スマートフォンやパソコンをチェックしていたら、いつも使ってるアプリやサイトから「パスワードをもう一度入力してください」というメッセージが来たことってない?もしかしたら、それは本当に危ないやつかもしれないよ。この記事を読めば、そういう詐欺がどんなしくみで、どうやって身を守ればいいのかがわかるようになるよ。
- フィッシングは本物そっくりの偽サイトやメールを使って、パスワードやクレジットカード情報を盗む詐欺のこと
- 見た目が完璧に本物に見えるので、一瞬の判断ミスで引っかかる危険がある
- リンクをむやみにクリックしない、公式サイトから直接アクセスするなど簡単な対策で防げる
もうちょっと詳しく
フィッシングという言葉は、実在する企業になりすまして情報を盗むという意味で使われています。Eメール、ショートメール(SMS)、SNSなど、いろんな方法で送られてきます。犯人は、あなたをだまして「アカウントが侵害されました」「セキュリティアップデートが必要です」など、つい行動させたくなる理由をメールに書きます。それでつい偽サイトにアクセスして、パスワードを入力してしまう。そしたら犯人の勝ち。あなたの大切な情報が盗まれちゃうわけです。日本でも毎年たくさんの人が被害に遭っているので、知識を持つことがとても大事なんです。
フィッシング犯人は心理学を使う。「今すぐ対応しないと大変!」という焦りをあおって、判断力を奪うんだよ。焦ったら、一呼吸置いて確認するくせをつけよう。
⚠️ よくある勘違い
→ 現代のフィッシングサイトは本当に精巧で、URLも細かく偽造されています。見た目だけで判断するのは危険です。
→ これが最強の対策です。メールのリンクは踏まず、ブラウザに公式URLを直接入力するくらい慎重になるくらいがちょうどいいんです。
[toc]
フィッシングって、どうやって騙すの?
本物そっくりの見た目を作る
フィッシング詐欺の最初のステップは、本物のウェブサイトそっくりに見える偽サイトを作ることです。犯人は実在する企業のウェブサイトのデザインをコピーします。ロゴ、色、フォント、レイアウト、すべてそっくり同じように作るんですよ。あなたがいつも見ている本物のサイトと見分けがつかなくなるようにね。
さらに詐欺のプロは、URLも巧妙に偽造します。例えば、本当は「amazon.co.jp」なのに「amazon.co.jp」(「n」を全角にして「n」に見せる)みたいな細かいトリックを使うんです。パッと見たら同じに見えるけど、よく見ると違う。こういう細かいトリックをたくさん仕込むので、急いでクリックすると気づかないわけです。
信頼できるメールに見せる
フィッシング詐欺のメールは、本物の企業からのメールそっくりに作られます。企業のロゴを使って、「大切なお客様へ」みたいな丁寧な文体で書かれてます。あたかも本当にその企業のシステムから自動送信されたメールに見えるように。
さらに、メールの内容も工夫されてます。「セキュリティ上の理由でパスワードを再確認してください」「あなたのアカウントが異常なアクセスを検出しました」「24時間以内に確認がないと利用停止されます」みたいに、思わず焦ってしまう内容なんです。人間は焦ると判断力が落ちるじゃないですか。犯人はそれを狙ってるわけです。
クリックしたら情報入力ページへ
犯人のメールにある「確認する」ボタンをクリックすると、本物そっくりの偽サイトへ飛びます。そこでパスワードやクレジットカード番号を入力するよう求められるんです。「セキュリティ確認のため」とか「アカウント認証のため」という理由をつけてね。
あなたが情報を入力したら、犯人のサーバーにその情報が送信されます。つまり、あなたが自分で大切な情報を犯人に渡しちゃうってわけです。その後、サイトは「確認しました。ありがとうございました」みたいなメッセージを表示して、あたかに正常に処理されたように見せるんですよ。ここまでがフィッシング詐欺の流れです。
どんな目的でフィッシングするの?
パスワードを盗むため
フィッシング詐欺の最大の目的は、あなたのパスワードを盗くことです。なぜなら、パスワードさえあれば、あなたになりすましてアカウントにアクセスできるからです。例えば、銀行のネットバンキングのパスワードが盗まれたら、犯人はあなたのお金を勝手に引き出せます。メールアドレスとパスワードが盗まれたら、犯人はあなたになりすまして他のサイトのパスワードをリセットできます。パスワード一つで、芋づる式に他のアカウントも危険にさらされるわけです。
クレジットカード情報を盗むため
もう一つの大きな目的は、クレジットカードの情報を盗くことです。カード番号、有効期限、セキュリティコード(つまり、カード裏面に書いてある3桁の番号)を盗まれたら、犯人はそのカードで買い物をしたり、現金化したりできます。あなたの知らないうちに、あなたのお金が使われちゃうんですよ。
個人情報を転売するため
また、盗んだ個人情報を他の犯人グループに売却することもあります。つまり、名前、住所、電話番号、メールアドレス、クレジットカード情報などが、暗黒面のマーケットで売買されるんです。一度情報が盗まれると、複数の犯罪者に悪用される可能性があるってわけです。怖いでしょ?
フィッシングのよくある手口
銀行やクレジットカード会社になりすます
最も一般的なフィッシング詐欺は、銀行やクレジットカード会社になりすましたメールです。「お客様のアカウントが異常アクセスを検出しました」「クレジットカード情報を更新してください」といった内容のメールが来ます。銀行やクレジットカード会社は、本当に重要な組織ですよね。お金に関わるから、人は必死に対応しようとします。犯人はその心理を狙ってるんです。
実は、銀行やクレジットカード会社は、メールでパスワードやカード情報を聞くことはほぼありません。そういうのは必ず自分のサイトにログインしてから確認するようになってます。だから、メールが来たら、まずは「本当に正規のメールなのか」を疑う癖をつけることが大事なんです。
Amazonやアップルになりすます
Amazon、アップル、ヤフー、楽天など、誰もが知ってる大手企業になりすましたフィッシング詐欺も多いです。「アカウントが停止されました」「支払い方法を確認してください」という内容ですね。これらの企業は多くの人が使ってるので、詐欺師にとっては「引っかかりやすい」ターゲットなんです。
SNSアカウントのなりすまし
インスタグラムやツイッター、フェイスブックなどのSNSになりすましたフィッシングもあります。「異常なアクティビティを検出しました」「アカウントを再認証してください」というメールやDMが来たりします。特に若い世代は、SNSをたくさん使うので、その場で焦ってつい対応しちゃいやすいんですよ。
給与や経費のなりすまし
大人向けのフィッシング詐欺としては、勤め先の会社になりすましたメールもあります。「給与システムの更新が必要です」「経費申請のシステムをアップグレードしました」という内容ですね。仕事中に受け取ると、ついうっかり対応しちゃいやすいわけです。
フィッシングに引っかからないために
メールのリンクは踏まない
フィッシング詐欺のメールが来たら、その中のリンクは絶対にクリックしてはいけません。これが最も大事なポイントです。「確認する」「ログインする」「更新する」どんなボタンでも踏んではいけません。なぜなら、そのリンク先は100%偽サイトだからです。
代わりに、手動でブラウザを開いて、本当のウェブサイトのURLを直接入力してください。例えば、「アマゾンから確認メールが来た」と思ったら、メールのリンクを踏まずに、ブラウザのアドレスバーに「amazon.co.jp」と直接入力して、そこからログインするんです。ちょっと手間に思えるかもしれませんが、これが情報を守る最強の方法なんですよ。
URLをよく確認する
メールが来たときに、その送信元のメールアドレスを確認することも大事です。本物の企業からのメールなら、企業の公式メールアドレスから送られてきます。例えば、アマゾンなら「@amazon.co.jp」で終わるメールアドレスですね。もし「@gmail.com」とか「@yahoo.com」みたいなフリーメールアドレスから来てたら、ほぼ確実に詐欺です。
また、メール本文にあるリンクのURLも確認しましょう。リンク上に表示されてるテキストと、実際のリンク先が違う場合があります。パソコンならマウスをリンクの上に乗せると、本当のリンク先が表示されたりします。スマートフォンなら、リンクを長押しして、本当のURLを確認する機能もあります。念のためチェックする習慣をつけるといいですよ。
疑わしい時は公式サイトから確認
メールで何か確認を求められたときは、そのメールのリンクを踏まず、公式ウェブサイトから直接アクセスして確認するのが鉄則です。または、電話で企業に問い合わせることもできます。「こういうメールが来たんですけど、本当ですか?」と聞けば、企業は「いや、うちからはそんなメール送ってません」と答えてくれるはずです。
また、あなたが心配なら、銀行やクレジットカード会社に電話する際に、メールに書いてある番号には絶対に電話しないでください。その番号も偽物かもしれません。企業のウェブサイトに載ってる電話番号か、あなたが知ってる番号(クレジットカードの裏側に書いてる番号とか)に電話するんです。
個人情報は聞かれてもメールで返さない
覚えておいてください。正規の企業は、メールでパスワード、クレジットカード番号、社員番号、生年月日などの個人情報を聞くことはありません。もし企業からそういう情報を聞かれたら、100%詐欺と思って大丈夫です。たとえ何度催促されても、返信はしてはいけません。そのメールは削除して、企業の正式なサポート窓口に確認するんです。
引っかかってしまったときはどうする?
すぐに銀行やカード会社に連絡する
万が一、フィッシング詐欺で個人情報を入力してしまったことに気づいたら、まずは落ち着いてください。そして、すぐに関連する企業に連絡してください。
もしクレジットカード番号を入力してしまったら、すぐにカード会社に電話して、カードを無効化してもらいます。そうすれば、犯人がそのカードで買い物をすることはできなくなります。銀行のパスワードを入力してしまったなら、銀行のシステムから直接アクセスして、パスワードを変更してください。
パスワードをすぐに変更する
パスワードが盗まれてしまった場合は、すぐにそのサービスのウェブサイトにアクセスして、パスワードを変更してください。重要なのは、偽サイトからではなく、正規のウェブサイトからアクセスするということです。ブラウザのアドレスバーに正規のURLを直接入力してね。
そして、同じパスワードを他のサービスでも使ってたなら、そっちも変更する必要があります。なぜなら、犯人は盗んだパスワードを、複数のサービスで試すからです。「この企業のパスワードが〇〇〇なら、他の企業でも同じパスワードを試してみよう」みたいにね。だから、各サービスで異なる強いパスワードを使うことが大事なんです。
クレジットカード会社に不正利用がないか確認する
クレジットカード情報を盗まれた場合は、カード会社のウェブサイトで、直近の利用履歴を確認してください。あなたが使った覚えのない買い物がないか、チェックします。もし不正利用があれば、すぐにカード会社に報告してください。カード会社は通常、不正利用については補償してくれます。だから、早めに報告することが大事なんですよ。
詐欺を報告する
フィッシングメールを受け取ったら、そのメールを削除するだけじゃなく、詐欺として報告することをお勧めします。多くの企業は、フィッシングメール報告窓口を持ってます。メールをそこに転送することで、企業はそのフィッシングサイトを停止させたり、警察に報告したりできるんです。あなたの一つの報告が、他の人の被害を防ぐことにつながります。
また、警察にも報告できます。日本なら、警察庁のウェブサイトに「インターネット安全・安心相談」という窓口があります。詐欺の被害を報告することで、警察が動いて犯人を逮捕することもあります。被害を受けたら、恥ずかしいと思わずに、ぜひ報告してほしいんです。
