フィッシングとは、実在する組織名等を騙って、IDやパスワード、クレジットカード番号等の重要な個人情報を盗み出す行為です。
なおフィッシング(phishing)とは、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
特に電子メールや携帯電話のSMSを送り、本文に記載したリンクから有名企業等のウェブサイトを模した偽サイト (フィッシングサイト) に誘導する手法が広く使われています。
電子メールの場合、メール文面も偽サイトも見た目では本物と区別することが困難で、さらにメーラーに表示される差出人や送信元のメールアドレスも本物に偽装されているケースが大半を占めつつあるようです。
騙りに使われるブランド(組織、サービス等)も様々で、大手ECサイトや銀行、厚生労働省、ETC利用照会サービス、電子決済サービス等がこれまでに確認されています。
■参考(JC3 日本サイバー犯罪対策センターホームページより)
フィッシング詐欺自体は以前から広く知られていましたが、ここ数年、件数の増加と手口の巧妙化が急速に進んでいます。
フィッシング対策協議会へ寄せられた報告によると、その報告件数は2018年では年間2万件弱の報告件数だったのに対し、2021年では年間53万件弱と、4年で27倍ほどになってます。
フィッシングに悪用されたブランドも増加しており、2021年12月の報告では、クレジット・信販系が20ブランド、都市銀行やネット銀行など金融系ブランドが6ブランド、ISPやホスティング事業者、メールサービスが10ブランドの他、保険会社や水道局を騙るフィッシングも報告されたとのことです。
また、ねんきんネット(日本年金機構)、特別定額給付金申請サイト(総務省)、コロナワクチンナビ(厚生労働省)、宅配便の不在通知のSMS等を騙ったものも報告されています。
手法としても、電子メールから偽サイトに誘導するものだけでなく、携帯電話のSMS(ショートメッセージサービス)を送り偽アプリをダウンロードさせる手法等も確認されています。
上記以外の細かな点でも、以前はメール本文の日本語が不自然なものが多かったのに対し、近年は日本語も巧妙になり本物と区別がつかなくなったり、偽サイトでもSSL通信に対応している等、手口の巧妙化が急速に進んでいます。
件数の爆発的な増加、手口の急速な巧妙化を考えると、強く警戒し続けることが必要です。
フィッシング攻撃は、メール文面やサイトの見た目では、本物と区別をつけることが非常に困難です。メールにリンクがあっても、リンクからはアクセスせず、ブックマーク(お気に入り)に登録した正しいURLやアプリからアクセスすることが重要です。
攻撃者は、私達に冷静な判断をできなくさせるために緊急性を装った内容を送ってくることが多いようです(支払いの確認が取れていない、アカウントの確認が必要等)。そのようなメールを受け取ったときは特に注意が必要になります。なお、銀行やクレジットカード会社が、メールによって顧客の口座番号やクレジットカード番号、IDやパスワードを確認することは基本的にありません。
正規のIDやパスワードがフィッシングサイトに知られてしまうと、ブランドを騙られたサービスに不正ログインされるだけではなく、ID、パスワードを使い回していた場合、他のサービスにも不正ログインされる可能性があります。
早急にパスワードを変更するとともに、使い回しのパスワードを利用しているサービスについてもサービスごとに個別のパスワードを設定することが必要になります。
特に決済機能があるWEBサービスやアプリに不正ログインされた場合、金銭的被害が発生する恐れがあるため、より一層の注意が必要です。
クレジットカード情報の場合、早急にカード会社の紛失・盗難窓口へ連絡し、カードの利用を停止し、再発行手続きをすることが必要になります。オンラインバンキングの口座情報の場合でも、早急に金融機関に連絡しなければなりません。
カードの不正利用等、実際に金銭的な被害が発生してしまった場合は警察に相談し、状況によって被害届の提出等が必要となる場合があります。
もはや空気のように我々の生活になくてはならないものとなっているインターネットですが、それゆえに、悪意をもった者の不正な活動の場となっていると言えます。注意を怠ってしまうと、様々な被害に遭う可能性があります。
インターネットを安全に使うためには、「一瞬立ち止まる」「本当に安全か考える」ことを習慣とする必要があります。
インターネットにアクセスする際には、