お問い合わせ
フィッシング詐欺は、実在する企業やサービスを装ってユーザーを騙し、パスワードやクレジットカード番号などの個人情報を盗み取るサイバー犯罪です。
近年はその手口がますます巧妙化しており、正規サイトと見分けがつかないほど精密な偽サイトやメールも確認されています。「自分は大丈夫」と思っていても、誰でも被害に遭う可能性があります。
本記事では、フィッシング詐欺の具体的な手口や防止策、万が一の対処法までをわかりやすく解説します。
\累計46万件の相談実績 24時間365日 相談受付/
この記事を書いた人
デジタルデータフォレンジック
エンジニア
目次
フィッシング詐欺とは
フィッシング詐欺とは、実在する金融機関、通販サイト、行政機関などを装ってユーザーを騙し、クレジットカード番号やログイン情報、暗証番号といった個人情報を不正に取得するサイバー犯罪です。主に、メールやSMSを通じて偽のWebサイトに誘導し、正規のログインページを装った入力フォームに情報を入力させるという手口が使われます。
たとえば、有名な通販サイトや銀行の公式メール・ログインページとほとんど見分けがつかないほど精巧なデザインが用いられています。そのため、被害に気づかず個人情報を入力してしまうケースが後を絶ちません。
被害に遭うと、以下のような深刻な事態に発展します。
- クレジットカードの不正利用
- 銀行口座からの不正送金
- 通販サイトやSNSのアカウント乗っ取り
近年ではスマートフォンを狙ったSMSフィッシング(スミッシング)や、SNSのダイレクトメッセージを通じた詐欺も急増しています。年齢やITリテラシーにかかわらず、誰でも被害に遭う可能性があるため、日頃からの警戒が必要です。
総務省など公的機関も注意喚起
近年はその手口が非常に巧妙化しており、被害が相次いでいることから、総務省など国の機関からも注意喚起が出ています。
また、フィッシング対策協議会によると、2023年6月には149,714件ものフィッシング詐欺・フィッシングメールの報告がありました。過去最大級の件数であり、もはや誰が被害に遭ってもおかしくない状況といえるでしょう。
フィッシング詐欺の手口
フィッシング詐欺にはさまざまな手口があり、それぞれ異なる特徴を持っています。中には、正規のサービスと見分けがつかないほど精巧な偽サイトやメッセージもあり、注意が必要です。
まずは、代表的な手口を「名称」と「概要・特徴」に分けて一覧表で紹介します。
| 名称 | 概要・特徴 |
|---|---|
| フィッシングメール | 企業や公的機関を装ったメールで偽サイトへ誘導し、個人情報を入力させる。 |
| スミッシング(SMS詐欺) | SMSで宅配業者や金融機関を装い、偽サイトに誘導して情報を盗む。 |
| ソーシャルメディアフィッシング | SNSのDMや投稿で偽のログイン画面などに誘導し、アカウント情報を盗む。 |
| スピアフィッシング | 特定の個人や組織を狙い、精巧なメールやメッセージで信頼を得て情報を盗む。 |
| ビッシング(電話詐欺) | 金融機関や警察を装い電話で暗証番号や口座情報を聞き出す。 |
| SEOポイズニング | 検索結果の上位に偽サイトを表示させ、正規サイトと誤認させて誘導する。 |
| ウイルス感染を装った警告 | 「ウイルス感染」などの偽警告を表示し、偽サポート窓口へ誘導して金銭や情報を詐取する。 |
各手口には共通点もありますが、具体的な誘導方法や詐取の流れには違いがあります。
ここからは、これらの手口が実際にどのように使われるのか、個別のケースごとに具体的な仕組みと対処法を詳しく見ていきましょう。
EメールやSMSを使った手口
送信者を偽装して、「アカウントの確認」や「支払い遅延」「不在通知」などの内容でメールやSMSを送りつけ、本文中のリンクから偽サイトへ誘導します。偽サイトでは、本物そっくりのログインページを表示し、IDやパスワードを入力させます。
近年では、正規のロゴや文面を使って本物と見分けがつきにくいメールが多く、特にスマートフォンユーザーの被害が急増しています。
もし以下のようなメールが届いたら無視するか、公式サイトからログインして通知が事実か確かめましょう。
- 伝票番号などの必要な情報が無い荷物の不在通知
- ネット通販や宅配業者を装った、覚えのない料金未払いに関する連絡
- 携帯会社などのサービス停止・パスワード変更依頼の通知
- 身に覚えのない当選通知
- 災害発生時に義援金を募るような内容
SMSを利用した詐欺の手口や調査については下記の記事で詳しく紹介しています。
偽物のウイルス感染警告による手口
突然「ウイルスに感染しています」「セキュリティ上の問題を検出しました」などと警告が表示され、偽のサポートサイトや電話番号へ誘導されます。電話をかけると「遠隔サポート」と称して、リモート操作を要求され、金銭をだまし取られる事例もあります。
このように偽物のウイルス感染やハッキングの通知を行い、ソフトウェア・アプリのダウンロードや電話問い合わせを促す手口は「サポート詐欺」とも呼ばれます。
企業のお知らせメールによる手口
過去に利用した通販サイトや携帯会社を装い、「パスワードの有効期限切れ」「アカウントの自動退会通知」など、一見正当な内容の通知を装って偽サイトへ誘導します。メールの文面が丁寧で信憑性が高いため、見抜きづらいのが特徴です。
過去に登録したサービスから「自動退会のお知らせ」「パスワード変更のお願い」など個人情報の入力が妥当に思える内容のメールが送られた場合は注意が必要です。
万が一SMSやメールの受信箱に上記のようなメールが届いた場合は、個人情報を入力する前に必ずサービスの公式サイトからお知らせが事実か確認し、メールの通知が本当か確認しましょう。
フィッシングサイトによる手口
フィッシング詐欺の多くは、正規サイトを装った偽のWebサイトへ誘導する手口です。
「サービス停止」や「未払い料金」などの緊急を装ったメールやSMSからリンクを開かせ、本物そっくりの偽サイトに誘導します。見た目・URL・SSL証明書まで精巧に模倣されており、利用者は疑わずにログイン情報やカード番号を入力してしまいます。
入力してしまうと、カードの不正利用やアカウント乗っ取りにつながる可能性があります。
リンクは開かず、必ず公式アプリやブックマークからアクセスしましょう。
フィッシングメールの被害事例
個人が被害に遭うことが多い印象のあるフィッシング詐欺ですが、企業ぐるみでフィッシング詐欺に遭うと大規模な情報漏えいを引き起こしてしまう事例も存在します。
以下は実際に発生したフィッシングメールの被害事例です。
セールスフォースのフィッシング詐欺
2007年、クラウド型顧客管理システムの最大手企業、セールスフォース(Salesforce)は顧客リストを漏えいしました。
漏えいした情報には顧客の氏名、メールアドレス、電話番号が含まれており、顧客を標的としたフィッシング攻撃が相次ぎました。顧客リスト漏えいの原因は、フィッシングメールを受信したセールスフォースの従業員が誤ってパスワードを入力してしまったことで、同社はセキュリティ教育などの対策を実施しました。
この事例は、セールスフォースのような大企業でも、フィッシング攻撃の被害に遭う可能性を示しています。近年では、なりすましメールや偽のWebサイトなどの精度が向上しており、依然としてユーザーの注意力が散漫なときに、騙されてしまう可能性があります。
出典:日経クロステック
ブッキングドットコムを踏み台にしたフィッシング詐欺
2023年6月、世界最大級の宿泊予約サイト「ブッキングドットコム」(Booking.com)が不正アクセスを受け、同サービスを利用している日本国内のホテルも不正アクセスや情報漏えいなどの被害を受けました。
通常のフィッシング詐欺では、公式サイトを装ったドメインを使った偽サイトに誘導されますが、今回の事例では公式のチャット機能・メール送信機能が悪用され、実際にブッキングドットコムからフィッシングメールが送られるため、被害が続出した模様です。
出典:日経クロステック
>ブッキングドットコムを踏み台にしたフィッシング詐欺の詳細はこちら
フィッシング詐欺に遭ったときの対処法
万が一フィッシング詐欺に遭ってしまった場合、迅速かつ適切な対応が被害の拡大を防ぐカギとなります。以下に状況別の対処法をまとめましたので、ご自身の状況に応じて対応してください。
個人情報やクレジットカードを入力してしまったとき
フィッシングサイトに個人情報やクレジットカード番号を入力してしまった場合は、情報の悪用を防ぐためにすぐに以下の対応を行いましょう。
パスワードやアカウントの変更
被害が疑われるアカウントは、ただちにパスワードを変更してください。同じパスワードを他のサービスで使っている場合は、すべて変更するのが安全です。
あわせて、二要素認証(2FA)の設定を行うことで、不正ログインのリスクを大幅に下げることができます。
金融機関に連絡する
クレジットカード会社や銀行など、利用中の金融機関へすぐに連絡してください。カードの停止・口座の凍結・不正利用の調査などの対応が受けられます。被害状況によっては補償の対象となる可能性もあるため、早めの相談が重要です。
個人情報漏えい調査
個人情報が悪用されている可能性や情報漏えいの心配がある場合、専門家によるフォレンジック調査(電子機器のログやデータ解析)を実施すると、攻撃の侵入経路や感染履歴、漏えいリスクの程度を明らかにできます。
フォレンジック調査(デジタルフォレンジック調査)とは、PCやスマホの内部ログを解析し、不正アクセスやマルウェア感染の有無を調べる技術です。警察の捜査でも活用される高度な手法で、個人情報漏えいの可能性や被害範囲の特定に役立ちます。
さらに、以下の内容も調査することが可能です。
- 不正アクセスがどの経路から行われたか(例:リモート操作、遠隔ソフト)
- どのファイル・データが外部に送信された可能性があるか
- マルウェアやスパイウェアの感染履歴・痕跡の有無
- 個人情報(氏名・住所・パスワード・カード情報など)の漏えいリスクの程度
当社では、デジタルフォレンジックの技術を用いて、遠隔操作による二次被害リスクや情報漏えいの有無を調べるサービスをご用意しています。24時間365日ご相談を受付けており、専門アドバイザーによる相談から見積りまで無料でご案内していますので、自己判断では不安な場合はお気軽にご相談ください。
お金を支払ってしまったとき
フィッシング詐欺により、電子マネー、クレジットカード、銀行振込などで金銭を支払ってしまった場合は、詐欺被害として正式な対応を取りましょう。
警察に連絡する
証拠資料(メール・メッセージ・送金履歴・スクリーンショットなど)を揃えた上で、最寄りの警察署(生活安全課またはサイバー犯罪対策課)に相談し、被害届を提出してください。届出を行うことで、補償制度の対象になる場合があります。
公式サイトやサービス提供会社への相談
詐欺行為に悪用されたWebサイトやサービス(例:Amazon、楽天、Apple IDなど)がある場合は、必ず正規のサポート窓口に連絡し、アカウントの停止・不正取引の確認・今後の被害防止措置を依頼してください。
詳しく調べる際はハッキング・乗っ取り調査の専門家に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、ハッキング調査の専門家に相談することが重要です。
ハッキング調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。
法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しております。官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
まずは、お気軽にご相談ください。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
フィッシング詐欺を防ぐための5つの対策
フィッシング詐欺の被害に遭わないためには、日頃からの注意と正しいセキュリティ習慣が重要です。
以下に示す対策を日常的に実践することで、リスクを大幅に低減できます。
①メールやSMSのリンクを不用意にクリックしない
不審なメールやSMSに記載されたリンクは、絶対に安易にクリックしないようにしましょう。特に次のような特徴があるメッセージには注意が必要です。
- 「アカウントの確認が必要」「支払いが遅れている」などの緊急を装う文言
- 差出人のメールアドレスが公式と微妙に異なる
- ログイン情報やカード番号の入力を求める
本当に必要な対応かどうかは、必ず別の手段で確認する癖をつけましょう。
②公式サイト・公式アプリからアクセスする
メールやSMSに書かれたリンクではなく、ブックマーク済みの公式サイトや公式アプリからアクセスするようにしましょう。検索エンジンからの検索でも、偽サイトに誘導されるリスクがあるため、事前に信頼できるルートを確保しておくことが重要です。
③迷惑メール・SMSフィルターを活用する
スマートフォンやメールソフトに備わっている迷惑メールフィルターや、携帯キャリアが提供するSMSブロック機能を有効にしましょう。怪しいメッセージが届かないだけで、うっかりクリックしてしまうリスクを減らせます。
④URLやドメイン名を必ず確認する
フィッシング詐欺では、偽サイトが本物そっくりのデザインで作られており、URLも非常に似せてきます。以下のポイントに注意してURLを確認しましょう。
- 公式ドメインと異なる末尾(例:.com → .co、.jp → .xyz)
- 「O(オー)」と「0(ゼロ)」など、紛らわしい文字列の置き換え
- URLが「https://」ではなく「http://」で始まっている
少しでも不自然に感じたら、アクセスせずにその場で閉じる判断が重要です。
⑤セキュリティ意識を常に持つ
フィッシング詐欺の手口は日々進化しています。最新の情報にアンテナを張り、次のような取り組みを習慣化しましょう。
- ニュースやセキュリティブログで最新の詐欺手口をチェック
- ワンタイムパスワードや二要素認証を導入する
- 定期的にパスワードを変更する
- 信頼できるセキュリティソフトを導入・最新状態に保つ
まとめ
フィッシング詐欺は、精巧に作られた偽サイトや巧妙なメッセージによって、誰もが被害に遭う可能性のある身近なサイバー犯罪です。
こうした手口の仕組みを理解しておくことで、怪しいリンクや誘導に気づき、被害を未然に防ぐ意識が高まります。
なお、万が一フィッシング詐欺によって個人情報を入力してしまった場合や、不正アクセスの痕跡が疑われる場合には、フォレンジック調査会社に相談することをおすすめします。
端末の解析を通じて被害範囲を特定し、今後の二次被害を防ぐための有効な手段となります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
