2018年3月12日月曜日

メールで個人情報を盗む【フィッシング詐欺】 巧妙な手口を実例で紹介、またその対策とは

あたかも銀行や有名な会社のメールのようなふりをして、不正なホームページに人を誘導し、パスワードなどの個人情報を盗む「フィッシング詐欺」。年々その手口は巧妙化しています。そこで、改めて、その実例と対策を紹介します。

代表的なフィッシング詐欺は、

①銀行などを装ったメールに
②「個人情報を再登録する必要がある」などと書き、
③本物とそっくりの、偽りのホームページにアクセスさせて、
④パスワードなどを打ち込ませ、大事な個人情報を不正に入手します。





【フィッシング詐欺対策の基本】

アカウント名・パスワード等の個人情報を要求するメールは詐欺と疑う

通常企業は、顧客のパスワードや口座情報をメールで尋ねることはない。このようなメールは無視すること。

不審なメールのURLをクリックしない、添付ファイルを実行しない!


【フィッシング詐欺の傾向~特に注意したいメール内容】

①登録している名前やパスワード、その他個人情報を求める内容

②注文していない商品の注文確認をする内容

③支払い情報の更新を求める内容


■■□―――――――――――――――――――□■■

フィッシング詐欺の手口

■■□―――――――――――――――――――□■■

一般的に言われている、フィッシング詐欺の手口を紹介します。

(1) システム変更でだます「システム更新手法」

オンラインサービスのシステム更新を理由に情報の確認を求め、偽りのホームページへ誘導

(2) 注文の確認といってだます「注文確認手法」

商品の注文確認をする内容で、身に覚えがなければ取り消してくださいと偽りのホームページへ誘導

(3) 不安で釣る「アカウント停止手法」

登録情報を再入力しなければサービス利用やアカウントの使用が出来なくなるなどと脅して、偽りのホームページへ誘導

(4) 支払いに問題があるといってだます「支払い情報更新手法」

支払いが完了しなかったとして、支払い情報の更新を求め、偽りのホームページへ誘導

(5) 募金でだます「災害義援金手法」

被災者を救おうというメールで偽のチャリティー・ホームページへ誘導


■■□―――――――――――――――――――□■■

フィッシング詐欺の実例

■■□―――――――――――――――――――□■■



■ 銀行をかたる代表的なフィッシング詐欺


次のメール、ダマされない自信がありますか? とても巧妙です。

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

『こんにちは! 最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「*****銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。以下のページより登録を続けてください。
https://・・・・・・・・・・・・・・・・・・・・・・・・・』

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

「これって銀行からメールだから、早くメールのURLをクリックして確認しないと!」と思いがちです。でも・・・これこそ、フィッシング詐欺です。URLをクリックすると偽物のサイトに誘導され、個人情報を盗まれます。

もともと銀行などから、「再登録してください」「返信ください」などといった、行動を要求するメールはありません。

なお、上記のように、銀行・ショッピングサイトなどから、

「システムが変わったから再登録してください」メールはフィッシング詐欺
だと考えて間違いないです。ダマされないようにしてください。



■ Amazonを装ったフィッシング詐欺


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

『残念ながら、あなたのアカウントAmazonを更新できませんでした。
これは、カードが期限切れになったか、請求先住所が変更されたなど、
さまざまな理由で発生する可能性があります。

ここでお支払い情報を更新してください。

https://●●●●.gl/uKkq1i <https://●●●●.gl/uKkq1i>』

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

これも代表的なフィッシング詐欺です。URLをクリックすると偽物のサイトに誘導され、個人情報を盗まれます。



■ 楽天市場をかたるフィッシング詐欺の実例


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

『本メールはお客様のご注文情報が楽天市場のサーバーに到達した時点で送信される、自動配信メールです。ショップからの確認の連絡、または商品の発送をもって売買契約成立となります。
(注)お買い上げに身に覚えのない方は必ず下記のボタンより、注目確定を取り消してください。(注文の覚えのない方は24時間以内にキャンセルが必要です)
注文に身に覚えがない方はコチラからキャンセル』

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

「コチラ」に危険サイトへのリンクがあります!
こんなメールを受け取り、身に覚えがない注文だから、キャンセルするため、「コチラ」をクリックしたら危険サイトに誘導されます。



■ 三菱東京UFJ銀行を装ったフィッシング詐欺


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

『最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https://●●●●.bk.mufg.jp/・・・・・・・・・・・・』

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

これも代表的なフィッシング詐欺です。URLをクリックすると偽物のサイトに誘導され、個人情報を盗まれます。



■ Netflixを装ったフィッシング詐欺の実例


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

『以下のいずれかの理由でお支払いが完了しなかったことを示しています。

*登録されているお支払い方法が無効、または期限切れになっている。
*お客さまの金融機関が月額料金の支払いを承認しなかった。
*米国のみ:Netflixアカウントに登録されているクレジットカードの郵便番号がお取引銀行に登録されているものと一致しない。

この問題を解決するには、お支払い方法を更新 <http://ow.ly/●●●●>してください。』

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

これも代表的なフィッシング詐欺です。URLをクリックすると偽物のサイトに誘導され、個人情報を盗まれます。



■ クレジット会社をかたるフィッシング詐欺の実例


-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

『クレジット会社A社からの重大なお知らせ
当社の情報が漏洩しています。
対策方法として以下のホームページに入って、クレジットカード番号・有効期限・氏名・住所を入力してください。
http://www.creget-b.xxxxx/security.php 』

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

このメールに書かれたアドレス(URL)をクリックし情報を入力すると、クレジットカード情報が盗まれ、悪用されます。

実際の事件で、メールのURLをクリックし、クレジットカード番号などを入力したところ、数ヵ月後、クレジットカードの明細書に身に覚えのない購入明細が数10万円もあったとのこと。


■■□―――――――――――――――――――□■■

フィッシング詐欺対策の基本

■■□―――――――――――――――――――□■■


(1) 一番大事なこと!! 個人情報を要求するメールは無視する

通常企業は、顧客のパスワードや口座情報をメールで尋ねることはない。このようなメールは無視すること。

不正なサイトに誘導される可能性があり、決して、メールのURLをクリックしない!
ウイルスに感染する可能性があり、決して、メールの添付ファイルをクリックしない!

(2) 一方的に送られてきた寄付を要請するメールには答えない

もし寄付をする場合は、各種救済団体の正規のサイトに直接アクセスする。

(3) カード会社からの請求内容を定期的に確認し不正な請求がないか確認する

クレジットカードなどの明細に、よく分からない金額が書かれていないかチェックする(不正な請求がないか確認する)

(4) セキュリティソフトを使いフィッシング詐欺対策を実施する

フィッシング詐欺対策があるソフトを利用下さい。最近のウイルス対策ソフトには基本的にフィッシング詐欺対策があります。次に、ウイルス対策ソフトのフィッシング詐欺対策が有効になっているか確認下さい。