コラムアーカイブ

料金の未払い通知や還付金など、「つい確認したくなる」連絡を騙り、メッセージ内のURLから偽のログイン画面に誘導してログインに必要なIDやパスワードや個人情報を入力などさせるのが、フィッシング詐欺の特徴です。

フィッシング詐欺の手法は日々変化しています。同じメッセージの内容や手法を続けていては、メッセージの文面などからまた詐欺かと見破られてしまいますし、メールやSMSの送信経路での対策で検知されてしまうので、フィッシング詐欺師は日々新しいことを考えていると過去の事例から推測できます。

フィッシング詐欺を分解すると「送信手段」「メッセージの内容」「誘導先での要求」にそれぞれバリエーションがあります。「メッセージの内容」で騙られる企業や組織名に注目してしまうかもしれませんが、様々なバリエーションがあることを知っておくことは、サイバー防犯において大切です。

まず、「送信手段」ですが、電子メールかSMS（ショートメッセージ）が日本では主流です。海外では自動応答通話など音声を使ったビッシング（ボイス＋フィッシングの造語）と呼ばれる方法も報告されています。

電子メールだけでなくSMSも使われるようになり、スマホ利用者のフィッシング被害が数多く生まれています。SNSやチャットアプリなども詐欺に使われていますので、メールやSMSだけ警戒すればいいと思わずに、今後新しい送信手段を使う可能性があると認識しておきましょう。

次に、「メッセージの内容」として、海外系の大手ECサイトや宅配事業者、最近は国税庁から未払いを伝えるメッセージが良くあるパターンです。フィッシング詐欺の注意喚起などを行っているフィッシング対策協議会という一般社団法人が発信する緊急情報の内容から騙られる企業や組織の多種多様さが伺えます。

また、一般的なフィッシング詐欺のメッセージには誘導手法としてURLが書かれていますが、フィッシング対策協議会が2022年12月はメールにQRコードを埋め込む手法が増加したと報告しています。この手法の増加には、パターンマッチングなどの対策に引っ掛からないよう、URLの代わりにQRコードの画像を使って対策を回避させようとする意図があると考えられています。フィッシング詐欺はURLをクリックやタップしなければ大丈夫と思っていたらこの手法に引っ掛かるかもしれません。QRコードの手法についても認識しておきましょう。

「誘導先での要求」、つまり詐欺師の最終目的として、偽のウェブサイトでIDとパスワード、氏名や住所などの個人情報、クレジットカード情報を入力させる手法が注意喚起や報道などでよく報告されています。この他には、悪意のあるアプリをインストールさせる場合もあります。

悪意のあるアプリには、スマホ内の情報収集や操作を行う意図があり、アプリのインストールに誘導する詐欺師にとって悪意のあるアプリにはウェブサイトで情報入力させる以上のうまみがあると考えられます。

悪意のあるアプリをインストールさせるフィッシング詐欺があることも認識して、メッセージから誘導されてもインストールしないように注意しましょう。

フィッシングの被害に遭わないためには、届くメッセージの中にフィッシング詐欺がある可能性を常に疑い、ログインや情報の入力やアプリのインストールなどの操作を要求された場合は、届いたメッセージからではなく、サービス名をネット検索した結果や、事前に保存しておいたサービスへのブックマーク、サービスの公式アプリがあればアプリからサービスへアクセスして、サービス内に同様の通知やメッセージが表示されるか確認するなど、用心深く届いたメッセージの真偽を確認することが重要です。

新しい手法が今後登場するかもしれません。前述のフィッシング対策協議会は、新しい事例をホームページやTwitterで紹介していますので、こまめにチェックして新しい手口を知ることもオススメの対策です。