フィッシング詐欺に気をつけろ!

「異常ログインの可能性」の偽メッセージで数万円が不正利用 JPCERTコーディネーションセンター 吉岡 道明、平塚 伸世

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

スミッシングやキャリア決済不正利用への対策とは?

 フィッシングの手口は年々巧妙になっています。事例1の携帯電話事業者をかたるスミッシングでは、差出人を偽って送った偽のSMSメッセージであるにも関わらず、正当な携帯電話事業者が送った公式メッセージの直下に偽メッセージが表示されました。なぜ、このようなことができるのか、驚く方もいらっしゃるでしょう。

 実は、海外には、任意の文字を差出人に指定してSMSを送信できるサービスがあり、それを悪用しています。そうした、なりすまし可能なサービスが送るメッセージは「海外からのSMS受信拒否」といった設定を行うと、ブロックできますが、あらゆる海外からのSMSメッセージが届かなくなります。2段階認証などのSMSを使った認証メッセージが届かなくなることがありますので、その都度、ブロックを解除しなければなりません。

 また、前述した二つの事例ではキャリア決済が不正利用されていましたが、「キャリア決済サービスを利用できるように携帯電話事業者と契約をした覚えがない」という方も決して少なくないと思います。

 しかし長年、同じ携帯電話事業者と契約している人は、フィーチャーフォン(いわゆる「ガラケー」)からスマートフォンへ機種変更した際に、5万~10万円を上限とするキャリア決済が申し込み不要で使える場合があります。不正利用の被害に遭うまで、キャリア決済サービスが利用できること自体に気が付いていない方も実際にいました。

 スマートフォンをお使いのかたは今までキャリア決済を利用したことがなくても、今一度、契約内容を確認しましょう。そして、キャリア決済サービスを利用する場合は、携帯電話事業者が推奨する、2段階認証のような安全性を高めるセキュリティー設定や、必要最小限の限度額の設定などを行っておきましょう。

スマートフォン利用者を狙ったフィッシングは見破りにくいことを自覚しよう

 一方、正当な事業者が、SMSメッセージやメールにリンク先を記載してタップやクリックができるようにしている場合も決して少なくありません。そのようなときはどうしたらよいでしょうか?

 前回説明したように「フィッシングだと見破ること」には限界があります。また最近は、スマートフォンだけでメールやインターネットサービスを利用することも多くなりましたが、スマートフォンアプリは一般にパソコンのアプリより少ない情報しか一度に表示しません。

 メールの差出人に関する情報や、アクセス先のウェブサイトのアドレス(URLと言います)の情報が画面に表示されず、それらを確認しようとするとちょっと面倒な操作が必要になります。スマートフォンのこうした特性をだます側も承知して悪用します。

 さらに、メールの差出人に関する情報を毎回確認している人も安心はできません。メールで差出人を偽ることは簡単にできます。正当な事業者のアドレスから届いたように見えるメールであっても、なりすましメールである場合があります。

対策は、正規のスマートフォンアプリを使うこと、正規のサイトへアクセスしてログインすること

 フィッシングのターゲットや手法はその時々で変化がありますが、インターネットユーザー自らが行える、普遍的な対策を最後に紹介しましょう。

 まず、安全・確実に、正規のサイトへアクセスすることを、第一に考えましょう。

 ログインを促すようなリンクが張ってあるメールやSMSメッセージを受信した際は、そのリンク先へアクセスしてはいけません。正規のスマートフォンアプリを開く、またはウェブブラウザーの「お気に入り(ブックマーク)」に登録した正規のURLからサービスへログインするようにしてください。

 また、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの重要な情報の入力を要求された場合は、いったん操作をやめてください。そして、もし入力した情報が即時に不正利用されたら、何が起こるかを考えるとともに、その会社名や画面を使った似たようなフィッシングや詐欺事例がないか、ネットで検索して確認をします。

 特に、初めてアクセスするウェブサイトの場合は、重要な情報を入力する前に、サイトの運営者情報や問い合わせ先などを念のため確認し、改めてネット検索を行い、実在する信用のおけるサイトであるかを確認する、あるいは、その会社の名前をかたった詐欺事例がないかなどを確認するとよいでしょう。

 会社によっては、ホームページでフィッシングについての注意喚起を掲載していることもあります。フィッシングメールやSMSメッセージの件名、本文の文言、ブランド名などをキーワードにネット検索をすることで、似たような詐欺事例を見つけることができることもあります。

 フィッシング対策協議会でも、「緊急情報」として、フィッシングメールやSMSメッセージの文面、フィッシングサイトの画像を掲載し、広く注意喚起をしています。ぜひ、確認してください。

インターネットを安全に楽しむための合言葉「STOP.THINK.CONNECT」

 本文にもあるように、メールやSMSメッセージにあるURLにはむやみにアクセスしないで、いったん立ち止まり、よく考えてからアクセスすることが重要です。その基本となる行動様式を合言葉にした普及啓発キャンペーンが、「STOP.THINK.CONNECT(立ち止まる、考える、楽しむ)」です。キャンペーンには世界中の企業が多数賛同しており、この合言葉を広めるために活動しています。日本では、フィッシング対策協議会にある「STC普及啓発ワーキンググループ」が、国内における普及啓発活動を担っています。

STOP.THINK.CONNECTのホームページ(日本)⇒ https://stopthinkconnect.jp/ ※このURLへウェブブラウザーでアクセスします
吉岡 道明(よしおか みちあき) 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) シニアアナリスト。長年、システム開発に従事した後、2007年から情報セキュリティー業界へ。サイバー空間の事故対応等を行うセキュリティコンサルタントとして活動後、2018年からJPCERT/CCに着任。フィッシングの報告受付窓口業務に携わる。

平塚 伸世(ひらつか のぶよ) 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 情報セキュリティアナリスト。メッセージング関連企業で開発支援、サーバ構築・運用を行い、メール関連プロトコルの技術書の監訳等にも携わる。その後、JPCERT/CCに着任し、システム管理業務を経て、2015年より主業務としてフィッシングの報告受付窓口対応を担当。
※日経BizGateの記事を無料で定期的にお届けする会員登録をおすすめします。メルマガ、印刷ページ表示、記事クリッピングなどが利用できます。登録はこちらから

キーワード:経営・企画、経営層、管理職、経営、技術、製造、プレーヤー、ICT

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。