フィッシング詐欺対策!実例を見て手口を理解しよう!

フィッシング詐欺対策!手口を知れば被害に遭わなくて済む! 詐欺注意

みなさんは「フィッシング詐欺サイト」を見たことがありますか?

一見すると銀行やカード会社の公式サイトなのですが、実際には偽物で「個人情報」や「カード情報」を盗む詐欺サイトなのです。

「そんな詐欺サイト、見ればすぐにわかるでしょ?」と思ってる人は甘い!甘いですよ!

最近のフィッシング詐欺サイトは、見た目だけで詐欺サイトだと判断するのは困難です。

そこで今回はフィッシング詐欺サイトの実例や手口と共に、「フィッシング詐欺に引っかからない対策」をご紹介します。

これを読めば、あなたも「フィッシング詐欺博士」になれます。

フィッシング(phishing)詐欺とは?

フィッシング(phishing)詐欺とは、銀行やカード会社、通販サイトと言った、実在する有名な公式サイトになりすまし、IDやパスワード、クレジットカード情報などを入力させて盗み出す詐欺のことです。

フィッシングは、「fishing」の「釣る」とか「引っ掛ける」って意味が語源になり、「phishing」という言葉が出来上がったと言われています。

私が体験したことのあるフィッシング詐欺では、免許証やパスポートの画像まで盗み出そうとしている詐欺もありました。

フィッシング詐欺の主な手口はこうです。

  • 「不正アクセスがあった」などのメールを送る
  • メールからフィッシング詐欺サイトへ誘導する
  • 本物そっくりのサイトで情報を入力させる

一昔前なら粗悪なサイトが多かったので、日本語が変だったり、サイトのデザインが崩れてたり、違和感にすぐ気が付けました。

ですが、現在のフィッシング詐欺サイトはかなり精巧です。見た目では本物と見分けがつかないほど作り込まれてます。

以下はNETFLIXのフィッシング詐欺サイトです。

NETFLIXのフィッシング詐欺サイト

で、以下が本物のNETFLIXサイトです。

NETFLIXのフィッシング詐欺サイトと公式サイトの比較

細かいところに違いはあるものの、並べてみなければ違いに気が付きませんよね。

正直、フィッシング詐欺に騙されてしまうのも納得の作りなので、みなさんも騙されないように注意してください。

フィッシング詐欺のメールとは?

フィッシング詐欺のメールって受け取ったことありますか?

私のメールアドレスは流出していて、毎日のように詐欺のメールが届きます。

たくさん届くフィッシング詐欺のメールからいくつかご紹介します。

JCBカードのフィッシング詐欺メール例

JCBカードのフィッシング詐欺メール
本メールはJCBカードのご利用にあたっての、大切なご連絡事項です。
そのため、「JCBからのお知らせメール配信」を「希望しない」に設定しているお客様へもお送りしています。

いつもJCBカードをご利用いただきありがとうございます。

弊社では、お客様に安心してカードをご利用いただくことを目的に、第三者による不正使用を防止するモニタリングを行っています。

このたび、弊社の不正検知システムにおいて、現在、お客様がお持ちのJCBカードのご利用内容について、第三者による不正使用の可能性を検知しましたので、ご連絡を差しあげました。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、なお、ご契約いただいているカードについては、第三者による不正使用の可能性がございますので、カードのご利用を一時的に停止させていただいている、もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあげます。

至急、MYJCBサービスに修正情報を再登録してください

以下略

このJCBカードのフィッシング詐欺メールは「JCBカードの不正検知システムによって第三者による不正使用の可能性を検知した」といった内容です。

銀行やカード会社になりすました「不正アクセスによるアカウントの停止」「パスワードの変更」「料金の未納・滞納」は、フィッシング詐欺によくある手口です。

騙されないように注意してくださいね。

Amazonのフィッシング詐欺メール例

Amazonのフィッシング詐欺
Amazon お客様

残念ながら、あなたのアカウント
Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するためАmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

以下略

このAmazonのフィッシング詐欺メールは「Amazonを更新できませんでした」といった内容です。

Amazonや楽天市場などのショッピングサイトになりすまし、「アカウントの更新」「ログイン確認」「不正アクセス」はよくある手口です。

メール内のURLはタップしないよう注意してください。

フィッシング詐欺メールの対策方法

実際にフィッシング詐欺メールが届いたらどうしたらいいのか?説明していきます。

まずは、届いたメールが公式から送られた本物か?それともフィッシング詐欺の偽物か?を判断しないといけません。

最初にやることは、メール内容に身に覚えがあってもなくても、メールの内容の一部で検索してみましょう。

では、実例を参考にやってみましょう。

セゾンNetアンサーのフィッシング詐欺メールを検索する

《セゾン》Netアンサービスご登録確認
いつもセゾンNetアンサーをご利用いただき、ありがとうございます。
この度、セゾンNetアンサーに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
http://www.mail-saisoncard.info/WebPc/USA0201UIP01SCR.do
上記セゾンNetアンサーIDは弊社にて自動採番しているものですので、弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、大変お手数ではございますが、下記URLからログインいただき、任意のIDへの再変更をお願いいたします。
なお、新たなID・パスワードは、セキュリティの観点より「10桁以上」のご登録を強くおすすめいたします。

以下略

「セゾンカードのセゾンNetアンサー」になりすましたフィッシング詐欺メールが届きました。

日本語に違和感はなく、一見すると公式のメールに見えます。

では、「《セゾン》Netアンサービスご登録確認」で検索してみましょう。

検索結果の一番上に、セゾンNetアンサーに関するフィッシング詐欺の注意喚起が表示されました。

公式サイトには「Netアンサーメールの見分け方」として以下のように書かれています。

当社からお送りするNetアンサーメールは、送信元のアドレスが以下のドメインになります。
下記のアドレス以外はNetアンサーからのメールではございませんのでご注意ください。
nasp@mail.saisoncard.co.jp
namr@mail.saisoncard.co.jp
opmr@mail.saisoncard.co.jp
nabd@mail.saisoncard.co.jp
opbd@mail.saisoncard.co.jp

これで公式サイトの正しいメールアドレスがわかりました。

他にも「新規登録・再登録ページURLの見分け方」「ログインページURLの見分け方」など、正しい情報が記載されています。

この正しい情報を基に、送られてきたメールが本物なのか?偽物なのかを判断しましょう。

メール内容の一部で検索すれば、公式サイトやブログでの注意喚起がヒットするから見分ける参考にしよう!

メールアドレスは本物だったよ?

「届いたメールのアドレスを検索してみたんだけど本物だったよ?」という場合があります。

フィッシング詐欺対策 送信元メールアドレスを確認する

JCBカードから送られてきたメールアドレスは「mail@qa.jcb.co.jp」です。

このメールアドレスで検索してみると・・・公式で使われている本物のメールアドレスだとわかりました。

このメールは本物・・・?

ここでは、もう少し詳しくメールを調べる方法をご紹介します。

メールには「詳細ヘッダー」という、メール送受信の内容を詳しく見れる場所があります。

フィッシング詐欺対策 詳細ヘッダーを確認する

詳細ヘッダーを押すと、難しい英数字が書いてあるウィンドウが表示されます。

フィッシング詐欺対策 Return-Pathを確認する

詳細ヘッダー「Return-Path」を見てみます。

「Return-Path」には「info@xfsdsgg-sdgbsdb.com」という、見慣れないメールアドレスが書いてありますね。

この「Return-Path」は、送信者のメールアドレスが記載されます。

例えば、住信SBIネット銀行から送られてくるのメールアドレスは、以下の画像のように「post_master@netbk.co.jp」です。

フィッシング詐欺対策 Return-Pathの実例 住信SBIネット銀行の場合

では、住信SBIネット銀行から送られてきたメールの詳細ヘッダーを見てみると、「Return-Path」には「post_master@netbk.co.jp」と書かれています。

フィッシング詐欺対策 Return-Pathの実例 住信SBIネット銀行の場合2

住信SBIネット銀行の場合は、送信元とReturn-Pathのメールアドレスが一致してますね。

一概にすべてのメールが一致するわけではありませんが、同じであることが多いため、フィッシング詐欺を見破る目安にはなることもあります。

JCBカードの送信元メールアドレスとReturn-Pathは一致していなかった為、「メールアドレスを偽装したフィッシング詐欺なんじゃないか?」と疑うことができます。

この「Return-Path」を調べる対策方法は正直面倒なので、やらなくても大丈夫です。

  • 日本語に違和感はないか?
  • デザインに違和感はないか?
  • メールアドレスに違和感はないか?

メールの内容をしっかり読むことが、フィッシング詐欺メールを見分けるコツになります。

フィッシング詐欺サイトでの対策方法

フィッシング詐欺メールの対策方法を知らなくて、URLを押してサイトを開いてしまった・・・

という場合でも大丈夫!

フィッシング詐欺メールに気が付かず、メールに記載されているURLを押してサイトを開いてしまったとしても被害はありません。安心してください。

フィッシング詐欺メールは、フィッシング詐欺サイトに誘導するための手段です。

簡単に言えば、「自分で情報を入力しなければフィッシング詐欺被害には遭わない」ということです。

ですが、メール内容からはフィッシング詐欺だと気が付かなくても、URLを押した先のサイトでフィッシング詐欺だと気が付かなければ詐欺被害に遭う危険性があります。

ここからは、フィッシング詐欺サイトでできる、見分けるための対策方法をご紹介します。

今回、「JCBカードの不正検知システムメール」内に記載されていたURLをクリックしてみたので参考にしてください。

フィッシング詐欺の実例

フィッシング詐欺のメール内に記載されていたURLを押してみると「MyJCB」のサイトに移動しました。これはフィッシング詐欺サイトです。

以下の画像は本物の「MyJCB」です。

フィッシング詐欺の実例 本物との比較

ほぼ同じ作りなので、サイトの見た目だけではフィッシング詐欺と見抜くのは難しいですね。

なので、サイトへ移動したら「URL」を必ず確認することをオススメします。

フィッシング詐欺対策 サイトURLの確認

フィッシング詐欺サイトのURLは「https://www.my-jcb-co-jp-iss-pc.top/」となっています。

フィッシング詐欺対策 サイトURLを本物と比較する

本物のMyJCBサイトのURLは「https://my.jcb.co.jp/Login」です。

比較してみると明らかに違いますよね。

もう1つ例として別のフィッシング詐欺サイトURLをご紹介します。以下はAmazonのフィッシング詐欺サイトです。

Amazonのフィッシング詐欺サイト

Amazonの公式は「www.amazon.co.jp」ですが、フィッシング詐欺サイトは「www.asmzaon-sllo0op.com」となっています。

あ・・・アマザオン・・・かな?

このように、URLを見て比較してみると本物と偽物の区別がつきやすくなります。

サイトURLの確認をしておけばフィッシング詐欺への対策になるので、怪しいサイトへ移動したら必ずURL確認をすることをオススメします。

フィッシング詐欺サイトで入力してしまった!

万が一の話ですが、フィッシング詐欺サイトで入力してしまうとどうなるのか?

MyJCBのフィッシング詐欺サイトで、IDやパスワード入力してみます。

絶対に本物のIDやパスワード、個人情報などを入力しないでください。

まずは「MyJCB ID」と「MyJCB パスワード」を入力します。

もちろん、本物のIDとパスワードは入力しません。

今回はIDに「あ」、パスワードに「a」を入力してみました。

フィッシング詐欺の実例 MyJCB

先に進めましたね。

フィッシング詐欺サイトでは、間違えて入力しようが適当に入力しようが先へ進める場合が多いです。

同意して次へ進んでみましょう。

フィッシング詐欺の実例 MyJCBでクレジットカード情報を入力する

JCBカードの入力画面へ移動しました。いかにも本物っぽいですよね。

サイトURLを確認していなければ、本物の公式サイトだと誰もが見間違えると思います。

怪しいサイトへ移動したらURL確認は最初に行ってください。

このカード情報は適当な入力では進めませんでした。

私が持っている、残高0円のVisaギフトカード情報を入力して先へ進みます。

フィッシング詐欺の実例 MyJCBで個人情報を入力する

名前や生年月日、電話番号といった個人情報の入力、セキュリティコード、新しいパスワードの入力画面です。

ここで入力したものは全て盗み取られ、悪用される危険性があります。

手口を理解していれば対策可能です。フィッシング詐欺に絶対に引っかからないように、この記事を見ておいてください。

ここは適当な入力、「あ」とかでも先へ進めました。

フィッシング詐欺の実例 MyJCBで個人情報を入力完了

これでフィッシング詐欺が完了です。

入力した内容は悪意のある犯人に知れ渡り、クレジットカードでの被害に遭ってしまうことでしょう。

万が一、個人情報やクレジットカード情報を入力してしまった場合、速やかにカード会社に連絡をして利用停止してください。

その後、警察やカード会社、独立行政法人「国民生活センター」に相談をして指示を仰いでください。

ちなみに、質問の辺りをクリックしてみると・・・

フィッシング詐欺の実例 404エラー

404エラーが返ってきました。

表示されているのは中国語っぽいので、そちらの方の詐欺グループが悪意のある犯人なんでしょうね。

フィッシング詐欺の対策についてのまとめ

フィッシング詐欺の手口を知れば、誰でも自分自身で対策することが可能です。

実際に送られてきたフィッシング詐欺メールや、フィッシング詐欺サイトを載せましたので、詐欺の手口として参考にしてください。

フィッシング詐欺メールやサイトに対する対処法としては

  • 日本語が変じゃないか確認する
  • デザインに違和感がないか確認する
  • メール内容の一部を検索する
  • 送信元メールアドレスを確認する
  • 詳細ヘッダーを確認する
  • サイトURLを確認する

のが有効です。

一番オススメの対策は「サイトURL」を確認する方法です。

とても簡単な見分け方なので、是非やてみてください。

フィッシング詐欺の手口を知り、被害に遭わないよう対策を立てる参考にしてくださいね。

タイトルとURLをコピーしました