聞いたことあるけど分からない！フィッシングってどんなもの？！

インターネットの技術的発展とコンテンツの充実は目覚ましく、どんどん便利で楽しいものとなっています。 一方、インターネットを利用した詐欺も日々進化しており、より巧妙で悪質なものになっていっています。

一般のインターネットユーザーの方でも、自分を守るために最低限の知識と防衛策は知っておくべきです。 今回はインターネット詐欺の代表的な存在である、フィッシング詐欺について解説します。

フィッシングとは一言で言うと、偽のウェブサイトを使って、ユーザーにログイン情報やカード情報を入力させる詐欺です。

フィッシングという言葉が連想させるように、餌を使って被害者を釣り上げるような詐欺であることからこのような名前が付けられたようです。

ログイン情報を盗まれてしまうと、自分が利用しているウェブサービスを勝手に利用されてしまうことになります。

メールアドレスや電話番号を変更された上で、IDやパスワードを変えられてしまうと、もはやウェブサイトにログインすることすらできなくなります。

もし、サイト上にクレジットカード情報を残してしまっていると、有料サービスを勝手に利用されてしまうことになります。もちろん、請求が来るのは被害者の元へです。

また、クレジットカード情報を盗み取られてしまうと、カードの限度額まで利用されてしまったり、キャッシングをされてしまったりする可能性もあります。

もちろん、カード会社に連絡して不正利用されたことを明確に示せれば、請求をストップしてもらうことはできます。

ですが、その場合はカードの再発行が必要になりますし、盗んだ相手が巧妙な使い方をすれば、不正利用を証明することが難しい場合もあります。

そして、いちばん怖いのが、盗まれた情報を個人情報販売業者に売られてしまうこと。

残念ながら、インターネットの世界には不正に収集した個人情報を買い取ったり、販売したりする業者がたくさん存在しています。

フィッシングに引っかかって個人情報やログイン情報、カード情報などを盗まれてしまうと、こうした業者に流されてしまうリスクは高いです。

そして一端個人情報を売られてしまうと、今度は二次被害、三次被害にあう可能性もあります。

フィッシングに引っかからないためには、まずどのような偽サイトがあるのか知っておくことが重要です。

偽のウェブサイトで個人情報を入力させ、盗み取るのがフィッシングの基本的な手口でした。

どのようなウェブサイトが使われるのか知っておけば、フィッシングに対する最大の防御策となります。

結論を最初に言えば、ずばり「有名サイトを騙った偽サイト」が最もよく使われています。

誰も知らないようなECサイトであれば当然警戒されてしまいますよね。

ところが、amazonやyahoo、楽天などの大手ECサイトであれば利用者も多いため、引っかかる人も多くなります。

他にも、銀行やクレジットカード会社を騙った偽サイトもあります。

銀行やカード会社のサイトであれば、カード情報を入力させるのは自然だと思い込ませられるため、引っかかってしまう人も出てくるわけです。

それでは具体的に、これらの偽サイトを使ってどのような手段で個人情報を入力させるのでしょうか。

インターネットに限らず、詐欺が成功するかどうかは、人間の心理を巧妙に利用できるかどうかにかかっています。

実際、フィッシング詐欺で使われる偽サイトでは、思わず情報を入力してしまうような、人間心理を突いた巧妙なテクニックが用いられてしまいます。

特によく用いられるのが、①緊急だと思わせる、②不安を煽る、の二つの手段です。

具体的な例を挙げましょう。

「購入していない商品の購入確認メールを送り、キャンセルのために偽のウェブサイトを開かせる。そこでログイン情報を入力させる」

「アカウントが第三者に不正利用されたと知らせ、パスワード変更のために偽サイトに誘導。そこでログイン情報を入力させる」

「アカウント登録情報に誤りがあったと知らせ、24時間以内に修正しなければアカウントが削除されると知らせる。偽サイトに誘導し、そこで個人情報を入力させる」

いずれも実際に利用されている手口です。

特に普段からウェブサービスをよく利用している人は、ある意味ではウェブ上での情報提供に慣れているため、一度信頼してしまうと簡単に個人情報を渡してしまうリスクがあります。

フィッシングで偽サイトに誘導する方法として最も多いのは、ダイレクトメールやSNSなどのメッセージのリンクから導く方法です。

大手ECサイトを騙ったメールが届いたり、SNSのアカウントを乗っ取られた友人からメッセージが届くケースもあります。

後者は実際の知り合いから届くため、非常に厄介です。言動が普段と少しでも異なる場合は、乗っ取りを疑った方が良いでしょう。

実際、数年前にはSNSのアカウントを乗っ取って、そこから知り合いに片っ端からフィッシングメールを送るという犯罪が流行りました。

届いたダイレクトメールがフィッシングメールかどうか判断するためには、下記の点をチェックすればよいです。

1. 自分の名前が記載されている
2. 送信元が記載されている
3. 情報の入力フォームがない
4. リンク先のURLが正しい

これらの項目が全てOKであってもフィッシングメールの可能性はまだ残っていますが、少なくとも可能性は低くなります。

また、日本人をターゲットにしたフィッシングメールは国外から送られてくることも少なくありません。 その場合、日本語がおかしいこともありますので、これもまたチェックポイントとなります。

最後に、安全性が高くなる対策を紹介して終わりにしましょう。

安全性が最も高いのは、メールやSNSのメッセージのリンクからウェブサイトに行くのではなく、ブックマークや検索からウェブサイトに行くことです。

大手ECサイトや銀行、カード会社のサイトでは、詐欺に利用されないために、メールだけで確認できる情報を発信することはほぼありません。

メールで届いたお知らせの内容は、ウェブサイト上でも確認できます。

ですので、ブックマークや検索エンジンから該当のウェブサイトに行き、メールに記載されていた内容が確認できれば、安全性は高くなります。