フィッシングサイトは正規のウェブページを巧妙に模倣して個人情報を窃取することを目的としています。ですが、その実態や拡散方法、リスクについて、詳細に理解している人は意外と少ないかもしれません。この記事では、フィッシングサイトの概要から実際にどのような被害が発生しているのか、事例を通じてわかりやすく解説していきます。
フィッシングサイトとは
フィッシングサイトは、合法的なウェブサイトを模倣しユーザーから個人情報や財務情報を騙し取る詐欺サイトのことです。これらのサイトは、銀行、ソーシャルメディアプラットフォーム、オンライン支払いポータルなど、信頼されている企業のウェブページと酷似しており、細部に至るまで精巧に作られているため、見分けがつきにくいのが特徴です。ユーザーがフォームにログイン情報を入力すると、直接攻撃者の手に渡ってしまいます。
フィッシングサイトの拡散方法
メール
フィッシングの最も一般的な手段は電子メールを通じたものです。攻撃者は公式機関や信頼できる企業を装ったメールを大量に送信し、受信者をだますことでフィッシングサイトへ誘導します。これらのメールには、アカウントの確認や緊急の更新が必要であるといった、行動を促す強い言葉が用いられます。リンクをクリックすると、外見上は正規のサービスのログインページと区別がつかないフィッシングサイトに接続され、ここで情報が盗まれます。
SNS
ソーシャルメディアを通じてフィッシング詐欺を行う場合、攻撃者は感染した動画や画像、ニュース記事のリンクを投稿します。これらの投稿は興味を引く内容で、多くの場合、有名人のゴシップや緊急ニュース、無料の商品提供といったものです。ユーザーがリンクをクリックすると、フィッシングサイトにリダイレクトされ、個人情報の入力を促される形式をとります。
SMS
スミッシング攻撃では、攻撃者が送るSMSは非常に説得力があり、実際の緊急の通知と見間違えられます。例えば、未承認の取引の警告、アカウントの一時停止通知などがこれに該当します。リンクをクリックすると、ユーザーはフィッシングサイトにリダイレクトされ、ログイン情報やクレジットカード情報などの貴重なデータを詐取される可能性があります。
フィッシングサイトの被害に遭った際に想定されるリスク
金銭的被害
フィッシングサイトによる最も直接的な被害は金銭的損失です。攻撃者は個人情報やクレジットカード情報を盗み、不正に購入や出金を行います。被害額は数千円から数百万円に及ぶことがあり、一度情報が漏れるとその回復には長い時間と多大な努力が必要になります。
アカウントの不正利用・乗っ取り
フィッシングサイトによって盗まれたログイン情報は、ソーシャルメディアや電子メールアカウントの乗っ取りに使用されることがあります。乗っ取られたアカウントは、さらなるフィッシング攻撃やスパム送信のツールとして利用され、被害者の社会的信用にも影響を及ぼす可能性があります。
個人情報の流出
フィッシングサイトによる情報の盗難は、個人情報の大量流出を引き起こすことがあります。この情報は、オンラインでの身元詐称、その他の詐欺活動に利用されるほか、ダークウェブで売買されることもあります。
フィッシングサイトの事例
ここでは、様々な企業を騙るフィッシングサイトの事例をいくつかご紹介します。
参照元:一般社団法人 JPCERTコーディネーションセンター フィッシング対策協議会
| 公開日 | 概要 | メール/SMS等の件名 |
|---|---|---|
| 2024年1月 | りそな銀行をかたるフィッシング | 【りそな銀行】必ずご回答ください/お客様の直近の取引における重要な確認について 【りそな銀行】【重要】お客様の口座が凍結されました。 【重要・緊急】りそな銀行入金制限のお知らせ ※上記以外の件名も使われている可能性があります。 |
| 2024年1月 | ソニー銀行をかたるフィッシング | 【ソニー銀行】【重要】お客様の口座が凍結されました。 ※上記以外の件名も使われている可能性があります。 |
| 2024年2月 | イオンカードをかたるフィッシング | ●月ご請求額のお知らせ 【重要】イオンカードからの重要なセキュリティ更新 イオンカードに不審な取引が検出されたため ※上記以外の件名も使われている可能性があります。 ※「●」部分は数字が入り、実際の件名とは異なります。 |
| 2024年2月 | ゆうちょ銀行をかたるフィッシング | 【ゆうちょ銀行】【重要】お客様の口座が凍結されました_ ※上記以外の件名も使われている可能性があります。 |
| 2024年2月 | 内閣府を装うフィッシング | 【50,000円給付金】電力・ガス・食料品等価格高騰緊急支援給付金のご案内 ※上記以外の件名も使われている可能性があります。 |
| 2024年2月 | ビックカメラをかたるフィッシング | 【重要】 ビックカメラ 異常通知 ●●:●●:●● PM CST ※上記以外の件名も使われている可能性があります。 ※「●」部分は時間を表す数字が入り、実際の件名とは異なります。 |
| 2024年2月 | JR西日本をかたるフィッシング | 【JR西日本:Club J-WEST】できるだけ早くアカウント認証を完了する ※上記以外の件名も使われている可能性があります。 |
| 2024年3月 | 東京電力をかたるフィッシング | 【重要なお知らせ】未払いの電気料金についてご連絡させていただくものです。お客様のお支払い方法が承認されません ※上記以外の件名も使われている可能性があります。 |
| 2024年4月 | 東京ガスをかたるフィッシング | 【東京ガス】ご請求料金確定のお知らせ 【myTOKYOGAS】ご請求料金確定のお知らせ ※上記以外の件名も使われている可能性があります。 |
| 2024年4月 | Mastercard をかたるフィッシング | 【マスターカード 】カード年会費のお支払い方法に問題があります 【緊急通知】マスターカードセキュリティ更新のお知らせ 【ご注意】MasterCardカード不正使用疑惑のセキュリティチェック カードセキュリティの緊急アップデート:MasterCard カードの保護について MasterCardカード:不正使用疑惑のセキュリティチェック ※上記以外の件名も使われている可能性があります。 |
フィッシングサイトの見分け方
URLを確認する
フィッシングサイトを見分ける最も効果的な方法の一つは、ウェブサイトのURLを確認することです。多くのフィッシングサイトでは、正規のウェブサイトに似たURLを使用しますが、少しの違いがあります。例えば、「www.example.com」が正規のURLであれば、フィッシングサイトでは「www.examp1e.com」のように、似たようなが誤字を含むことがあります。
送信元を確認する
メールが正規のものかどうかを判断するためには、送信元のドメインを確認し、それが企業の公式ドメインと一致するかを見ることが重要です。例えば、正規の企業メールは「@companyname.com」のようなドメインを使用しますが、フィッシング詐欺では「@companynname.com」のように微妙に異なる場合があります。
メールの題名などで調べる(同様の事例がないか確認する)
不審なメールを受け取った場合は、そのメールの題名や具体的な文言をオンラインで検索することで、他の人が同様のフィッシング詐欺に遭っていないかを確認することができます。このように情報を共有することで、フィッシング詐欺の手口を広く知らせ、他の人々の被害を防ぐことが可能になります。
フィッシングサイトに遭遇した際の対応策
フィッシングサイトに誤ってアクセスしたり、個人情報を入力してしまった場合は、速やかにその情報を保護する措置を取ることが重要です。まず、該当のアカウントのパスワードを変更し、可能であれば二段階認証を設定してください。また、クレジットカード情報が漏れた場合は、カード会社に連絡して不正利用の防止を依頼し、カードの利用を一時停止することが推奨されます。
アクトのサイバーセキュリティ対策支援
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。
また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。
