通販サイトのアマゾンや大手カード会社を騙った「フィッシング詐欺」が爆発的に増えている。
フィッシング対策協議会によると、今年11月のフィッシングの報告数は、3万967件で、昨年同期から2万3207件も増加した。報告件数は、過去最高を更新しているという。
とくにアマゾンを騙るフィッシングの報告が多く、全体の62.3%を占めた。次いで、三井住友カード、楽天、MyJCB、アプラス(新生銀行カード)。上位5つで、全体の約9割にのぼった。
●偽サイトに誘導して、アカウント情報やクレカ番号を盗み出す
フィッシング詐欺とは、送信者を騙ってメールを送りつけて、URLから偽サイトに誘導したうえで、アカウント情報(ID・パスワード)やクレジットカード番号を入力させて、個人情報を盗み出したり、キャリア決済などを不正利用する行為だ。
メールの文面は緊急を装うものが多く、誘導する偽サイトも本物のサイトとほとんど区別がつかないように作り込むなど、フィッシング詐欺の手口は、どんどん巧妙化されてきているようだ。
国民生活センターによると、宅配業者を装って、SMS(ショート・メッセージ・サービス)で、偽の「不在通知」が送られてくるケースも増えているという。同センターは注意喚起をしている。
●弁護士ドットコムニュース編集部にも届いた!
実際に弁護士ドットコムニュース編集部に届いたフィッシング詐欺のメール文面は次のようなものだ。
「Аmazonに登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。
残念ながら、Аmazonのアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するためАmazonアカウントの情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください」
本物と見分けがつかないような文面だが、アカウントの利用制限など、どこかおかしい内容も書かれている。典型的なフィッシングといえる。
●「犯罪者にとってコストをかけても十分利益がある」
では、どうしてフィッシングは増えているのだろうか。フィッシング対策協議会・事務局はその背景について、弁護士ドットコムニュース編集部のメール取材に次のように回答した。
「犯罪者側のインフラ(フィッシングメール送信ツールによる大量配信環境やフィッシングサイト構築ツール)が整って、システム的に実行されていると言われています。
また、コロナ禍による在宅やインターネットショッピング利用者を狙って、積極的に増やしているという可能性は考えられますが、あくまで推測となります。
いずれにせよ、犯罪者にとってはコストをかけても十分利益がある(それだけ被害がある)ということかと思われます」
●あやしいメールはすべて無視しよう
ひと目では、フィッシング詐欺であるとは判別できないケースが増えてきているという。どのように対応したらよいだろうか。情報処理機構(IPA)セキュリティセンターの中島尚樹主幹に聞いた。
――具体的にどう見分ければいいのでしょうか?
ものすごく本物そっくりにできています。メールも偽サイトもそうですが、一般の人が見分けようとしても、実は偽物だったということもありえます。だから、URLが貼ってあって、「ここにアクセスしてください」という内容のメール、SMSは、すべて疑ってください。基本的にはアクセスしないでください。そういうものはすべて無視してください。
――メールが本物かどうか知りたい場合はどうすればいいでしょうか?
アマゾンや三井住友カードなどに電話して確認するしか方法はありません。
よくあるのは、「あなたのパスワードが危険な状況にあるので、IDとパスワードを入力してください」というものです。
もし本当かどうか気になるなら、そのメール・SMSのURLからアクセスするのではなく、ふだん使っている正しいURL(ブックマーク登録してるもの)からアクセスしてください。本当に「危険な状況」が発生してたら、そういうことが書いてあります。
スマートフォンであれば、いつも使っているアプリから、正しいサイトにアクセスするようにしてください。
――もし、IDやパスワードを入力した場合はどうすればよいでしょうか?
アマゾンなどのID・パスワードを入力させるフィッシングであれば、そのID・パスワードを使って、不正ログインされる可能性があるので、まずはパスワードを変更する必要があります。なるべく長くて複雑なパスワードにして変更していただくとよいです。
もし、そのパスワードをほかのサービスにも使いまわしている場合、そちらのサービスのパスワードも念のため変更してください。
もう一つ有効なのは「二段階認証」(多要素認証)の設定です。もし、その設定をしていないのなら、設定をしているとより安全です。そうすれば、ID・パスワードが漏れて誰かが別の端末でログインしようとしても、二段階認証が設定されていれば、自分の端末にしか認証コードはこないので、そのログインは成功しません。
――銀行やオンラインバンクのフィッシングで、不正送金の被害にあったら?
もし、銀行の口座番号やモバイルバンクのパスワード、クレジットカードの番号・セキュリティコード(裏の3桁番号)を入力してしまった場合は、その銀行やクレジットカード会社に連絡して、必要な対処をあおぐようにしてください。
