フィッシング詐欺に騙されない3つの対策

みなさん、こんにちは。

ITサポートSORAの関口です。

情報化時代となり、1人ひとりがスマホを持ったことで必要な情報をすぐに得ることができるようになりました。

しかし、その一方でインターネットやスマホを利用したフィッシング詐欺被害も増加しています。

先日も、「Amazon」や「佐川急便」を不正に名乗ったSMS（ショートメッセージ）が出回り、大きな被害が出たとの報道がありました。

また、当店のお客様からも『「あなたのパソコンはウイルスに感染しています。至急対応してください」とのメールが届いたので、どうすればいいですか？』など、フィッシングに関するお問い合わせを多くいただいています。

もしかしたら、他のみなさまのところにもフィッシングメッセージや通知が届く可能性があります。

そこで、今回はフィッシングメッセージの実例を見ながら、フィッシングの特徴である不安を煽る心理を理解し、フィッシングに騙されないための3つの対策について書いていきます。

フィッシングとは？

最初にフィッシングという言葉を理解しましょう。

フィッシングとは

インターネットのユーザから経済的価値がある情報（例：ユーザ名、パスワード、クレジットカード情報）を奪うために行われる詐欺行為であり、典型的には、とかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われる。

～wikiより引用～

フィッシングメールやSMSを送付する側の目的は、相手に嘘の情報を与え、その人のユーザー名やパスワードなどの個人的な情報取得すること。

そして、オンラインショップで不正なショッピングをしたり、個人情報を売却したり、スマホに不正なプログラムをインストールさせたりすることです。

フィッシングとはインターネットを利用して、フィッシングをする側がなんらかの利益を得るために人を騙す行為です。

ひとり1台がスマホを持ち、1人ひとりがインターネットにつながっている時代では、フィッシングが横行する時代とも言えます。

最近のフィッシングメッセージの実例

それでは、当店に問い合わせのあったフィッシング詐欺メールの実例を見ていきましょう。

アップル・楽天からのフィッシングメール

アップル（Apple）と楽天を偽った実際のフィッシングメールをご紹介します。

アップルを偽ったフィッシングメール

Appleサポートセンターを名乗り、Apple IDが不正に利用されたかのように見せかけるフィッシングメールです。

赤枠で囲った「Apple ID」のリンクをクリックすると、下記画面が表示されます。

一見、Appleのホームページに見えますが、これは偽ホームページです。この画面でApple IDとパスワードを入力すると、情報が盗みとられる仕組みです。

楽天を偽ったフィッシングメール

次にオンラインショップ大手の「楽天」を名乗るフィッシングメールです。

このメールは「楽天パスワードの設定ページ」をクリックすると、偽ホームページにジャンプし個人情報を盗もうとするものでした。

幸い、ブラウザ側で事前に不正を検知することができたので、お客様は被害に遭わずにすみました。

スマホがウイルス感染したと脅すポップアップフィッシング

スマホでWebサイトを閲覧していたとき、いきなりポップアップで表示されるフィッシングです。パソコンにもポップアップで表示されるフィッシングがあります。

スマホにポップアップで全画面表示され「ウイルス駆除」を促され、4分のカウントダウンがはじまり、今すぐ行動をしないとファイルが消えると脅されるものでした。

アマゾン・佐川急便を偽ったフィッシングショートメッセージ（SMS）

最後に、ショートメッセージ（SMS）を利用したフィッシングメールをご紹介します。

ショートメッセージのフィッシングメールは、自分の電話番号を指定して送信されてくるため、高齢者の方は信じやすい傾向にあります。

Amazonを偽ったフィッシングショートメッセージ

未納料金が発生しているとのことで、Amazonのサポートセンターへ連絡するように促されています。

上記の電話番号に電話すると、おそらくAmazonのユーザーIDとパスワードを聞かれ、そのまま盗まれると思います。

また、こちらの電話番号も相手に伝わってしまうため、今後同じようなフィッシングメッセージがたくさん届くようになると思います。

佐川急便を偽ったフィッシングショートメッセージ

荷物の不在届を装ったフィッシングメッセージ。メッセージ内のURLをクリックすると偽りの佐川急便のホームページが表示されます。

偽りのホームページには、スマホに不正アプリをインストールする手順が掲載されていて、そのとおりに不正アプリをインストールすると、スマホ内の情報が盗られるか、憶測ですが、そのスマホに登録されている電話番号に対してフィッシングメッセージが送信されたのでは？と思います。

フィッシングメッセージに見られる4つの心理的特徴

オンラインショップや荷物の再配達の依頼など、すべてがインターネットでできるようになった結果、大企業名を偽ったフィッシングメッセージが横行する結果にもなりました。

昔のフィッシングメッセージは、日本語が変であったりURLが異なっていたりしたため、簡単に見極めることができました。

しかし、最近のフィッシングメッセージは、しっかりとした日本語で、かつスマホが「HTMLメール」という装飾メールを通常表示するため、偽URLに気づけなくなりました。

ただ、フィッシングメッセージには以下の4つの心理的な特徴が共通して見られます。

問題を課す

フィッシングメッセージは、最初に「パスワードが漏洩しました」「ウイルスに感染しました」「未納料金が発生しています」「荷物を届けたけど不在でした」など、あなたにとって何らかの問題が発生したことを伝えてきます。

そして、あなたに「それは問題だ！」と信じ込ませるために、誰もが使っているであろう「Apple」「Google」「Amazon」「楽天」などを有名な企業名を偽ります。

また、人は権威に弱い部分があり、「Apple」や「Google」などの大企業名から直接「あなたに問題があります」と言われると、その情報を簡単に信じ込む可能性があります。

不安を煽る

あなたに問題を与えたら、次にその問題をそのまま放置すると被害が大きくなるような不安感を与えます。

具体的には、「連絡先が危険にさらされます」とか、Amazonのフィッシングメッセージの例では、「法的手段に出ます」という箇所が不安を煽るメッセージです。

心を焦らせる

「あと、何分以内に対策を」とか「本日中に対応してください」「今すぐに」といった言葉で時間的制約を課して、心を焦らせます。

人は、心が焦ると正常な判断することができなくなり、すぐに解決策を求めたり何かにすがりたくなります。

偽善の提案をする

問題が発生して、不安感を抱いて、心にゆとりがなくなってから、最後に偽善の提案をしてきます。

「すぐにパスワードを変えてください」「アプリをインストールすれば大丈夫です」「今日中に電話すれば間に合います」など、すぐに問題が解決できそうな偽善の提案をすることで、最終的にあなたを動かそうとします。

しかし、よく考えてください。

そもそもの問題を課してきたのはフィッシングメッセージです。

フィッシングメッセージは、勝手にあなたに問題を課して、不安感を与え、心のゆとりを奪い、偽善の解決策を提案してくる自作自演の構文になっています。

このようなメッセージ構文がフィッシングメッセージの特徴です。

フィッシングメッセージに騙されない3つの対策

フィッシングメッセージは、様々な方法であなたを騙そうとします。

最近のフィッシングメッセージが高度化しているため簡単に見極めるのが難しく、何が正しくて何が偽りなのか？もわらなくなってきています。

そこで、フィッシングメッセージに騙されないための3つの対策についてご紹介します。

無視をする

まず、先ほどご紹介したような構文のメッセージは、フィッシングメッセージである可能性が高いです。

そのようなメッセージは無視をしてください。

Amazonや楽天は未納料金が発生しないように前払い方式が原則です。Amazonや佐川急便が通信料金が発生するショートメッセージを送信することはありません。

落ち着いて、ちょっとした角度から物事を考えてみることで、そのメッセージが自然か不自然か常識か非常識か見極めることも可能です。

Googleから検索する（メッセージ内のリンクはクリックしない）

「パスワードが漏洩したので至急変えてください」と言われると、誰もが何らかの心あたりを思いだし「大丈夫かな・・・」と不安になります。

もし、パスワードの漏洩が不安で確かめたい場合、メッセージ内のリンクからではなく、Googleなどの検索サイトから該当のサイト名で検索をして、トップに表示されたリンクからサイトにアクセスをしてください。

騙す側は、「Apple」や「佐川急便」を偽ったホームページを作ることは可能ですが、Googleの検索結果をコントロールすることができないためです。

SSLサーバ証明書を確認する

最後に、少しだけ高度な対策方法をお伝えします。

最近のホームページはSSLという暗号化技術を利用しています。

SSLでは、そのホームページが「正規のもの」であることを証明する「サーバー証明書」を利用しており、「サーバ証明書」は誰でも確認できるようになっています。

Apple社のサーバー証明書を確認する手順は、ブラウザのURLが表示されている欄の鍵マークをクリック。続いて「証明書」をクリックすることで、Apple社の正しいホームページであることを確認できます。

騙す側が「Apple」や「佐川急便」を偽ったホームページを作ることは可能でも、サーバ証明書は偽れない仕様になっています。

まとめ

いかがでしたでしょうか？

復習になりますが、フィッシングメッセージは人を騙すために下記の構文になっています。

• 問題を課す
• 不安を与える
• 焦らせる
• 偽善の提案をする

上記の構文のメールやショートメッセージはフィッシングである可能性が高いので極力無視をしましょう。

また、どうしても心配の場合は、メッセージ内のリンクをクリックせずに、Gooogleなどで検索してトップに表示されたページから入ること、それでも心配の場合は、SSLサーバ証明を確認してから、正規の手順でログインをするようにしましょう。

余談となりますが、最近はテレビのCMなどでも、上記の構文で伝えられているものが結構あります。

問題を課し不安を煽ることで、その商品を買ってもらえるのだと思いますが、不安を煽ることでしか売れない商品はそもそも信頼できないですよね。

情報化時代では、いい情報も悪い情報も飛び交っています。

自分にとって必要な情報を見極めて、1人ひとりが適切に対処できるようにしましょう。

ここまでお読みいただきありがとうございました。