お問い合わせ
フィッシング詐欺とは、正式なサービスを装い、パスワードやクレジットカード情報など、個人情報を盗む詐欺行為です。
総務省など国からも注意喚起が出ていますが、実際に遭遇した場合、それがフィッシング詐欺であると瞬時に判断することは、なかなか難しいといえます。
その理由は、フィッシング詐欺に使われるメールやWebサイトが、有名な通販サービスや銀行などとほとんど見分けがつかないためです。
このように、個人情報を盗む手口がより巧妙化し、フィッシング対策協議会によると2023年6月には149,714件のフィッシング詐欺やフィッシングメールが報告されています。
今回は、フィッシング詐欺の手口や対処法を紹介します。この記事を読んで、フィッシング詐欺被害に遭わないように対策しましょう。万が一フィッシング詐欺に遭ってしまった場合の解決方法についても記載しています。
\累計2.4万件の相談実績 24時間365日 相談受付/
目次
フィッシング詐欺とは
フィッシング詐欺とは、インターネットを利用する人から、金銭などを得るために、クレジットカード情報などの個人情報を入力させる詐欺の一種です。
フィッシング詐欺に遭い、第三者に個人情報を送ってしまうと、情報が利用されて不正アクセスや金銭被害、なりすましの被害に遭う場合があります。
フィッシング詐欺の手口
フィッシング詐欺の主な手口は、次の通りです。
- 実在するECサイトとよく似た不正サイトなどにユーザーを誘導させる
- アカウントIDとパスワード、クレジットカードや暗証番号などの個人情報を入力させる
- 攻撃者がユーザーになりすまして不正な取引を行ったり、情報を盗み取ったりする
近年はEメールやSMSと、偽物の感染警告を利用した手口の2つが主流となっています。
EメールやSMSを使った手口
EメールやSMSを用いた手口は、本物の企業と内容やURL見分けがつかないことが多くなってきており、誤って個人情報を入力してしまう事例が多発しています。
特に以下のようなメールの内容はフィッシング詐欺に多用されています。以下のようなメールが届いたら無視するか、公式サイトからログインして通知が事実か確かめましょう。
- 伝票番号などの必要な情報が無い荷物の不在通知
- ネット通販や宅配業者を装った、覚えのない料金未払いに関する連絡
- 携帯会社などのサービス停止・パスワード変更依頼の通知
- 身に覚えのない当選通知
- 災害発生時に義援金を募るような内容
SMSを利用した詐欺の手口や調査については下記の記事で詳しく紹介しています。
偽物のウイルス感染警告による手口
これは「ウイルスが検出されました」という偽のポップアップ警告によってフィッシングサイトなどに誘導するという手口です。誘導先ではセキュリティアプリと称して不正なアプリをインストールさせられたり、高額な作業費を請求させられることがあります。
このように偽物のウイルス感染やハッキングの通知を行い、ソフトウェア・アプリのダウンロードや電話問い合わせを促す手口は「サポート詐欺」とも呼ばれます。
企業のお知らせメールによる手口
一般的にフィッシングメールを送る時に使う企業名は、通販会社や携帯会社などある程度固定化されています。
しかし、過去に登録したサービスから「自動退会のお知らせ」「パスワード変更のお願い」など個人情報の入力が妥当に思える内容のメールが送られた場合は注意が必要です。
万が一SMSやメールの受信箱に上記のようなメールが届いた場合は、個人情報を入力する前に必ずサービスの公式サイトからお知らせが事実か確認し、メールの通知が本当か確認しましょう。
フィッシングサイトによる手口
フィッシングサイトとは、実在の金融機関やショッピングサイト、宅配業者などを装った偽サイトのことです。
精巧な偽サイトに誘導するために、事前に通販サイトやカード会社、携帯会社などを装った「サービス停止のお知らせ」「未払い料金お支払いのお願い」などの緊急性が高いメールが送られてくることがあります。
以上のようなお知らせメールはほとんどが「フィッシングメール」ですので気を付けましょう。
フィッシングメールに添えられたリンクをクリックすると、企業のサイトに極めて類似しているサイトが表示されます。
ここでログインIDやパスワード、クレジットカード番号を入力してしまうと、個人情報の流出やクレジットカードの不正利用をされる可能性があります。
フィッシングメールの被害事例
個人が被害に遭うことが多い印象のあるフィッシング詐欺ですが、企業ぐるみでフィッシング詐欺に遭うと大規模な情報漏えいを引き起こしてしまう事例も存在します。
以下は実際に発生したフィッシングメールの被害事例です。
フィッシング詐欺の実例・個人情報漏えい事件
フィッシング詐欺の被害事例としては、以下のものがあります。
セールスフォースのフィッシング詐欺
2007年、クラウド型顧客管理システムの最大手企業、セールスフォース(Salesforce)は顧客リストを漏えいしました。
漏えいした情報には顧客の氏名、メールアドレス、電話番号が含まれており、顧客を標的としたフィッシング攻撃が相次ぎました。顧客リスト漏えいの原因は、フィッシングメールを受信したセールスフォースの従業員が誤ってパスワードを入力してしまったことで、同社はセキュリティ教育などの対策を実施しました。
この事例は、セールスフォースのような大企業でも、フィッシング攻撃の被害に遭う可能性を示しています。近年では、なりすましメールや偽のWebサイトなどの精度が向上しており、依然としてユーザーの注意力が散漫なときに、騙されてしまう可能性があります。
出典:日経クロステック
ブッキングドットコムを踏み台にしたフィッシング詐欺
2023年6月、世界最大級の宿泊予約サイト「ブッキングドットコム」(Booking.com)が不正アクセスを受け、同サービスを利用している日本国内のホテルも不正アクセスや情報漏えいなどの被害を受けました。
通常のフィッシング詐欺では、公式サイトを装ったドメインを使った偽サイトに誘導されますが、今回の事例では公式のチャット機能・メール送信機能が悪用され、実際にブッキングドットコムからフィッシングメールが送られるため、被害が続出した模様です。
フィッシング詐欺の被害に遭った場合の対処法
フィッシング詐欺に遭ったと一口に言っても、フィッシングメールを受け取っただけの場合と、個人情報を送信した場合では危険度が大きく異なります。
本章ではフィッシングメールを受け取っただけの場合から、個人情報を入力した場合の対処法について解説します。
ウイルス除去ソフトでマルウェアを除去する
フィッシングメールに添付されたリンクには、ごくまれにウイルス(マルウェア)が感染している場合があります。
念のためフィッシングメールを開いてしまったと気づいたら、正式なウイルス除去ソフトなどを用いてマルウェアを除去しましょう。
なおマルウェアの中には、秘密裏に個人情報を送信するものもあります。漏えいした情報がないか調査したい場合は以下の記事を参照してください。
銀行やカード会社に連絡
見に覚えのない請求がされている場合は、これ以上被害を増やさない為にも契約しているカード会社や銀行に連絡し、クレジットカードや暗証番号番号の変更手続きを行いましょう。何よりも早急な対処が二次被害を抑えるのに有効です。
本物のサイトにアクセスしてパスワードを変更する
フィッシングサイトに個人情報を入力してしまった場合、本物のサービスサイトにログインし、パスワードを別のものに変更しましょう。
もしも入力したパスワードと同じものを使いまわしていた場合は、別サイトのパスワードも変更しましょう。盗まれたパスワードとログインIDで不正ログインされるおそれがあります。
フォレンジック業者に相談
フィッシング詐欺に遭った場合は、被害実態を調査し、個人情報が漏えいしていないかを明らかにするのが最善です。また、デジタルデータは改ざんが容易で、個人でむやみに操作すると、不正アクセスや遠隔操作などの痕跡が上書きされ、調査困難になる恐れが高まります。
フィッシング詐欺の被害を適切に調査するには「フォレンジック調査会社」に相談・依頼することをおすすめします。
フォレンジック調査とは
ITやセキュリティの分野では、デジタル機器から「法的証拠」に関わる情報を抽出する専門技術を用いた調査を「フォレンジック調査」と呼びます。
フォレンジック調査では、証拠保全をしたうえで、ウイルス感染や不正アクセスなどが発生しているネットワークや端末を調査・解析し、被害状況の把握や法的対応用の証拠収集についてサポートすることが可能です。
フィッシング詐欺の場合は以下のような調査を行います。
- マルウェア感染調査
- 不正アプリ調査
- 情報漏えい調査
- ログ調査
以上の調査を行い、情報漏えいや、フィッシング詐欺によって他に被害が出ていないか確認することができます。
その他にもパソコンやスマートフォンの症状や、ユーザーの目的に応じて脆弱性診断や、証拠保全作業を行うことがあります。
どうすればよいかわからない場合でも、フォレンジック調査の専門家が丁寧にヒアリング行い、必要に応じた調査内容などをご提案いたします。フィッシング詐欺に遭ったら、以下の電話番号までご相談ください。
フィッシング詐欺による情報漏えいはフォレンジック調査会社に相談する
セキュリティインシデントの被害を最小限に抑えるためには、正確な調査と迅速な対応が必要不可欠です。
専門的なノウハウを持たない中で、個人ないし自社のみで調査を行うと、実態を正確に把握できない可能性が高まるだけでなく、取引先や行政等へ報告が必要な場合、 自社調査のみだと信憑性が疑われ、さらなる信用失墜につながる危険性があります。
もし組織や社内でサイバーインシデントが発生した際、調査の実施が未確定の場合でも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.2万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定します。
緊急性の高いサイバー攻撃被害にも迅速に対応できるよう、24時間365日体制で相談、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
フィッシング被害・ハッキング調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
法人様は最短30分でWeb打ち合せ(無料)を設定
企業の情報漏えいインシデント対応が義務化されています
2022年4月からは、個人情報保護法が改正された影響で、情報漏えいが発生した場合、被害者と個人情報保護委員会に報告する義務化されました。
特に、以下のようなケースに該当する場合、委員会への報告と本人への通知が必要です。
- (1)要配慮個人情報(人種、信条、社会的身分、病歴など)が含まれる個人データの漏えい等
- (2)不正に利用されることにより財産的被害が生じるおそれがある個人データ(クレジットカード情報や口座情報)の漏えい等
- (3)不正の目的をもって行われたおそれがある個人データの漏えい等
- (4)個人データに係る本人の数が1,000人を超える漏えい等
- (5)条例要配慮個人情報が含まれる保有個人情報の漏えい等
したがって「マルウェアに感染した」、「ハッキングによる情報漏えいが疑われる」 場合、被害範囲や不正行為の経路を調べることが大切です。
情報漏えいにおける個人情報保護委員会への報告義務についてはこちら
最高1億円の罰金が科せられる恐れも
仮に「悪質な管理体制で個人情報の不正流用が発生した」もしくは「措置命令違反があった」場合、最高1億円の罰金が科せられる恐れもあります。
このため、顧客情報を取り扱う企業や組織は、情報漏えいが発生時、どの情報が、どのような経緯や経路で漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。
ただ、被害調査を行う場合、専門技術が必要です。これは自社のみでの対応が困難のため、第三者調査機関であるサイバーセキュリティ専門家と提携しての調査をおすすめします。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\相談から最短30分でWeb打ち合わせを開催/
フィッシング詐欺の対策とは?
フィッシング詐欺に遭わないため、日ごろから次のことに注意しましょう。
容易に個人情報を入力しない
メールやSMSでアカウント情報・クレジットカード番号の入力を求められても入力しないようにしましょう。基本的にメールやSMSを経由して個人情報の入力を促すことはありません。
送信元や件名に不審点がないか確認する
フィッシング詐欺の対策として、送信元や件名に不審点がないか確認することも対策になります。
メールを読んでいて、日本語の表現がおかしいものや、文字化けが発生しているものはすぐに削除しましょう。
次に注意が必要なのはURLのドメインです。フィッシングメールに利用されている大手企業の場合、多くはドメインを公開しています。添付されているURLと公開されているドメインと見比べて、ドメインと異なっていないか確認してください。
相場より異常に安い価格設定は疑う
通販サイトなどで、商品が相場より異常に安く販売されている場合は、詐欺の可能性などを疑いましょう。異常な安さで商品の購入を促し、クレジットカード情報を入力させ、商品は届けないような悪質なサイトも中にはあります。
不審なメール/SMSのURLをクリックしない
身に覚えのないメールやSMSが届いた場合、記載されたURLをクリックしないようにしましょう。また「重要」「お知らせ」「緊急」という強調文句も詐欺の可能性が高いとされます。焦らずに、URLが正式なものであるか必ず確認しましょう。
スマートフォン等のモバイル端末は、画面にURLがすべて表示されないことがあり、確認を怠ってしまう方が多くいらっしゃいます。
また、利用しているサービスからのメールであったとしても公式のアプリやサイトからログインすることで、被害に遭う確率を最小限に抑えることできます。
ID・パスワードは使いまわさない
複数のサイトで同じID・パスワードを使いまわしていると、個人情報が窃取された際に不正利用の被害に遭うリスクが高くなります。
被害を抑えるためにも、IDやパスワードの使いまわさずに、各Webサイトごとの登録情報を普段から管理するようにしましょう。
また、不正アクセス被害が増加しているため、単純なや文字列(12345、asdf、password など)や、第三者に推測されやすい電話番号や誕生日などは控えましょう。
異なるパスワードを設定することで、フィッシング詐欺だけでなくセキュリティの向上に繋がります。
生体認証やワンタイムパスワードを設定する
ワンタイムパスワードの設定や生体認証機能を設定しておくことで、万が一、フィッシング詐欺被害にあった場合も、第三者によるアクセスを防ぐことが可能です。
セキュリティーツールを導入する
フィッシングメールが頻繁に届く場合は最新のセキュリティーツールを導入しましょう。セキュリティーツールには、有害なメールをブロックするものや、危険なサイトを開くときに警告してくれるものまで様々です。
パソコンやスマートフォンが持つ脆弱性を補えるものを選ぶのが理想的ですが、脆弱性がどこにあるか調査するには専門知識が必要になります。
この場合は、セキュリティー診断を行っているフォレンジック調査会社に依頼するのがおすすめです。端末やネットワークを調査するだけでなく、レポートの作成も行うため、レポートを元に適切なセキュリティーツールを導入することができます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
