご注意
官公庁をかたるもの
国税庁や警視庁と称して、偽サイトに誘導し個人情報を搾取したり不正アプリをダウンロードさせたりする事例も発生しています。
- e-Tax個人アカウントの登録確認に関する重要なお知らせ
- 未払い税金の督促状
最近では、警視庁の捜査員と称して非通知番号で電話をかけ警視庁の偽サイトに誘導させる事例も発生しています。
官公庁は国の機関ですので、犯罪者は受信者の「ねばならない」という義務感を煽るのです。
偽サイト・詐欺サイトにアクセスしてしまった時の対処法
どんなに気をつけていても、詐欺サイトにアクセスしてしまう可能性はあります。
詐欺サイトを開いただけならフィッシング詐欺などの被害に遭うケースはほぼありません。サイトはすぐ閉じ、念のために、セキュリティソフトのウイルススキャンで確認してみてください。
もしも、詐欺サイトと気づかず、個人情報などを入力したり商品などを購入したりした場合は、慌てずに次の対応をしましょう。
会員登録の削除
詐欺サイトに会員登録した場合は、速やかに登録の削除を行いましょう。
また商品などを購入してしまった場合は、電子メールなどでキャンセルの連絡をしましょう。
クレジットカード会社・金融機関に連絡
詐欺サイトでクレジットカード番号や銀行口座番号を入力してしまった場合は、速やかに契約しているカード会社や金融機関に連絡しましょう。
日ごろから定期的にクレジットカードの利用明細を確認したり、カード利用限度額を見直すと、不正利用の発見や被害を最小限にとどめることができます。
ID・パスワードの変更
詐欺サイトでIDやパスワードを入力してしまった場合は速やかにパスワードの変更を行いましょう。
ほかのサイトで同じIDやパスワードを使いまわしている場合も、アカウントの乗っ取りやリスクを防ぐために、IDやパスワードの変更をしておくとより安全です。
消費生活センターや警察へ通報
不安に思ったり、万が一トラブルが生じたりする場合は、消費者庁が設置している消費生活センターなどへ相談しましょう。
※消費者ホットライン「188(いやや!)番」
クレジットカードやインターネットバンキングでの不正利用に対する補償申請や、金融機関の振り込み詐欺救済法で救済を求める場合には警察に被害届を提出する必要があります。
警察への通報も忘れずに行うようにしてください。
また、詐欺サイトに企業情報を入力してしまった場合は、必ず上長やセキュリティ担当者に報告するようにしましょう。
偽サイト・詐欺サイトを見分けるポイント
偽サイト・詐欺サイトの被害に遭うと、気づかないうちに個人情報を盗まれて悪用されたり、金銭を騙し取られたりするリスクがあります。
自分は大丈夫だと思っていても、誘導メールや詐欺サイトは本物とそっくりで、うっかり騙されてしまうかもしれません。
ここでは偽サイト・詐欺サイトを見分けるポイントについて解説します。
ウェブサイトを検証する
最近では、偽サイト・詐欺サイトが本物と全く同じように作られているため、見分けることは容易ではありません。
偽メールに記載されたURLからアクセスしようとするウェブサイトが、本物か偽物かを以下の方法で確認・検証しましょう。
URLのつづりが間違っていないか確認
偽サイト・詐欺サイトを見分けるポイントの一つがURLのつづりの間違いです。
- アルファベットの一文字のo(オー)を「大文字のO(オー)にする」、「数字の0(ゼロ)にする」
- アルファベットの大文字のI(アイ)を「小文字のl(エル)にする」、「数字の1(イチ)にする」
受信者が見間違えて信用するように、文字列の1文字だけを変えていることがあります。
サイトシールの確認
サイトシールとはSSL証明書が導入されたホームページに掲載する画像で、ロゴマークなどが使われています。クリックするとSSL証明書の詳細情報が表示されますが、偽サイト・詐欺サイトで不正にコピーして使われている場合はクリックしても何の変化も起きません。
南京錠マークの確認
URLバーの南京錠マークはブラウザーとサーバーの通信が暗号化(SSL化)し、保護されていることを表しています。しかし、SSL証明書を簡単に取得できるサービスが普及したために偽サイト・詐欺サイトであっても、南京錠マークを備えているものもあります。
SSL化されているからといって安心せず、南京錠マークをクリックして証明書の詳細を確認しましょう。
ウェブサイトチェッカーでサイトを確認
アクセスしようとしているサイトが信頼できるウェブサイトかどうか、日本サイバー犯罪対策センターが提供している「SAGICHECK」で確認してみましょう。
この「SAGICHECK」を利用することで、ウェブサイトの危険性の有無について確認ができます。
信頼度の指針
URLのつづり・サイトシール・南京錠マーク・ウェブサイトチェッカーなど、詳細を確認する以外にもチェックする点があります。
- プライバシーポリシー(個人情報の取扱い方法や、プライバシーにどのように配慮しているかを示すための指針)
- キャンセルポリシー(サービス提供者側が、予約のキャンセルについて定めた指針)
信頼できる指針が、そのサイトにあるかどうかを確認しましょう。
会社概要や情報を確認する
偽サイト・詐欺サイトのなかには、所在地が記載されていなかったり架空であったりする場合があります。会社概要や運営会社などの情報を確認するのも見分ける一つの方法です。
事業者への連絡方法が、問い合わせフォームだけやフリーメールになっている場合も気をつけましょう。
日本語が不自然ではないか
偽サイト・詐欺サイトに誘導するメールには、日本語として違和感のある単語や文法のおかしい文章が使われている場合もあります。
- あなた様がご本人であることをすぐに確認してください。
- 会員番号および暗証番号等を入力すべきです。
これらのほかに、ビジネスマナーにみられる相手への気遣いを示す表現が全くない場合もあります。
- 恐れ入りますが
- お手数をおかけしますが
- ご理解、ご了承のほど
逆に大げさなほど丁寧な文章もあります。
送信元・ドメインを確認する
送られてきたメールやウェブサイトの連絡先情報から、そのドメインが正規のものであるかどうかの確認ができます。インターネット上で同じドメインを複数使うことはできません。そのため、サイトにアクセスする前にドメインを確認しておくと、本物と明らかに違います。
セキュリティソフトの警告を確認する
偽サイト・詐欺サイトにアクセスすると、セキュリティソフトが反応し「危険なサイト」と警告画面が表示されることがあります。警告画面が表示された場合は、詐欺サイトである可能性が高いためアクセスしないように注意しましょう。
偽サイト・詐欺サイトに騙されないための対策
偽サイト・詐欺サイトに騙されないためには、上記の「偽サイト・詐欺サイトを見分けるポイント」を参考にして特徴を知ることです。
マルウェアなどの脅威は日々進化していますので、セキュリティソフトのアップデートを定期的に行い、誤って偽サイト・詐欺サイトにアクセスしてしまった場合は念のためにセキュリティチェックを行いましょう。
初めて利用するショッピングサイトでは以下にも注意が必要です。
- 販売価格が大幅に値引きされている
- 代金の振込口座が会社名義でなく個人名義である
- 支払方法に複数の選択肢がなく、銀行振込・クレジットカード・代金引換などのいずれか一つのみに限定されている
- リンクが機能しない
送られてきたメールやSMSが、高額請求やサービス利用停止警告などの不安を煽るような内容であった場合、すぐに返信したりリンク先に記載されているURLのクリックをしたりするのはやめましょう。普段利用しているブックマークやアプリ、検索エンジンなどで正規のサイトにアクセスし、内容の真偽を確認してください。
人的対策はセキュリティ教育から
いかがでしたか?偽サイトの見分け方のポイントやアクセスしてしまった時の対処法などを解説してきました。
従業員がセキュリティに対して関心を持ち意識が向上してくると、トラブルに遭遇した際に適切な行動が取れるようになり、詐欺に遭う確率も低くなります。万が一詐欺に遭ったとしても、そのあとの被害拡大を防げるのです。
日本パープルが提供するコーチマモルの「情報セキュリティ教育」は、300社以上の教育コンサルティング実績を持った経験豊富な講師が担当し、従業員のセキュリティレベルに応じた実践的な研修を行っております。効果的なセキュリティ教育にご興味を持たれましたら、お気軽にご相談ください。
