実際に届いたJCBおよびMUFGカード、EPOSカード、UCカード、三越伊勢丹WEB会員エムアイカードのフィッシングメールから、「実際にクリックしたらどのようなMY JCBなどの偽サイトに誘導されるか」か調査し、見破るポイントや対策を詳しくご説明します。
ぜひ、最新のフィッシングサイトの巧妙さを体験いただき、だまされないようご注意ください。
クレジットカードのフィッシングメールとフィッシングサイトのリアル調査からわかった現実
フィッシング詐欺犯は人の心理を巧みにあやつっている
人は誰でも「不安を感じても、自分にだけは悪いことは起きないだろうと楽観的に考えてしまい(楽観バイアス)、すぐに何らかの利益や成果を得ようとする」心理上の弱点を持っています。
この心理状態を双曲割引(そうきょくわりびき)といいます。
フィッシングメール詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているます。
今では、サイバー犯罪の犯人にもっとも必要な技術は、「不正なプログラムを作る」ことではありません。
いかにユーザーの心理を利用して、自ら間違いを犯させるか?の心理テクニックが最重要なのです。
それでは、いかにフィッシング犯がユーザーをだまそうとしているのか、実物の「JCBおよびMUFGカード、EPOSカードかたるフィッシングメールと各カード会社の偽サイト」をモデルに、ご説明します。
1.JCBのフィッシングメールの最新事情
JCBのフィッシングメールの手口
JCBのフィッシングメールも過去のAmazon、楽天などのフィッシングメールと同様、
- 「アカウントの詳細確認」「サインインの本人確認」「セキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧な偽MY JCBの偽造サイトに誘導。
- ユーザー自らに「カード番号他の個人情報」を入力させて情報を盗取する。
といった手口であり、現在まで確認されているメールの内容は、JCBによると、「MY JCBからの通知」や、「カードの再発行受付通知からアカウントロック」まで多岐にわたっています。
詳細は、JCBのヘルプサイト 「JCBを名乗る怪しいEメールが届きました」をご覧ください。
JCBを狙ったフィッシングメールはレベルが高い
Amazonや楽天の詐欺メールは変な日本語ですぐに見分けがついたが、、、、
フィッシングメールは、海外から送付されることがほとんどです。
犯人は「フィッシングメールの作成キット」をブラックマーケット(ダークウェブ)で購入し、カスタマイズして犯行に及びます。
しかし海外製のため、文面は外国語で書かれており、日本向けに翻訳作業が必要でした。
恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました。
後発のJCBフィッシングメールはいきなり完成度が高く危険
ところがフィッシングメールとしては後発のJCBのフィッシングメールでは、犯人達は十分に経験を積んでいるため、下手な日本語は、ほとんど見当りません。
以下のようにレイアウトも文面も不審な点がない精巧なフィッシングメールが送られています。
JCBカードの利用確認をよそおうJCBフィッシングメール
件名:いつも弊社カードをご利用いただきありがとうございます。
昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、24時間365日体制でカードのご利用に対するモニタリングを行っております。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
https://my-jcb.thewoodpanellingcompany.com/index/○○○.html
■発行者■
株式会社ジェーシービー セキュリティーデスク
電話番号 : 0120-520-312(日本国内から 通話料無料) 0422-40-8645(海外から コレクトコール可(※1))
※1ご滞在国の国際電話のオペレーターを呼び出し、コレクトコールを依頼してください。
営業時間 : (平日)9:00AM?8:00PM、(土?日?祝)9:00AM?6:00PM (いずれも年中無休)
※上の営業時間外でもお電話は24時間つながります。営業時間外は、
JCBオーソリセンターにてご利用内容の確認をさせていただきます。
※本メールに直接返信されましても対応できません。
※お問い合わせは上の電話番号までご連絡をお願いいたします。
===================================
本メールに掲載されているすべての記事、文章等の無断転載を禁止します。
著作権はすべて、株式会社ジェーシービーに帰属します。 Copyright (C) JCB Co.,Ltd. All rights reserved.
JCBカードの第三者による不正利用の注意をよそおうJCBフィッシングメール
または
件名:[MyJCBカード]が第三者に利用される恐れがあります
==============================
本メールはJCBカードのご利用にあたっての、大切なご連絡事項
==============================
いつもJCBカードをご利用いただきありがとうございます。
弊社では、お客様に安心してカードをご利用いただくことを目的に
このたび、弊社の不正検知システムにおいて、現在、お客様がお持
ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあげます。
==============================
弊社におけるセキュリティー対策について
あなたの口座が資金の安全のために凍結されたのですが、すぐにW
変更をご WEBサービスよりお申込みください。
■ 変更をご 方法
▼MyJCBログインはこちら
https://my-jcb.thewoodpanellingcompany.com/index/login/index.html○○
==============================
【お問い合わせ窓口】
株式会社ジェーシービーセキュリティーデスク
電話番号 : 0120-520-312(日本国内から 通話料無料) 0422-40-8645(海外から コレクトコール可(※1))
※1ご滞在国の国際電話のオペレーターを呼び出し、コレクトコー
営業時間 : (平日)9:00AM?8:00PM、(土?日?祝)9:00A
※上の営業時間外でもお電話は24時間つながります。営業時間外
※本メールに直接返信されましても対応できません。※お問い合わせは上の電話番号までご連絡をお願いいたします。
==============================
本メールに掲載されているすべての記事、文章等の無断転載を禁止
JCBカードのカード暗証番号の照会をよそおうJCBフィッシングメール
件名:カード暗証番号の照会がありました
カード名称 :JCB カード
本メールはJCBのWEBサービス「MyJCB」から「暗証番号の照会」を行った際に、確認のためお送りしております。
※本メールに心当たりのない方は、下の問い合わせ先までご連絡ください。
※本メールの送信アドレスは自動送信専用です。直接返信されても対応はできません。
<本件に関するお問い合わせ>
354または355から始まるカードをお持ちの方 JCBインフォメーションセンター https://my-jcb.7hcpcp.com?Login
3573から始まるカードをお持ちの方 JCBデビットカードデスク https://my-jcb.7hcpcp.com?Login
JCBのフィッシングメールや偽MY JCBフィッシングサイトをクリックしてみたら?
安全な環境でJCBのフィッシングの犯行を体験してみる
データを盗取される心配のない、専門家用のテスト環境で、実際に届いたフィッシングメールのURLをクリックして、実際のフィッシングの手口を確認してみました。
上記のJCBからのフィッシングメールの文中のURLをクリックすると、精巧に作られた以下のようなJCBの偽MY JCBフィッシングサイトに誘導されます。
1.まず「セキュリティチェックページ」に誘導される
驚いたことに、本物のJCBサイトにはない「セキュリティチェック」のページが開きました。
「CAPTCHA認証」とは、人間しか分からない画像を使った認証方法で、セキュリティを厳重に管理しているサイトにログインする際に使われる手法です。
偽のJCBサイトでは、この「CAPTCHA認証」が使われ、しかも信用させるためにか、2種類のチェック方法が重ねて使われていました。
「CAPTCHA認証」自体は利用資格など不要で、誰でもサイトに組み込むことができますが、サイトの信頼性を演出するには効果的な方法です。
犯人は「しっかりした本物のサイトだ」と誤解させるため、2つものセキュリティチェックを導入したのでしょう!
2.精巧な偽の「MY JCBログインページ」が開く
本物のJCBの「MY JCB」サイトをそっくり再現した偽ログインサイトが開きます。
IDとパスワードは何を入力してもログインできて次の画面に進みます。
つまり情報盗取だけを狙った詐欺サイトなのです。
3.偽の「カード情報・有効期限入力ページ」が開く
本物のJCBの「MY JCB」サイトを再現した偽ページが開きます。
信じてカード番号や有効期限を入れると盗まれてしまいます。
4.偽の「カード情報・有効期限入力ページ」が開く
本物のJCBの「MY JCB」サイトを再現した偽ページが続きます。
情報を盗むだけが目的ですから、何を入れても次へ進みます。こうして盗取された情報が、いろいろな不正ログイン事件に悪用されてしまうのです。
5.いきなり「サイトのメンテナンス中」を告げる画面が開く
入力内容を確認できるはずが、いきなり「メンテナンスのためサイトが停止中」のページが開きます。
犯人は盗み取れるすべての情報が入手できたので「もう用はない」と言うことなのでしょう。
人によっては「メンテナンスならしかたがないな」と不審に思わず、入力したことも忘れて終わってしまうかもしれず、詐欺としては巧みな方法です。
2.MUFG三菱UFJニコスカードのフィッシングメールをクリックしてみたら?
MUFG三菱UFJニコスカードのフィッシングメール
筆者の手許に届いた以下のMUFG三菱UFJニコスカードのフィッシングメールをクリックして、どのようなフィッシングサイトに誘導されるか調べて見ました。
本文やメールのデザインは精巧に偽造されていますが、本文の日本語はかなり不自然です。
上記の「JCBの偽MY JCBサイト」に比べるとシンプルですが、かえって簡単に情報を入力してしまい気がつかない方がいるかもしれません。
件名:MUFGカード会員サービスに修正情報を再
いつもMUFGカードをご利用いただきありがとうございます。
弊社では、お客様にてカードをご利用いただくことを目的に第三者による不正使 するモニタリングを行っています。 当社の検出を経て、が不法悪意ログインあなたwebサービス。
お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】
便とご心配をおかけしまして誠に申し訳ございませんが、 何とぞご理解賜りたくお願い申しあげます。
至急、MUFGカード会員サービスに修正情報を再登録してくださ グイン
1.「MUFGカードの偽サイト」に誘導される
- ログインをクリックすると本物をコピーした「MUFGカードの偽サイト」に誘導されます。
- IDとパスワードは適当なダミーデータを入力すると、「ログイン」のボタンがクリックできます。
2.「MUFGカードの偽会員サイトの情報入力」画面が開く
- ログインをクリックすると本物をコピーした「MUFGカードの偽会員サイト」に誘導されます。
- 項目には適当なダミーデータを入力します。内容の確認はなく、単に入力情報の盗み取るだけのサイトです。
3.「MUFGカードの偽会員サイト」が開く
- 「NEXT」をクリックすると「成功 あなたのアカウントは回復しました」と表示され実物の「MUFGカードの会員サイト」が開きます。
- ここで再度ログインを求められますが、正当なサイトが開くため、詐欺にあったことに気がつかない方もいるかもしれません。
3.エポス(EPOS)カードのフィッシングメールをクリックしてみたら?
エポス(EPOS)カードをよそおうフィッシングメール
筆者の手許に届いた以下のエポス(EPOS)カードのフィッシングメールに記載されたURLを開いて、どのようにフィッシングサイトに誘導されるか調べて見ました。
本文やメールのデザインは実物をコピーしており、不自然さはまったくありません。
いつも弊社カードをご利用いただきありがとうございます。
昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、24時間365日体制でカードのご利用に対するモニタリングを行っております。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
https://www.epos-carb.vip/
━━━━━━━━━━━━━━━
■発行者■
株式会社 エポスカード
東京都中野区中野4-3-2
https://www.epos-carb.vip/
──────────────────────────────────
Copyright All Right Reserved. Epos Card Co., Ltd.
無断転載および再配布を禁じます。
1.「EPOSカードの偽サイト」に誘導される
- ログインをクリックすると本物のサイト(https://www.eposcard.co.jp/index.html)をコピーした「偽のEPOSカードサイト」が開きます。
EPOSカードのサイトでも「偽サイトはエポスNet公式サイトをコピーして作られているため、見た目はほぼ同じです。サイトの見た目だけで本物かどうか判断することは危険です」とかかれていますが、非常に精巧にできています。 - IDとパスワードは何を入れてもログインできてしまいます。適当なダミーデータを入力して「ログイン」します。
2.「EPOSカードの偽会員サイトの情報入力」画面が開く
- ログインをすると本物をコピーした「EPOSカードの偽会員サイト」が開きます。
- ログインするとカード情報だけでなく、セキュリティコードや銀行口座番号や暗証番号まで尋ねてくる、明らな不正サイトですが、デザインがそれらしくできており、うっかりするとだまされてしまいそうです。
- 項目にはどんなデータも入れても、内容の確認はなく、単に入力情報の盗み取る目的だけのサイトです。
4.UCカードのフィッシングメールをクリックしてみたら?
UCカードをよそおうフィッシングメール
筆者の手許に届いた以下のUCカードのフィッシングメールに記載されたURLを開いて、どのようにフィッシングサイトに誘導されるか調べて見ました。
本文やメールのデザインには、一部敬語の使い方以外、不自然さはまったくありません。
文中の3個所のURLをクリックするとフィッシング詐欺サイトへの飛びます。
UC CARDカードをご利用のお客さま
利用いただき、ありがとうございます。このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
※ご利用確認はこちら
https://www2.uccard.co.jp.shy1.tokyo/
※カードご利用の承認照会があった場合に通知されるサービスであり、カードのご利用 及び ご請求を確定するものではありません。
※ご利用店舗は、当社に売上の情報が到着後、At You Netのご利用明細照会やWEB明細で確認していただけます。反映までにお日にちがかかる場合がございます。
※あとからリボ、あとから分割はご利用の内容がAt You Netのご利用明細照会やWEB明細に反映後、お申込みいただけるようになります。 ※携帯電話や公共料金などの継続的なご利用(注) 及び ETCや、一部の電子マネー利用については通知されません。(注)利用内容によっては通知される可能性がございます。
▼At You Netのログインはこちら https://www2.uccard.co.jp.shy1.tokyo/
▼ご利用通知サービスのサービス内容紹介はこちら https://www2.uccard.co.jp/cs/app/
※このメールアドレスは送信専用です。ご返信に回答できません。
Copyright © UC CARD CO., LTD. All Rights Reserved. 業務委託先:株式会社クレディセゾン
1.「UCカードの偽サイト」に誘導される
- 指定されたログインをクリックすると本物のUCカードサイトのログインページをそっくりコピーした「偽のログインページ」が開きます。
IDとパスワードは何を入れてもログインできてしまいます。適当なダミーデータを入力して「ログイン」します。
2.「UCカードの偽会員サイトの情報入力」画面が開く
- ログインをすると本物をコピーした「UCカードの偽会員情報登録ページ」が開きます。
- 異常があるので再登録が必要と偽って、カード情報だけでなく、メールアドレスやログインパスワードも盗み取ろうとします。
ここで入力したパスワードなどを使い回していると、メールアドレスを元にいろいろなサービスで不正ログインを試されてしまいます。 - 項目にはどんなデータも入れても、内容の確認はなく、単に入力情報の盗み取る目的だけのサイトです。
3.「確認ページ」の後「UCカードの本物の会員サイト」へ転送されてしまう
- 全てのデータを入れると、確認ページが開きます。このページだけは本物ページのコピーではなく、独自につくセイしていますので、不自然ないわゆる「中華フォント」が目立ちます。
- しかし確認ページからは、速やかに自動的に本物のUCカードの会員サイトに転送されるため、不自然さに気がつかず不正を見逃してしまう恐れもあります。
5.三越伊勢丹WEB会員エムアイカードのフィッシングメールをクリックしてみたら?
WEBエムアイカードをよそおうフィッシングメール
筆者の手許に届いた以下のWEBエムアイカードのフィッシングメールに記載されたURLを開いて、どのようにフィッシングサイトに誘導されるか調べて見ました。
本文やメールのデザイン・本文には、不自然さはまったくありません。
文中の2個所のURLが手続が異なるのに同じところは変ですが、クリックするとフィッシング詐欺サイトへの飛びます。
いつもWebエムアイカード会員サービスをご利用いただきましてありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。。↓ Webエムアイカード利用確認 https://www1.micard-app.com/また、三越伊勢丹WEB会員にご登録いただいているお客さまは、別途ご登録情報変更のお手続きが必要です。
お手続きは下記よりお願いいたします。 https://www1.micard-app.com/
※このメールにお心当たりのない方は、お手数ですが下記までご連絡くださいますようお願いいたします。**************************************************************
■「Q&A よくあるご質問」はこちら https://micard-app.com/
■お問い合わせ先 株式会社 エムアイカード お客さまサービスセンター https://www1.micard-app.com/
※本メールは送信専用メールアドレスから配信しております。
ご返信いただいても対応いたしかねますので、予めご了承ください。
**************************************************************
1.「Webエムアイカードの偽サイト」に誘導される
- 指定されたログインをクリックすると本物のWebエムアイカードサイトのログインページをそっくりコピーした「偽のログインページ」が開きます。
IDとパスワードは何を入れてもログインできてしまいます。適当なダミーデータを入力して「ログイン」します。
2.「Webエムアイカードの偽会員サイトの情報入力」画面が開く
- ログインをすると本物をコピーした「Webエムアイカードの偽会員情報登録ページ」が開きます。
- カード情報だけでなく、口座番号やお客様番号まで、盗み取ろうとします。
- 項目にはどんなデータも入れても、内容の確認はなく、単に入力情報の盗み取る目的だけのサイトです。
- データを全て入力して「確認」を押すと、再び冒頭のログインページに飛ばされます。
入力に間違いがあったのかなと、再度また別の入力をしてしまうそうになります。
三越伊勢丹WEB会員・Webエムアイカードは、かつて不正ログイン攻撃を受けましたが、このようなフィッシングサイト経由で盗まれたデータが使われただけでなく、使い回していると他のサービスの不正ログインにも使われてしまいます。
フィッシングメールやフィッシングサイトをクリックしてしまったら、どうする?
クリックしただけなら心配ない
クリックすると、上記の偽「MY JCBページ」のような、詐欺フィッシングサイトが開きます。
しかし、そこから「自分で情報を記入する」「ソフトやアプリをインストールする」など、だまされて行動しない限り心配はありません。
また、今のスマホやパソコンは、
- 信頼できるセキュリティソフトを導入しておく。
- OSやアプリ、ソフト、ブラウザーは常に最新版に更新しておく。
という基本的なことを守っていれば、サイトを開いただけで不正プログラムに感染するという事はまずありません。
「ログインしてしまった」「情報を入力してしまった」時は?
至急個人情報を守る対策をしましょう
犯人による悪用を避けるため、
- パスワードの変更
- クレジットカードの使用差し止め
などの、利用停止措置を大至急取りましょう。
上記の偽カードの会員画面ににログイン情報など個人情報を入れてしまった時は、大至急24時間いつでも対応してくれる各カードの緊急デスクに連絡して、カード使用を止めましょう。
連絡先は以下「盗難紛失のご連絡」をクリックしてご確認ください。
他のアカウントでの被害を防ぐ
同じパスワードを、他のサービスで使い回していて乗っ取られるリスクも高いです。
パスワードを使い回していた場合は、利用停止措置の後「すべてのパスワードを独自のものに変更」してください。
「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]
クリックして何かのソフトやツールをダウンロードし入れてしまった時は?
少しでも不安を感じたら、大至急パソコンやスマホをセキュリティーソフトで検査しましょう!
Androidスマホやパソコンを使っていて、少しでも不審を感じたときは「信頼できるセキュリティ対策ソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。
まだ入れていない方は無料で使える大手の有名セキュリティソフトを使いましょう。
~Windowsパソコンのスキャンと駆除~
マイクロソフトが無料で配布しているMicrosoft Safety Scanner を強くおすすめします。
信頼性が高く強力で、ダウンロードしてすぐに使用できます。
詳しくは以下の記事をご覧下さい。
マイクロソフトが無料で配布しているMicrosoft Safety Scannerはマルウェア(ウイルス)を徹底的に検索し削除してくれる強力かつ信頼できるスキャンツールです。検出率や性能は高く評価できますが、一般的なセキュリティ対策ソフ[…]
~AndroidスマホやMACにも使える無料のセキュリティ対策ソフトは?~
■【ノートン】無料体験版
(Digital Keeperお薦め)
■【マカフィー】初月無料版ダウンロード
■【ESET】感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト 
■【アバスト】30日間無料体験版、返金保証付き 
※どの製品も大手の定評あるセキュリティ会社の製品です。30日程度、製品版と同等に無料試用ができます。不正なアプリやマルウェアがないかスキャンして調査、発見された場合は駆除してください。
※iPhoneやiPadなどiOSの機器は安全でセキュリティソフトは不要とされ、存在していません。
※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします。
また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう。
フィッシングメールを避けるにはどうしたら良いか?
メール本文のURLやボタンはクリックしない
JCBの詐欺フィッシングメールなど今のフィシングメールは精巧で見分けがつきません。
こうなると、「安全のため、原則としてメールの本文中のクリックはしない」しかありません。
内容に不審点があれば、JCBのサイトを検索して訪れ、手続きしましょう。
オンラインでURLやファイルをスキャンしてくれるサービスもあります
届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。
おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。
上のメールをVIRUSTOTALを使ってスキャンすると?
即座に「偽サイト」と判定してくれる
VIRUSTOTALの詳しい使い方は以下の当社ブログ記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
信頼できるセキュリティソフトを導入しておくことはとても重要
信頼できるセキュリティソフトは、感染を防ぐだけでなく、ユーザーが誤って危険なURLをクリックしたり、ファイルを開こうとすると警告して、被害を未然に防いでくれます。
スマホもPCもかならずセキュリティソフト/アプリを導入しましょう。
「今ではスマホもパソコンもセキュリティが強化されているのでセキュリティアプリやウイルス対策アプリは不要」との意見があります。スマホの安全性は高まっていますが、犯罪の手口も変化し高度化しており、被害をあわないためには「セキュリティアプリは必要[…]
ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?
定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。
無料で簡単・確実にチェックしてくれます。
詳しくは当社の下記ブログ記事をご覧ください。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
有名ブランドををよそおうフィッシングメールや、不正なショートメールが激増中!
2021年5月のフィッシング対策協議会の発表によると、2021年4月のフィッシング報告件数は、前月より884件増え(+102%)44,307 件と高止まりしています。
対策が功を奏して2月に減少しましたが、また増加に転じてしまいました。
フィッシングメールのブランド別の件数では、「Amazon、楽天、三菱 UFJ ニコス、三井住友カード、JCB」の順で全体の81.2%を占め、うち半数がAmazonからです。
多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシングメールの大部分は「迷惑メール」として除去されているはずです。
しかしフィッシングメールの偽装が巧妙化すると、防御をすり抜けてお手元に届く危険性も高まり、十分な注意が必要です。
■引用:フィッシング対策協議会「2021/05フィッシング報告状況」より
フィッシングの詐欺メールや詐欺SMS(ショートメッセージ)の中で、佐川急便、ヤマト運輸、郵便局(日本郵便)をかたる宅配便の不在通知~「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました。」「ヤマト運輸よりお荷物のお届けに上[…]
フィッシングメール/フィッシングサイトの目的とは?
フィッシングメールの目的はユーザーをだまして、自ら不正操作をさせること!
フィッシングメールの目的は、
ユーザーを信じ込ませて、メール本文中の偽造されたフィッシングサイトのURLをクリックさせる
ことにあります。
フィッシングメールは、様々な「緊急性のある偽の警告」あるいは「幸運」などの心をゆさぶる名目のメールで、ユーザーの注意を引き、本文のURLをクリックさせ、フィッシングサイトに誘導し、以下の目的を達成しようとします。
- ユーザー自らに個人情報を入力させて情報を盗取する。
- ユーザーに不正なプログラムやアプリをダウンロードさせ、インストールさせる。
なぜ、犯人はこんな回りくどい手段を取るのでしょうか?
映画やドラマのように、キーボードをただいて、ユーザーのデジタル機器に侵入したりしないのでしょうか?
セキュリティが厳しくなったため「ユーザーをだます」ことが必要となった。
以前は、はスマホやパソコンのセキュリティが甘く、「ユーザーが見ただけ」「クリックしただけ」で、不正なプログラムを侵入させることができました。
しかし次第にデジタル機器のセキュリティが厳しくなり、
- 比較的新しいスマホやパソコンの機種を使っている
- 新しいOS(Android,iOS,Windows10など)を使って、OSやアプリのアップデートをきちんと行っている
など、正しくスマホやパソコンを使用しているユーザーに対して、不正攻撃をしかけることは、ほとんど不可能になってきました。
そこで犯人は、ユーザーをだまして、自ら誤った行動を取らせることで、犯罪目的を達成しようとしているのです。
今では、ハッキング技術やプログラムのテクニックではなく、人の心理につけ込んでだます、ソーシャルエンジニアリングという手法の方が、大きな被害を生み出しています。
その最大の犯罪手段が、フィッシングメールやフィッシングサイトであり、ますます増えている原因です。
URLの「httpのsの有無」には確かにセキュリティ上大きな違いがあります。しかし「sがついているから安全、鍵マークがあるから安心」は大昔の発想で、今では古くて危険な非常識です。どうして「httpsは安心の証ではないのか?」、URLのh[…]
まとめ:
これからもフィッシングメールには十分に注意しよう
JCBに限らず、フィッシングメールはこれからも増え続けるはずです。
しかしフィシングメールは、どのブランドをかたるものも手口のパターンは同じなので、正しい知識と対処方法を知っていれば、まずだまされる心配はありません。
当プログを参考に、これからも金融機関や販売サイトからのメールゆSMSには十分に注意を払い続けましょう。
あわせてご覧ください!「Amazonのフィッシングメール」は?
近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonになりすました不正なショートメール(SMS)も増えています。しかもフィッシングの[…]
「楽天のフィッシングメール」は?
激増中の有名ブランドをかたる詐欺・フィッシングメールの中で、楽天をかたるフィッシングメールはAmazon、LINEについで第3位の多さとなっています。楽天の詐欺ショートメッセージも増えてきました。実際に届いた楽天や楽天カードからのフィッ[…]
性的な行為をネタに脅してくる詐欺「セクストーション」とは?
「人の弱みにつけ込む」詐欺が、オンラインでも多発しています。特に「こんにちは」からはじまって「貴方のデバイスにハッカーがアクセスしています」あなたのオペレーティングシステムにアクセスしました」「恥ずかしい写真をばらまくぞ」などハ[…]
シニアの方にも共有しましょう
家にこもってスマホやパソコンを使う時間が増えましたが、その「隙を狙おうとするネット詐欺」も激増しています。特にネットに不慣れなシニア、高齢者の皆さんは大きなリスクにさらされます。シニア・高齢者の皆様が直面しがちな、いろいろな[…]
Digital Keeperお薦めのセキュリティソフト
やはりセキュリティ対策ソフトは必要です
現在のデジタル機器はセキュリティが強化され、昔のようにウイルスは簡単に感染しません。
そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムをインストールさせたり、偽サイトに誘導し個人情報を盗み取る手法に移行しています。
Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。
セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族の危険を確実に減らしてくれます。
- フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
- フィッシングメールにだまされてURLをクリックしても「警告」して止める。
- 感染しても重要な個人情報の流出や不正送金を食い止める。
- ネット上にあなたの個人情報が流出していないか調査する。
- お子様のネットの利用時間や不健全なサイト利用を制限する。
- 紛失したスマホを探したり、データを削除する。
- 外出時に使う公衆wifiをVPNを使って安全に使用する。
※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。
セキュリティソフトの選び方、買い方
セキュリティソフトの選択は、価格や広告で選んではいけません!無料なアプリはかえって危険につながることもあります。
- 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
- 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
- 動作が軽く、機器使用の障害にならない
- ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる
製品ををおすすめします。
また、タブレットやスマホまで、トータルでカバーできて「子供が無くしたスマホを探す」など家中の機器すべてをまとめてセキュリティ管理でき、費用も大幅に安くできます。
購入は、店頭販売より、ダウンロード販売の方が安く、使用環境に併せて、数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。
お奨めのセキュリティソフトは?
Digital Keeperがおすすめしているのは「ノートン(Norton)」の製品です。
ノートンは1990年から販売されている世界でも指折りのセキュリティ対策ツールです。防御力は世界各地の第三者機関のテストで常に「最上」の評価で、しかも軽量です。
またノートン セキュア VPNという、wifiを安全に使えるVPN機能が標準で含まれているのも高評価です。
