詐欺によるクレジットカードの不正利用が急増し、社会問題になっています。
以前にフィッシングメールや巧妙化する詐欺メール、詐欺メールを送れる背景と対策についての記事を掲載しましたが、手口が多様化し、被害が広範囲にわたっていることから、本記事ではフィッシングの様々な事例や、フィッシング対策のためのヒントをご紹介します。
▼関連記事
フィッシングメールとは?被害事例と被害に遭わないための対策をわかりやすく解説
ChatGPTの登場で詐欺メールはさらに巧妙に?気を付けたい【文例3選】
フィッシングによる被害額は過去最多
フィッシング詐欺によるクレジットカードの不正利用が急増しています。日本クレジット協会によると、2023年1月~12月のクレジットカード不正利用被害額は540.9億円(前年比23.9%増)で過去最多となりました。またその内の9割が、カード番号の盗用による詐欺被害でした。
また金融機関を騙った詐欺メールも多数確認されています。「個人情報の再確認」「不正アクセス通知」、「取引の停止」等のワードで届いた偽メールを通じて、不正に金銭を窃取される詐欺です。2023年の不正送金発生件数は5,578件、被害総額は約87億3,130万円で、それぞれ過去最多になっています。
出典:日本クレジット協会「クレジットカード不正利用被害額の発生状況」データより当社作成
フィッシング詐欺が社会問題になっている背景には、インターネットの普及やデジタル技術の進化があります。オンラインでのコミュニケーションや取引が増えたことで、詐欺の対象になる個人情報が盗み取られてしまうリスクも増加しているからです。
フィッシングとは?
フィッシングとは、悪意をもつ者が実在の企業や官公庁などになりすましてショートメッセージやEメールを送ったり、SNSの偽広告などから偽サイト(フィッシングサイト)に誘導して、個人情報の窃取をもくろむ悪質な詐欺行為です。
なりすましに気づかずに偽サイト上でユーザネーム、パスワード、アカウントID、銀行カードの暗証番号、クレジットカード情報などを入力してしまうと、その情報を使ってクレジットカードが不正利用されたり、銀行口座から不正送金されたりします。
マルウェアなど不正なアプリのインストールを促すケースもあり、インストールしてしまうと情報が盗まれるだけでなく、自身のスマートフォンがフィッシングメールの発信元にされることもあります。
フィッシングは英語でphishingという綴りで、“fishing (魚釣り)”という言葉と、手口の巧妙さや精巧さを表す“sophisticated”や、1970年代に問題になった電話の通話料詐欺“phone phreak”の“ph”との造語という説があります。餌で魚をだまして釣りあげるように、偽メールで相手をだまして情報を盗もうとする手口はますます狡猾になり、本物のメールやWebサイトと区別がつかないほど精巧に作られるようになっていることから、被害の増加が深刻になっているのです。
▼関連記事
フィッシング詐欺の手口と被害
昨今のフィッシング詐欺の被害拡大をふまえて、政府や企業は対策に乗り出しています。しかし偽サイトへ誘導する手口が巧妙化し、なりすましを見分けるのは困難になっています。以下にその手口の一部を紹介します。
Eメール、ショートメッセージ(SMS)から偽サイトへ誘導
フィッシングメールは送信者名を偽装し、巧妙にメール本文にあるURLリンクをクリックさせるような件名、送信者名(表示名・メールアドレス)、メール本文で配信されます。緊急性や不安を煽ったり、プレゼント当選など興味を惹くようなメッセージ内容で、受信者に十分に考える時間を与えずに行動させようとする事例も多く報告されています。メール内容にだまされて本文中にあるリンクをクリックしてしまうと偽サイトへ誘導され、アカウントの確認、パスワードのリセット、または個人情報の更新などを理由に個人情報の提供を求められたり、不正アプリのインストールをうながされます。
なお、消費者への影響が大きいと考えられるフィッシングメールやフィッシングサイトについての最新情報は、フィッシング対策協議会の緊急情報ページで確認できます。
フィッシングメールの件名例
クレジットカード会社、銀行
- ◯◯◯銀行より「カードご利用のお知らせ」
- お支払方法変更のご案内
- 【緊急】○○銀行が不正利用を検知
- 【○○銀行】アカウント異常活動の通知!通知番号:XXXXXXXXXXX
これ、かなり精巧なフィッシングメールじゃない?✉️
— 兼業主婦投資家エス@人生コスパよく生きる (@mnm56767187) April 1, 2024
アドレスがおかしい、一晩経ってもアプリに通知が来ない、でフィッシングメールって思えたんだけど…
アプリ入れてなければ騙されてたかも💦#フィッシングメール #三井住友カード pic.twitter.com/mgoZtfU9b8
某銀行をかたるフィッシングメールきたー!
— いが湯 (@igayun) April 4, 2024
口座持ってないのに…
URLも偽装。 pic.twitter.com/Q9tkgbSySh
Xでシェアされた、銀行をかたるフィッシングメールの例
宅配事業者、ECサービス
- 「お荷物お届けのお知らせ」
- 「アカウントの支払い方法を確認できず、注文をキャンセル(または出荷)できません。」
- 「情報の有効期限が切れ、アカウントの使用が停止されました。」
- 「【重要】◯◯◯ ご注文内容の確認」
フィッシングメールだけど、出だしが凄いね。「親愛なる同志諸君」とか言いそう。 pic.twitter.com/hLcT0v1BJF
— たくり~ (@ta9mi3) April 6, 2024
フィッシングメール気をつけてるのに騙された。
— リル (@unininiuniniu) March 31, 2024
エイプリル・フールだしね😅 pic.twitter.com/d9Xv1cDgwu
Xでシェアされた、宅配事業者をかたるフィッシングメールの例
官公庁、公共サービス
- 【警察庁】重要なお知らせ、必ずお読みください
- 税務署からのお知らせ【申告に関するお知らせ】
- 国民年金(基礎年金)アカウント停止通知
先月確定申告が終わったと思ったら
— 武田恵瑠々(えるるん)👑🐾🎙️📖 (@erutaro) April 3, 2024
税務署からのお知らせ【e-Tax個人アカウントの登録確認に関する重要なお知らせ】
ってメールが来てて😯⁉️って思ったら差出人のメアドはcomドメインだしリンク先URLも.netだしフィッシングメールだった💢時期的に騙されてしまう人が多そう。皆様もお気をつけて! pic.twitter.com/YeHNgyV7Fo
人によっては引っかかりそうなフィッシングメールだ… pic.twitter.com/yuHZ60aiEo
— はくでぇん (@HAKU_Rb) April 7, 2024
Xでシェアされた、官公庁や公共サービスをかたるフィッシングメールの例
リンクや添付ファイルへの巧妙な仕掛け
メールには詐欺サイトへのリンクだけでなく、クリックしたり添付ファイルを開いただけで悪意のあるソフトウェア(マルウェア)をPCに仕込まれるケースがあります。そうするとPCやスマートフォンが遠隔操作されて、個人情報やアクセス履歴などの情報が勝手に詐欺師へ送信されたり、サイバー攻撃の踏み台として使われる可能性があります。さらにPC内に保存したファイルをすべて改ざんされてしまい、その復元と引き換えに身代金を要求されるなど、さらなる被害が発生する可能性もあります。
電話とSNSのDMメッセージを組み合わせた例
詐欺師が警察の捜査員を騙って携帯電話に電話をかけてきて、偽サイトに誘導するケースが報告されています。番号非通知で電話をかけてきて「詐欺の共犯者として逮捕状が出ている」「警視庁のサイトで逮捕状を確認できる」などといってSNSのメッセージで偽の警視庁サイトのリンクを送り、名前や銀行の口座番号、暗証番号を入力させようとするものです。調査費用が必要だと言って、振込が求められるケースもあるようです。
QRコードの悪用
QRコードを悪用した詐欺手口によると、QRコードからフィッシングサイトへ誘導されてしまうケースもあります。従来のセキュリティサービスを入れていれば、不正なURLがテキストでメール内に表示されるとアラートが出ることもありますが、QRコードになっているとそのチェックをすり抜けてしまい、アラートが出ません。
その他、店舗や駐輪場などの公共スペースに掲示されているQRコード付きの看板やポスターの上に、偽サイトへ誘導するQRコードを物理的に貼り付けられるケースが報告されています。不動産管理会社になりすまして「家賃の振込先変更のお知らせ」の偽チラシを郵便受けに投函し、偽サイトに誘導するQRコードを読み込ませて金銭をだましとられた事件もありました(「それ、危険かも!QRコードを悪用した、新手な『家賃振り込み先変更猜疑』には要注意!」2023年8月23日 Yahoo! ニュース)。
検索結果やSNS上の広告から偽Webサイトへの誘導
Webサイトの検索結果やSNSに表示される広告や、有名人になりすましたアカウントによるポストからフィッシングサイトへ誘導されるケースが、多数報告されています。キャンペーンや価格の値引きなどのお得情報を謳った内容で利用者を引き付け、大手ブランドの通販サイトやふるさと納税サイトなど、見た目が本物とほぼ区別がつかないほど巧妙に作られた偽サイトに誘導されます。詐欺サイトだと気づかずに購入手続きまで進み、カード番号や住所を入力すると、それらの情報を窃取され悪用されます。
SNSでのなりすましアカウントによるもの
SNSやインターネット上で、有名人になりすましたり、「お金あげます」キャンペーンなど実際には存在しない賞金や現金配布を謳って、ユーザーから個人情報を盗んだり、金銭をだましとる詐欺です。X(旧Twitter)やLINEなどのプラットフォームで頻繁に発生しています。
当選詐欺
「当選おめでとうございます」といった偽の当選通知を送り、謳い文句につられてアクセスしたユーザーに高額の現金配布を約束し、有料の動画配信サイトへの登録を促したり、振込手数料という名目で送金を要求します。入金しても実際に現金が振り込まれることはありません。
個人情報の詐取
「現金を振り込むために個人情報が必要」といって個人情報を求めてきます。盗まれた個人情報はサイバー犯罪のターゲットリストとして売買される可能性があります。
さらにクレジットカード情報が盗まれ、不正利用による追加の金銭的被害に遭う可能性もあります。
増加を受けてマスメディアでも注意喚起
なぜなくならない?SNS有名人なりすまし広告 クリックすると…(NHK NEWS WEB 2024年4月6日)
有名人になりすます「ニセ広告」が増加 「SNS型投資詐欺」と「ロマンス詐欺」の被害455億円…株価急騰も背景に(FNNプライムオンライン 2024年3月8日)
Facebook・インスタで頻発、投資など勧誘する有名人広告詐欺--なぜ起きるのか、責任は(CNET Japan 2023年12月30日)
有効なフィッシング対策の基本
疑わしいコミュニケーションを識別する
最近の偽メールや偽サイトはとても精巧に作られているため、見分けることは困難ですが、いくつかの兆候に注意を払うことが重要です。常に警戒心を持って行動することが、フィッシング対策の基本です。以下の点に留意して、疑わしいコミュニケーションを識別することができます。
メールの件名
上記に挙げたメールの件名と似ている場合は「これはフィッシング詐欺ではないか」と疑い、注意して行動しましょう。送信元となっている企業の公式アプリや公式サイトにブックマークからアクセスして、詐欺に関する注意が書かれていないかを確認したり、SNSで同様の情報があるかを確認します。
また先述したフィッシング対策協議会の緊急情報でも影響力の大きいと判断された事例を確認できます。
送信元のメールアドレス
送信者のメールアドレスが公式のものと異なる、または全く関係ないアドレスから送られてきた場合は警戒が必要です。正規の企業や組織からのメールであれば、そのドメイン名(@マークの後ろの部分)は正式なものであるはずです。
メール本文にあるリンクのURL
メール内のリンク先のURLは、本物とは微妙に異なることが多いです。例えば、スペルミスがあったり、不要な文字が追加されている場合があります。パソコンからであれば、URLにカーソルをあわせて表示されるリンクのアドレスを確認できます。確認の際はクリックしないように注意しましょう。
急ぎの表現を使う
フィッシング詐欺のメールはしばしば、緊急性や恐怖を煽るような言葉遣いをします。例えば、「直ちに行動しないとアカウントが閉鎖されます」といった表現です。これは、十分に考える時間を与えずに行動させようとする試みです。
個人情報の要求
信頼できる組織や企業は、メールでID・パスワードや銀行の暗証番号などの機密情報を尋ねることはほとんどありません。このような情報をメールで要求する場合は、疑うべきです。
文法やスペルの間違い
公式のコミュニケーションは、一般的には文法やスペルが正確です。多くのフィッシングメールでは、文法に違和感があったり、スペルに間違いが含まれていることがあります。
不審な添付ファイル
.exe、.scr、.zipなどの添付ファイルが付いている場合、悪意のあるソフトウェアを含む可能性があるため、すぐに開くべきではありません。
行動のポイント
日頃から使うサービスは、公式サイトをブックマーク
利用しているサービスへログインする際は、あらかじめブックマークしておき、そこからアクセスする習慣にしておきましょう。フィッシング詐欺に遭うのは、ECサイトで購入したばかりのタイミングだったり、配達を待っている時、何かで急いでいる時、疲れている時、寝起きで意識がはっきりしていない時などに起きやすいです。そのような時でも、慌てて不用意に偽サイトにアクセスしないように行動の習慣づけをすることが重要です。
リンク先にアクセスせず、公式アプリや公式サイトからログイン
不用意にリンクをクリックしないようにしましょう。ログインはメール文にあるリンクからではなく、必ず公式アプリや、あらかじめ登録したブックマークからアクセスしてログインしてください。
指紋・顔認証によるログイン設定
スマートフォンで指紋認証や顔認証が使える場合は、それらを使ってログイン設定しましょう。
2段階認証は内容をしっかり確認
スマホに2段階認証の許可を求める通知(ショートメッセージ、Eメール)が届いたら、記載されている日時や端末などに見覚えがあるかを確認します。身に覚えのないものは「ログインしない」ようにしましょう。