トピック
宅配業者や通販業者などかたる「フィッシング詐欺」は昨年比5倍、識別も困難に……
上司や取引先のアカウントが詐取、「本人の連絡」による被害も
- 提供:
- ニフティ株式会社
2020年6月3日 07:15
フィッシング(phishing)詐欺が世界中で大流行しています。
その手口は「宅配業者や通販サイトをかたったメールやSMSで、IDや個人情報を盗む」というもの。結果、銀行口座などからお金が取られたり、盗まれた名前やメールアドレスで別の詐欺が行われたりしてしまいます。
このなりすましの手口は企業相手でも使われます。取引先や経営幹部になりすまし、「口座が変わった」「緊急に必要になった」などのメールを送る、というもので、ビジネスメール詐欺(BEC:Business Email Compromise)と呼ばれます。時には、こういった関係者のメールアカウントを侵害し、本人のメールアドレスから送ってくることもあります。
大きな被害は日本国内でも発生しており、大企業が数億円だまし取られた事例も発生しています。どちらも、あらかじめ手口を事前に把握して、普段から対策しておくことが重要です。
以下、フィッシング詐欺とは何か、そしてそれに気を付けるためのポイントを紹介していきます。
記事提供者よりひとこと
フィッシング詐欺は、問題意識を持ち、「自分で気をつける 」のがまず大切ですが、身近な企業や旬な話題でだましてくることもあり、情報のキャッチアップがとても大切です。弊社では「任せておけば安全・安心」をコンセプトに、インターネット上の脅威からお守りする「常時安全セキュリティ24」をはじめ、悪質なネット詐欺から最新AIでお客様を守るネット詐欺対策専用サービス「@nifty詐欺ウォール」などを用意していますので、ぜひ活用をご検討いただければと思います。
宅配業者やカード会社、通販サイトから緊急連絡!あなたはうそを見破れますか?
フィッシング詐欺のメールでよくあるのが、楽天やAmazonといった大手ショッピングサイトや、LINEなどのSNS、銀行、クレジットカードなど、多くのユーザーが使っているサービスの企業などになりすます手口です。
例えば、「異常なログインがあった」とか、「異なる端末からのアクセスを確認した」といった理由で、自分のアカウントにログインするように誘導してきます。ショッピングサイトやオンラインバンキングに不正アクセスされ、勝手に買い物されたり、送金されてはたまらない、と焦らせて判断力を鈍らせるのが目的です。
こうしたメールに書かれているURLを開くと、見た目は本物そっくりのウェブサイト。偽のログイン画面でIDとパスワードを入力すると、続けて氏名、住所、そしてクレジットカード情報なども要求されます。最後まで入力すると、本物のウェブサイトに転送されることもあり、被害に気付きにくいのも難点です。
こうして盗まれた個人情報はリスト化され、「ダークウェブ」と呼ばれる市場などで売買されてしまいます。また、この個人情報を使って、別のネット詐欺が行われる恐れもあります。
詐欺に利用される手口は、その時に話題になっているニュースに便乗することが多いです。人々の注目度が高ければ、ネット詐欺にだまされる人の割合も高まるためです。
今の時期なら、例えば新型コロナウイルスに関した内容で、特別定額給付金は「10万円の現金がもらえる」ということで、当然のようにフィッシング詐欺のネタにされます。総務省ではこうした給付金詐欺に関連して、銀行の口座番号や暗証番号、マイナンバーなどは絶対に人に教えないよう、注意を呼び掛けています。
また、通信キャリアのNTTドコモになりすましたメールを送り、「10万円の特別定額給付金の手続きができる」と騙す事例が4月末に報告されています。申請がスタートした今なら、ドコモが配布するわけがないと判断できますが、4月時点で詳しい情報が出ていないタイミングだと、面倒な手続きを避けたい人が飛びついてしまう人もいるでしょう。他にも、「特別定額給付金の申請手続きを代行する」というフィッシングメールの報告が寄せられたとして、兵庫県の消費生活センターでも注意を呼び掛けています。
メールだけでなく、SMS(ショートメッセージサービス)を使ったフィッシング詐欺も流行です。宅配業者からの不在通知という切り口で、早く受け取りたい、という受信者の心理を突いてきます。
メールではなく、自分の電話番号宛に届くため、信じてしまう人も多いでしょう。こうしたSMSに書かれたURLを開くと、やはり偽サイトに誘導され、IDやパスワードなどを要求されます。あとはフィッシングメールと同様です。
「怪しい日本語」「怪しいURL」で見分けられたのは昔の話
こうしたフィッシングメールは主に海外から送信されており、以前は不自然な日本語から見分けることができました。しかし、今では見分けが付かない文面も増えてきました。
「URLやメールアドレスで本物と見分ければいい」という意見もありますが、実はそれも難しいのです。例えば、「Amazon」であれば、「Amaz0n」のように「O(オー)」を「0(ゼロ)」に置き換えてごまかしてくるパターンもあり、例えば文字の小さい端末では見分けがつきにくくなったりします。さらに心理的に急かしたり、技術上の抜け穴を利用するなど、もっとハイレベルなテクニックで偽装することもあり、自分で見分けるのは困難です。
フィッシング詐欺対策を自分で行う場合、重要なのは「手口を知ること」です。手口を知っていれば、自分の所にメールやSMSが届いても、詐欺かもしれないと疑うことができます。
また、メールに記載されているURLはなるべく開かないようにしましょう。そして、メールの内容を信じてアクセスする際も、必ず事前にお気に入りに登録したブックマークや、検索サイトで検索した結果から開きましょう。これだけで、偽サイトに誘導されるリスクを軽減できます。本物のウェブサイトでフィッシング詐欺に関する情報が出ていないか確認することも重要です。
いつもの取引先からの「口座を変更してほしい」が偽メール!企業を狙う「ビジネスメール詐欺」、日本では3億円超の被害例も
フィッシング詐欺は不特定多数の個人を標的にした手口ですが、特定の企業を狙うネット詐欺もあります。企業を標的にする詐欺のことをビジネスメール詐欺(BEC=Business Email Compromise)と呼びます。
これはまず、標的とする企業の社員にフィッシングメールを送り、メールアカウントにアクセスするためのIDとパスワードを盗みます。偽の請求書を送ったり、「600ドル当選しました」とメールを送り付けることもあります。
メールアカウントに不正アクセスできれば、過去にどんなメールをやり取りしているのかが分かります。特に大きなお金を動かすときに、どんな処理をするのかをチェックし、最後には偽の口座にお金を振り込ませるのです。
いつもやり取りしている取引先から、当たり前に「口座を変更してほしい」とメールがきて、支払先を変更する……これを、普段の仕事の中で警戒するのはなかなか難しいのが実情でしょう。
映画に出てきそうな手口ですが、実際に被害も発生しています。2017年12月、日本航空はネット詐欺に遭ったことを発表しました。
航空機をリースしている金融会社の担当者をかたる人物から連絡が来たため、なんと指示通りに3億8000万円を送金してしまったのです。その後、取引先から支払いがないことを指摘され、やっとネット詐欺に遭ったことが判明しています。実は、その直前にもアメリカにある日本航空の事業所でも、同様の詐欺メールが届き、2400万円を振り込んでしまっていました。
また、企業の経理担当者を標的に、上司や社長になりすまして連絡してくることもあります。「ビジネスで至急資金が必要なので、緊急送信するように」と指示してくるのです。フィッシング詐欺などで取得した本物のメールアカウントを利用するケースもあるため、受け取る方からすると本物のメールにしか見えません。しかも「未公開情報だから極秘で頼むよ」などと言われては、人に言えず発覚が遅れてしまいます。
最初はたわいもないフィッシングメール詐欺も、誰も疑わないと大きな被害に繋がる危険があります。企業間取引は金額が大きくなりやすい上、企業のイメージダウンにもなってしまいます。「企業内個人がフィッシング詐欺などで狙われ、結果として企業がネット詐欺の標的にされる」ということは覚えておく必要があります。
ビジネスメール詐欺を自分で回避するのであれば、口座変更や緊急送金など、送られてきたメールの内容について、本人や関係者にメール以外で確認するようにするといいでしょう。
フィッシング詐欺の報告は1年で5倍、この4月は1万件超……
フィッシング詐欺に関する事例や技術の情報を収集しているフィッシング対策協議会の報告によると、2020年4月のフィッシング報告件数は1万1645件。2019年4月が2388件なので5倍近くなっています。
AppleやLINE、楽天などをかたる定番のメールが多いですが、特にAmazonになりすますメールが約1.4倍に増えています。宅配業者を装うSMSのフィッシング詐欺も増加しています。
フィッシング詐欺の手口は日々進化しており、今後は新型コロナウイルス関連の手口が増えることでしょう。すでにその兆候は出始めています。
Googleは4月、新型コロナウイルスに関連したフィッシングメールを1日当たり1800万通も検出し、ブロックしていることを明らかにしました。サイバー犯罪者は、新型コロナウイルスと戦う慈善団体やNGO、医療機関、政府機関になりすまして、個人情報を狙ってきます。
「フィッシング詐欺の被害に遭うわけがない」と思わないでください。
メールアドレスや電話番号はいろいろなルートで収集され、膨大なリストがダークウェブで売買されています。誰でもフィッシングメールの被害に遭う可能性があるのです。まずは、自分の個人情報も狙われる可能性があることを知るべきです。
Googleセーフティセンターでは、「新型コロナウイルス感染症関連詐欺から身を守るために」という情報をウェブサイトで公開しています。このアドバイスのトップに掲げられているのが「詐欺グループの接触手法を知る」です。
フィッシング詐欺の手口を知っておけば、不審なメールが来ても迷わず無視できます。フィッシング対策協議会でも複数の事例を多数紹介しているので、参考にしてください。
また、新しい手口が登場しても、過去の事例から怪しむことができる可能性が高まります。普段からデジタルリテラシーを高め、フィッシング詐欺の被害に遭わないようにしましょう。
【インタビュー】「任せて安心、と思って欲しい」 @niftyが語る、コロナ時代のプロバイダ
「自分で安全を守る」意識はとても大切ですが、刻々と変化、高度化するネット詐欺に対し、知識と情報を高めていくのは大変です。大手インターネットプロバイダーの「@nifty」では、「任せておけば安全・安心」を掲げ、プロバイダーならではのセキュリティサービスを実施しています。その思いや、サービスの概要についてインタビューしましたので、是非ご覧ください。