個人情報もパスワードも盗まれる「フィッシング詐欺」身を守る8つの心得

偽のメールだけでなく、偽の通販サイトも危ない。

» 2018年06月10日 11時00分公開

[qeeree，ねとらぼ]

　明らかに日本語が怪しいメールが来てIDとパスワードの入力を促された、そんな経験はありませんか？　それ、「フィッシングメール」かもしれません。

　フィッシング（phishing）とは、実在する企業や機関を装った偽メールを送ったり、本物の通販サイトのふりをした偽サイトを作ったりして、個人情報やパスワード、クレジットカード番号などを入力させ、盗み取ることを言います。

　語源は「釣り（fishing）」と申し上げればなんとなく想像していただけるかと思いますが、被害者を釣って情報をごっそり奪い、さらにその情報を利用してアカウントを乗っ取ったり、不正な買い物をしたりする、これがフィッシング詐欺です。

　フィッシングにはさまざまな手段がありますが、今回は「フィッシングメール」と「偽の通販サイトによるフィッシング」についてご紹介します。

フィッシングメール

　金融機関やクレジットカード会社、最近ではIT企業などのふりをした偽のメールを送り、「カードが使えなくなりました」「口座に振込がありました」「メンテナンスのため」などさまざまな文面を使って文中のURLに誘導しクリックさせたり、メールに直接返信させたりします。

　メールも偽物ですがURLもその先のWebサイトも全て偽物で、個人情報やパスワードやカード番号を入れてしまうと、それらの情報が盗まれてしまいます。そして、同じパスワードを使っているWebサービスにログインされて乗っ取られてしまったり、カードを不正に使われてしまったりします。

フィッシングサイト

　既存のECサイトそっくりの偽サイトや、普通のショッピングサイトのふりをした偽サイトで、レアな商品や人気商品を取り扱っているふりをして客を引き寄せます。そして、会員登録をさせたり、発送先の氏名・住所・電話番号・クレジットカード番号などを入力させます。しかし、最後まで決済が進まなかったり、変な画面が出たりして買えません。結局、商品も買えず個人情報やカード番号も抜かれてしまうという最悪の状態に陥ってしまいます。

対策は？

　フィッシングの手段は日々進化しているため、完全に防ぐことは難しいですが、被害を最小限に防ぐためにも以下のことには気を付けましょう。

1. 普通はそんなことは聞いてこない、という自覚を持つ

　大前提として、金融機関やカード会社がメールで個人情報・パスワード・カード番号・口座番号を聞いてくることはありません。そのため、そういった内容のメールが来たらまずフィッシング詐欺だと思って良いでしょう。

2. メールの送信者アドレス、リンク先のURLを見る

　銀行から来たメールのはずなのに、送信者アドレスや返信先のアドレスがフリーメールだったりしませんか？　大企業で、しかも個人情報を取り扱うときにフリーメールを使うというのはまずありえません。

　さらに、リンク先のURLを見て「私の知ってる○○銀行のアドレスじゃない」と気付いた方、大正解です。似せてくるときもありますし、全然違うアドレスのときもありますが、どちらにせよ「違う」と思ったら開かないほうが良いでしょう。

3. メールに書いてあるURLからは開かない

　それでも気になったら、メールに書いてあるURLからは開かず、ネットで検索したり、あらかじめブックマークしてあったりする正規のアドレスから開いてみましょう。そこにメールで届いたような文言はありますか？　正規のページからログインしてみて、何か異変はありますか？　特に何も起きていないようであれば、届いたメールはフィッシングメールです。

4. メールに従う前にお客さまセンターに聞いてみる

　メールが来たけど、本物っぽいけど、でも微妙に怪しい。そう思ったら、メールに従ってあれこれ入力してしまう前に、直接その会社のお客さまセンターのような場所に電話してみましょう。そしてオペレーターさんに「こういうメールが来ましたが本物ですか？」と聞いてみてください。調べてくれます。

　なお、フィッシングメールに書いてある電話番号やメールアドレスは偽物の可能性があるので気を付けましょう。お手持ちのカードの裏側に書いてある番号は本物なので、そこにかければ間違いありません。

5. 日本語が怪しいメールやサイトは避ける

　フィッシングメールもフィッシングサイトも、見た目はキレイだったり本物とそっくりだったりしますが、やはり日本語はかなり難しい言語らしく、なんだか微妙な言葉になってしまっている場合があります。そういったサイトやメールを見たら避けておくほうが賢明です。

6. 在庫状況・決済手段・連絡先を疑う

　「（商品名）通販」で検索して、ほかのサイトでは軒並み品切れになっているのに、そのサイトだけは在庫ありになっている。よく分からないサイトだけど買えるならここで買おう！　……と思ったらちょっと待ってください。実はそれ、フィッシングサイトに客を呼び込む手段のひとつでもあるのです。

　日本語はおかしくないですか？　「クレジットカード決済のみ」で不自然だったりしませんか？　サイト運営者の連絡先がなかったり、あってもおかしかったりしませんか？　もし怪しければ、残念ですがやめておいたほうが良いでしょう。

7. アンチウイルスソフトを入れる

　PCを買ったら一緒についてきたりする場合もありますが、市販のアンチウイルスソフトを入れておくと、インターネット上のさまざまな危険を防いでくれます。フィッシングの場合も「このメールはフィッシングです」「このサイトは安全です」等のアラートを出してくれます。

　アンチウイルスソフトは入れるだけでなく「常時有効にしておく」「常時更新するようにしておく」ことで効果を発揮しますので、この機会に設定を見直してみてくださいね。

8. パスワードを使い回さない

　これはフィッシング以外にも有効な対策です。フィッシング詐欺師は盗んだIDとパスワードで不正ログインを試みます。つまり、パスワードをサービスごとに変えていれば、不正ログイン被害を最小限に留めることができます。最近は一度しか使えず時間制限もある「ワンタイムパスワード」や、パスワードを管理するアプリもありますので、積極的に活用しましょう。