目次
インターネットを介してクレジットカード情報や銀行口座情報を騙しとる犯罪をフィッシング詐欺と言います。
フィッシング対策協議会では、最新のフィッシング報告を随時更新しています。
2024年7月現在だと、りそな銀行や国税庁、イオンカードを騙るフィッシング詐欺が多数報告されているようです。
最新の報告はコチラ ※外部サイトに移動します。
2024年6月時点でフィッシング対策協議会に寄せられたフィッシング報告件数(海外含む)は、なんと144,160件。これは前月より480件増加しています。
引用:https://www.antiphishing.jp/report/monthly/202406.html
フィッシング対策協議会は2月20日に、「フィッシングメール詐欺の手口と対策 解説ドキュメント」を公開しました。このドキュメントは、日本国内のフィッシング詐欺、いわゆるなりすましメールの手口と対策方法をまとめたもので、無償でダウンロードできます。
コチラのフィッシング対策協議会公式サイトよりダウンロードできます。 ※外部サイトに移動します。
フィッシングメール(Phishing Mail)とは、なりすまし等でメール送信先を詐称し、偽サイトに誘導するフィッシング詐欺を目的としたメールの事を指します。
よく、スパムメールと混同されがちですが、正式は定義はないもの別物とされます。
スパムメールは「広告メール」です。語源は「SPAM」という缶詰メーカーが「スパム」と連呼するコマーシャルです。宣伝目的で受信者の意思を無視して一方的に送られてくるメールをスパムメールと呼ぶようになりました。
一方フィッシングメールは広告や宣伝目的ではなく「詐欺サイトやワンクリック詐欺などへの誘導」を目的としています。どちらのがより悪質か…という観点から、フィッシングメールとスパムメールは別ととらえることができます。
スパムメールやフィッシングメールが送られてくる理由は、自分のアドレスが業者に知られてしまったためです。
気づかない間にスパムメールを送信する業者と連携しているサイトに登録・ログインしてしまうケースがあります。
このように業者にアドレスが流出してしまうとフィッシングメールやスパムメールが届くようになります。
こういったサイトは、利用前に運営元を調べることで不審なサイトか見分けることができる場合があるため、登録前に調べてみることを習慣づけるといいかもしれません。
個人名やメールアドレス、電話番号などの情報が盗まれることがあります。特に恐ろしいのは金融機関の情報が盗まれる場合です。金融機関のIDやパスワードが盗まれた場合は預金が盗まれるといった不正利用の被害に遭う可能性があります。
2023年12月25日、警視庁は「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)」を公開しました。
引用:https://www.npa.go.jp/bureau/cyber/pdf/20231225_press.pdf
ドメインとは、インターネット上の住所のような役割を持っています。
ホームページやメールアドレスを利用する際には必ず使用しなければなりません。固有のドメインを有しているため、メールアドレスの@以降の「ドメイン名」を確認し、公式サイトのドメインと同じかどうか確認することで、なりすましメールだと気付くことができます。
引用:https://jprs.jp/glossary/index.php?ID=0083
メール全体の日本語が不自然な場合があります。例えば、フォントがおかしい場合や句読点、スペース、改行や文法が不自然ではないか確認してください。
他にも、メールの内容自体に心当たりがないか確認してください。
特に、「アカウントを停止しました」や「至急」、「緊急」といった焦らせる内容を含んでいる場合は要注意です。
メールだけではなく、SMS(ショートメッセージサービス)なども注意が必要です。もし「これは本物かな?」と思った場合は、メールに記載されているURLからログインするのではなく、インターネットで公式サイトを調べてログインすることを徹底してみてください。
大手チケット販売イープラスを名乗るなりすましメールや、三菱UFJ銀行、さくらインターネットやAmazonをいった大手企業の名を騙ったなりすましメールは全国から寄せられています。
実際、オアシスでもさくらインターネットを騙るメールが届きました。
届いたのも、今年2月13日と最近です。
スパムメールやフィッシングメールを受信しないことも重要ですが、企業側として、自社を騙られたくないですよね。そのためにできる設定もありますのでご紹介します。
メールの配信設定の重要項目に「SPF(Sender Policy Framework)」と「DKIM((DomainKeys Identified Mail)」というものがあります。今回は紫外線を防ぐ指標の方ではなく、メールの送信元ドメインが詐称されていないか検査する認証システムを指します。
仕組みは難しいため、覚える必要はありませんが、ざっくり説明すると以下の通りです。
SPFの場合はメール送信元のIPアドレス(PCなどの機器に割り振られる識別番号)をあらかじめ送信側のDNSサーバ(IPアドレスとドメイン名を紐付けが可能)に登録します。この登録情報を「SPFレコード」と呼びます。
受信者側は、メール受信時に、送信元のDNSサーバにSPFレコードを要求し、そのSPFレコードの情報が一致するか確認し認証します。
DKIMの場合も仕組みは似ていますが、この場合IPアドレスではなく、電子署名を利用します。
この設定は主に独自ドメインを利用する企業側が行うべき設定ですが、この「SPF設定」や「DKIM設定」を行うことでなりすましメールやスパムメールとしてはじかれる可能性が減り、メールの信頼性が向上します。
このSPFは基本的には詐称を見分けられますが、メッセージが転送されると解除されてしまったり、
認証に失敗したものが常に受信トレイからブロックされるわけではない点も注意にあげられます。
そんな認証方法の中にもSPFとDKIMを組みわせた認証方法もあります。
「DMARC(ディーマーク)」というもので、2012年2月に発表されたものですが、フィッシングメールやなりすましなどに対しては現在でも最も強力な防御技術であると名高い設定です。
先述したSPFの技術やDKIM(DomainKeys Identified Mail)をベースとした技術であり、メールに表示される送信元のアドレスのドメインがなりすましされていないか、信頼できるか判断できる最初の技術であり、現在も広く運用されています。
簡単に説明すると、SPF認証とSPFアライメント、DKIM認証とDKIMアライメントをPass(合格)しないとならない認証になっています。SPFやDKIMなどの認証に比べて厳しいのが特徴です。
引用:https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html
この設定は受信者側も行うことでセキュリティが向上するためぜひ確認してみてください。
DMARCを実装するためには、前述したSPFもしくはDKIMを用いる必要があります。SPF設定やDKIM設定が完了しているか確認してください。
更に、SPF設定とDKIM設定が完了してから48時間経過しているか確認してください。
DMARKの設定方法はご利用のドメインプロバイダによって変わります。
Xserverの設定方法
さくらインターネットの設定方法
ムームードメインの設定方法
お名前ドットコムの設定方法
※TXTレコードを設定するなどの上級者向け設定もあるので、わからない場合は専門の業者に依頼して下さい。
フィッシング詐欺に引っかからないことが第一ですが、万が一詐欺に引っかかってしまった場合はどうすればいいでしょうか。後対応をご紹介します。
ただちに銀行のカスタマーサポートや専用相談窓口に電話で連絡してください。
不正送金等された後でも、銀行には必ず連絡して下さい。
個人口座の資金は、預貯金保護法や全国銀行協会によって補償される場合があります。
また、クレジットカードの情報を入力してしまった場合は、銀行のほかにクレジットカード会社のコールセンターに連絡してください。
クレジットカードを不正利用を防ぐためにクレジットカードの利用を一時的に停止し、状況を報告してください。
即座にパスワードを変更してください。
第三者にログインされ、更に個人情報が流出する恐れがあります。
各都道府県の警察にはフィッシング詐欺専用の窓口が設けられています。
「フィッシング110番」で検索すると、専用窓口へのサイトが出てきます。
通報窓口はこちら
警視庁のフィッシングホットラインページはこちら(外部サイトにリンクします)
相談窓口はこちら
警視庁/サイバー事案に関する相談窓口(外部サイトにリンクします)
国民生活センターは、消費者がトラブルに遭った際の相談窓口を設けています。
トラブル解決のアドバイスを受けることができます。
消費生活センターは、消費者トラブルに関する相談や契約に関する相談を行うことができます。
情報提供すると、提供したフィッシングサイトの閉鎖調整をしてもらうこともできるため、できる限り報告してください。
不正利用だと認められた場合は請求された分は取り消しになる場合があります。この場合、すでに引き落とされていても補填されるケースもあります。
被害の証明のために必要書類を求められる場合や、補填期間は会社によって異なりますので、詳細は利用しているクレジットカード会社に確認するようにしてください。