下記記事で、ネットバンキングのワンタイムパスワードが破られる事例が多発し、2019年の不正送金被害が前年比4.4倍になったことをご紹介しました。
ワンタイムパスワードが破られる糸口は、スマホや携帯に届くショートメッセージなどですが、そのようなメールをきっかけにIDやパスワードを入れる人がいるのか、と思われる方も多いと思います。
自分であれば、フィッシングメールに騙されることはないと考えている方が大半ではないでしょうか?私も実際そう考えていました。
しかし、本当に騙されることはないのでしょうか?最近は、フィッシングメールの手口も巧妙化しています。
そこで、今回は実際のフィッシングメール事例をご紹介します。見分け方や対策についても考えてみたいと思います。
巧妙化しているフィッシングメール詐欺の実態を知って頂ければと思います。
- 1.フィッシングメールとは?詐欺被害が急増したワケとは?
- 2.フィッシングメールの種類
- 3.フィッシングメールの事例
- 4.フィッシングメールの見分け方や対策法
- 5.フィッシングメール詐欺に遭ったら補償される?
- まとめ
1.フィッシングメールとは?詐欺被害が急増したワケとは?
総務省のHPによると、フィッシング詐欺は下記のように説明されています。
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
(出典:総務省 国民のための情報セキュリティサイト)
フィッシング詐欺の多くは「フィッシングメール」を悪用して行われています。
フィッシングメールによる詐欺被害が急増している背景には、下記の通り、メールの文面だけでなく、接続先のWebサイトが本物のサイトと区別がつかないくらい巧妙に偽造されているなど、手口が巧妙化していることがあります。
最近では、電子メールの送信者名を詐称し、もっともらしい文面や緊急を装う文面にするだけでなく、接続先の偽のWebサイトを本物のWebサイトとほとんど区別がつかないように偽造するなど、どんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。
さらに、最近ではパソコンだけでなく、スマートフォンでも同様に電子メールからフィッシングサイトに誘導される手口が増えています。
(出典:総務省 国民のための情報セキュリティサイト)
また、最近では、メールだけでなく、facebookやLINEなどのSNSのメッセージ機能を悪用したケースも確認されているそうです。
詐欺グループも騙そうとしているわけですから、どんどん手が込んできて、詐欺かどうかを見分けることが難しくなっているようです。
スポンサーリンク
2.フィッシングメールの種類
フィッシングメールにはいくつかの種類があります。例えば、設定確認系やアカウントロック系などです。
設定確認系とは、「設定されているパスワードが簡単過ぎる」などとして、パスワードの変更を促して偽サイトに誘導し、IDやパスワードを入力させます。
アカウントロック系とは、「アカウント情報に不備がある」などとメールで指摘し、偽サイトに誘導、IDやパスワードを入力させます。
その際に「24時間以内に変更しないとアカウントがロックされる」と脅迫する文言があります。
アカウントロック系は、いつも使っているネット銀行などだとしたら、ロックなどされたら面倒という気持ちになってしまわないでしょうか。
フィッシングメールの文章には、今すぐ何とかしないといけないと思わせるような、人間の心理を利用した文面が使われていて、騙されやすくなっています。
3.フィッシングメールの事例
さて、ここからは実際にどのようなフィッシングメールが存在するのかを事例を使って確認していきたいと思います。
全ての画像は、「フィッシング対策協議会」から引用させて頂いています。
ジャパンネット銀行をかたるフィッシングメール
まず、1つ目がジャパンネット銀行をかたるフィッシングメールです。下記メールの件名は、「お客さまの口座間送金管理」です。
件名やメールの本文をじっくり読めば、「このメールは何が目的?」となるかもしれませんが、よく読まずにURLをクリックすると、下の画像のような偽サイトに誘導されます。
仮に下のサイトに誘導されたとしたら、本物のサイトと何が違うのか全く分からないだろうと思うのは私だけではないでしょう。
りそな銀行をかたるフィッシングメール(ショートメッセージ(SMS))
続いて、ショートメッセージ(SMS)バージョンです。
左側のショートメッセージに関しては、明らかに文面がおかしいので、ゆっくり読めばフィッシングメールだと気づく方が大半でしょう。
しかし、慌てて偽URLをクリックすると、下の画像のようなサイトに移ります。下の画面にアクセスして瞬時に偽サイトだと判断できる方は皆無ではないでしょうか?
私のフィッシング詐欺へのイメージは、たどたどしい日本語のフィッシングメールが来て、明らかに本物とは異なると判断できるサイトに誘導され、IDやパスワードを要求されるものです。
ITリテラシーが高くない人しか騙されることはないだろうという印象を持っていました。
しかし、今回の事例を見ると、メールの文章もよく読めば違和感はありますが、仕事などが忙しくてじっくり読む時間がなければ、ついつい偽URLにアクセスしてしまうかもしれません。
誤って偽サイトにアクセスしてしまうと、本物と見分けが付かないサイトになっています。詐欺グループ側もサイトをコピーして偽サイトを作るので、本物かどうか判断することが難しくなっています。
いまのフィッシングメール詐欺はITリテラシーが高い方でも騙される可能性があると思います。大切なことは、「自分は絶対に騙されることはない」と過信し過ぎないことではないでしょうか。
スポンサーリンク
4.フィッシングメールの見分け方や対策法
フィッシングメール詐欺の見分け方や対策法として、下記のような方法が紹介されています。
- 送信元のチェック
- タイトルや本文のチェック
- URLのチェック
しかし、手口が巧妙化していて、上記の方法では完全に詐欺は防げないでしょう。
メールの件名や文面も本物と勘違いさせるようなものになっていますし、URLなどは、本物とほとんど同じようなURLを使われると、チェックしても何が正しいかなどはすぐには判断できません。
個人的には、『メールで銀行からIDやパスワードを聞かれることはない』と頭に刻み込むことが重要だと考えています。
りそな銀行では下記の通り、『eメールやSMS等で、IDやパスワードなどの入力を求めることは一切ありません』と明言しています。
「りそなマイゲート・りそなグループアプリ」偽eメール・偽ショートメッセージ(SMS)等にご注意ください!
平素より、りそなグループをお引き立ていただき、誠にありがとうございます。
現在、りそな銀行を名乗った、以下のような偽eメール、偽ショートメッセージ(SMS)が配信されています。当社からeメールやSMS等で、このような情報の入力を求めることは一切ありません。不審なeメール・SMS等を受信した場合は、すぐに削除し記載されたリンク先へのアクセスやお客さま情報の入力等は絶対にしないでください。
(出典:りそな銀行)
銀行などからメールでIDやパスワードを要求され、本物か偽物か迷った場合には、一呼吸おいて、本当にIDやパスワードの入力が必要か銀行に電話で問い合わせるべきでしょう。
スポンサーリンク
5.フィッシングメール詐欺に遭ったら補償される?
どんなに気を付けていても、手口が巧妙化しているため、フィッシングメール詐欺によって、不正送金被害に遭う可能性があります。
そのような場合には、被害にあった預金は補償されるのでしょうか?
フィッシングメール詐欺による不正送金の被害に遭った場合、原則、被害額の全額が補償されます。
しかし、補償には下記のような条件がありますので、全額補償されない可能性もあります。やはり、騙されないようにすることが重要です。
三菱UFJダイレクトの不正利用被害の補償について
個人のお客さまにおかれまして
- ご契約番号等の盗用または不正な振込に気付いたらすみやかに当行に通知していただくこと
- 当行の調査に対し十分な説明を行っていただくこと
- 警察に被害届をご提出または被害のご相談をいただくこと
を前提に、原則として通知があった日から30日前の日以降になされた払出しについて被害補償いたします。なお、ご本人に過失がある場合の被害補償額は4分の3となります。ただし、これらは番号等の盗用から2年を経過する日後に通知をいただいた場合には適用されません。さらに、ご本人に重大な過失がある場合、ご本人の配偶者、二親等以内の親族、その他同居人または家事使用人によって行われた場合、またはご本人が被害状況の説明において重要な事項について偽りの説明を行った場合には被害補償の対象とはなりません。
(出典:三菱UFJ銀行)
不正送金の補償を受けるうえで最も大切なことが、不正送金に気付いたらすぐに銀行に連絡するという点です。連絡が遅れると、補償の対象外となってしまいます。
そして、警察への連絡と被害届の提出が必要となります。
スポンサーリンク
まとめ
フィッシングメール詐欺による不正送金の被害が増えている背景には、詐欺集団の手口が巧妙化しているということがわかりました。
フィッシングメール詐欺により、不正送金の被害に遭えば、原則、被害を補償してもらえますが、状況によっては、補償額が減額されたり、補償対象外となってしまう可能性もあります。
フィッシングメールに騙されないようにする心構えが必要であることと、メールでIDやパスワードを要求されることはないと肝に銘じ、どうしても気になるときは、金融機関に問い合わせることが、詐欺から身を守る方法でしょう。