フィシングメールは、新型コロナ対策からアメリカ大統領選挙、給付金まで、その時々に人々が関心を寄せる言葉やイベントを狙い、形を変えてあなたの手許にも届きます。
改めてフィシング詐欺メールの手口の現状と、被害にあわないための3つの対策をやさしくご説明します。
第2回特別定額給付金の詐欺メールが出現
政府の新型コロナ対策の議論を先取りしてしまうフィッシングメール
2020年秋より、まだ休されるかを含めて詳細未定の「第二回目特別定額給付金」をかたるフィッシングメールが飛び交っています。
また財務省をかたって「特例通知決定事項」などの新規政策をでっちあげ「13名限定で5億円支払う」などの新たなタイプの詐欺メールも発見されています。
2021年になっても繰り返し発見され、JC3(一般財団法人・日本サイバー犯罪対策センター)、総務省ほか各所から注意が行われています。
■総務省(令和2年10月15日)「特別定額給付金の給付を騙ったメールに対する注意喚起」
■フィッシング対策協議会(2020年10月15日) 「特別定額給付金に関する通知を装うフィッシング 」
■日本サイバー犯罪対策センター 「総務省を騙った特別定額給付金に関するフィッシング」 等、多数
このようなメールはすべて詐欺ですので、届いたらすぐに削除してください。
フィッシングメールは相変わらず危険な水準にある
2021年6月のフィッシング対策協議会の発表によると、2021年5月のフィッシング報告件数は、前月より9,291件と大きく減少し(▲79%)、トータル35,016 件となりました。
ずっと増加傾向が続いていたなかで、非常に喜ばしいことですが、Appleの新iOSへの移行にともなうプライバシー強化の影響など一時的な減少の可能性もあり、予断を許しません。
フィッシングメールのブランド別の件数では、「Amazon、楽天、三井住友カード、イオンカード、JCB」の順で全体の76.6%を占めています。
Amazonからのフィッシングメールは全体の46.6%と前月より27.3%減少しました。
多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシングメールの大部分は「迷惑メール」として除去されているはずです。
しかし大量のフィッシングメールが送られているため、対策が間に合わず、一見しただけでは見分けの使いない精巧なフィッシングメールがお手元に届く危険性も高まるため、十分な注意が必要です。
■引用:フィッシング対策協議会「2021/05フィッシング報告状況」より
フィッシングの詐欺メールや詐欺SMS(ショートメッセージ)の中で、佐川急便、ヤマト運輸、郵便局(日本郵便)をかたる宅配便の不在通知~「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました」などの詐欺SMSはうっかりクリックし[…]
第2回特別定額給付金の詐欺メールと詐欺サイトの内容
第2回特別定額給付金詐欺メールの文面
実際に送られてきたフィッシングメールは以下のような文面です。
それらしく精巧に作られています。
件名:二回目特別定額給付金の特設サイトを開設し
二回目特別定額給付金(新型コロナウイルス感染症緊急経済対策関連)
二回目特別定額給付金の特設サイトを開設しました。(令和2年10月14日)
特別定額給付金ポータルサイト(サイトへリンク)
最新の情報についてはこちらをご覧ください。
特別定額給付金の概要
令和2年10月14日、「新型コロナウイルス感染症緊急経済対策」が閣議決定され、感染拡大防止に留意しつつ、簡素な仕組みで迅速かつ的確に家計への支援を行うため、二回目特別定額給付金事業が実施されることになり、総務省に特別定額給付金実施本部を設置いたしました。
施策の目的
「新型コロナウイルス感染症緊急経済対策」(令和2年4月20日閣議決定)において、「新型インフルエンザ等対策特別措置法の緊急事態宣言の下、生活の維持に必要な場合を除き、外出を自粛し、人と人との接触を最大限削減する必要がある。医療現場をはじめとして全国各地のあらゆる現場で取り組んでおられる方々への敬意と感謝の気持ちを持ち、人々が連帯して一致団結し、見えざる敵との闘いという国難を克服しなければならない」と示され、このため、感染拡大防止に留意しつつ、簡素な仕組みで迅速かつ的確に家計への支援を行う。
事業費(令和2年度補正予算(第2号)計上額)
12兆8,802億93百万円
給付事業費 12兆7,344億14百万円
事務費 1,458億79百万円
事業の実施主体と経費負担
実施主体は市区町村
実施に要する経費(給付事業費及び事務費)については、国が補助(補助率10/10)
給付対象者及び受給権者
給付対象者は、基準日(令和2年9月27日)において、住民基本台帳に記録されている者
受給権者は、その者の属する世帯の世帯主
給付額
給付対象者1人につき10万円
またフィッシング対策協議会によると、上記とは異なり「オンライン申請の代行」をかたるメールも新たに出現しました。
ボタンを押して飛ぶ先は同じ偽サイトとなります。
出展:フィッシング対策協議会(2020年10月19日) 「[更新] 特別定額給付金に関する通知を装うフィッシング 」
クリックして偽の特別定額給付金ポータルサイトに飛ぶとどうなる?
文中のURLをクリックすると、下記のように精巧に作られたポータルサイトに飛ばされます。
ここで個人情報を入力してしまうと、「住所、電話番号から、マイナンバーカード、免許証の情報」まで盗まれて悪用されてしまいます。
前回の特別給付金申請の際は、
- 申請日時や方法について発表される。
- 郵送で給付金申請の登録用紙が送られてくる。
- ネット申請の場合も、最初に各市町村の行政サービス検索する「ぴったりサービス」のサイトで居住市町村を検索して、特別定額給付金の申請貴館を確認してから手続を行う。
など段階を追って手続きする仕組みでした。
詐欺サイトでは、「いきなりメールでポータルサイトに誘導され、個人情報入力に進む」「いきなりクレジットカード情報を求められる」など明らかに不審な内容です。
しかし偽サイトは前回のポータルサイトのデザインを盗用して、かなり精巧に作られていますので、だまされてしまう方もいるかもしれません。
特にオレオレ詐欺などと同様に、ネットに不慣れな年配者などが、総務省を名乗るメールに簡単にだまされて入力しまう危険性を感じます。
第2回特別定額給付金のフィッシングメールの目的は個人情報の不正取得狙い
目的は手続に偽装して個人情報を入手させてだまし取ること
フィッシングメールの目的や手口は
「重要」「危険」「緊急」あるいは
「当選」「幸運」「限定」などの「心を揺さぶる言葉」でユーザーをだまし、心に隙を与えて信じ込ませ、
- メール本文中のurlをクリックさせる、または
- 添付ファイルを開かせる
ことによって
- 詐欺サイトに誘導し、個人情報入力させて盗み取る。
- 不正なブログラムをインストールさせる
ことにあります。
今回は「給付金」をエサに、「前回は混乱して給付が遅くなったから、今回は少しでも早く申し込んでおこう」というユーザーの心理の隙を狙っています。
セキュリティ技術の進歩により「ユーザーをだます」ことが必要になった
偽メールや偽SMSを使ってユーザーをだますサイバー犯罪のことを、「人をだましてつり上げる」ことから釣り(Fishing)から派生した造語を使ってフィッシング(Phishing)と呼んでいます。
以前は「メールを見ただけで感染した」「サイトを見ただけで不正侵入された」というような事件が続発していました。
しかし今はコンピューターやスマホの機能やOS(=基本ソフト、Windows10やAndroidのこと)も進歩して、昔のように「見ただけで/クリックしただけで感染させる」という手口は困難になりました。
そこでサイバー犯罪者は、まずユーザーをだまして、「クリックさせたり」「アプリをいれさせたり」させるひと手間が必要になりました。
犯人達は、ユーザーのやりとりや世間の風潮を注意深く観察して、「どうやって信じさせるか?」を日夜研究し、見分けのつかない精巧なメールや偽サイト作りに精を出しています。
「給付金」も「大統領選挙」も「コロナ対策」「マスクがすぐに手に入ります」もすべて同様の手口です。
「犯罪は常に時代の先を行く」のです。
第2回特別定額給付金のフィッシング詐欺の手口は?
詐欺犯は人の心理を巧みにあやつる
人は誰でも、選択を迫られた際に、
- 「自分にだけは悪いことは起きないだろう」と楽観(=楽観バイアス)し、不安や警告を無視する。
- さらに、すぐに得られる利益や成果を優先して選択してしまう
と、「安易な選択をしてしまう」心理上の弱点を持っています。
この心理を双曲割引(そうきょくわりびき)といいます。
詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。
定額給付金を狙うフィッシングも同様で「すぐに申請して他の人より早く給付金をもらおう!」との気持ちを優先するあまり、「怪しいメールではないのか?」という正常な判断を見過ごすことから被害にあってしまいます。
フィッシングメールは世の中の流行や注目ワードを狙う
皆さんのお手元にもAmazonや楽天、金融機関を装った
「重要」「パスワード変更のお願い」「カスタマーセンタ-からのご案内」「口座凍結解除のお願い」「口座情報確認のお願い」
などのもっともらしい名目で、多数の迷惑メールが届いていることと思います。
宅配便の不在を狙う詐欺SMS(スミッシング)も目立ちます。
これらはすべて同様のフィッシングメールで目的は、
- URLやボタンをクリックさせて、ログインパスワードを盗み取る。
- 銀行のサイトに似せた偽サイトに誘導し、「氏名、住所、口座番号、暗証番号などの個人情報」「ワンタイムパスワード」などを入力させて盗取する
- 不正なソフトやアプリをインストールさせて、情報を盗み出したり、フィッシングメールを発信させる。
といった手口が多いです。
第2回特別定額給付金のフィッシング詐欺も同様に、人々の注目を集めるイベントを狙っています。
近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonになりすました不正なショートメール(SMS)も増えています。しかもフィッシングの[…]
激増中の有名ブランドをかたる詐欺・フィッシングメールの中で、楽天をかたるフィッシングメールはAmazon、LINEについで第3位の多さとなっています。楽天の詐欺ショートメッセージも増えてきました。実際に届いた楽天や楽天カードからのフィッ[…]
激増中のフィッシングメールの中でも銀行をかたるものは深刻な被害につながります。近年では、大手都市銀行から地方銀行までが狙われ、先日の「ドコモの不正口座引き落とし」事件の原因とも言われています。実際に届いた三井住友銀行や三菱UFJ銀行他を[…]
今アメリカでは大統領選挙をねらったEMOTETが飛び交った!
フィッシング詐欺は、時々の大きなイベントや流行を追って広がります。
2020年の春から夏には「新型コロナ対策をかたるフィッシングメール」が目立ちました。
2020年秋にアメリカで流行しているのは、大統領選挙に関連した「支持要請」「選挙運動ボランティア募集」といったフィッシングメールでした。
下記のように一見しただけでは見分けがつかない、政党をよそおった精巧な偽造メールで、選挙に熱狂するユーザーに添付ファイルを開かせて、EMOTETと呼ばれるコンピューターを操られてしまう危険な不正ソフトをインストールさせようとしました。
出展:Proofpoint社
第2回特別定額給付金のフィッシング詐欺にだまされないための対策は?
「フィシング詐欺メールにだまされない」3つの原則
ご説明してきたように、フィシングメールは
- メールを見ただけではなんら危険がない。
- メールを信じて「情報を入力したり」「添付ファイルを開く」「ソフトやアプリをダウンロードしてインストールする」ような動作をしてはじめて被害が生まれる。
ことが特徴です。
したがって、給付金詐欺に限らず、フィシング詐欺メールの被害を避けるためには、以下の3つの原則をぜひお守りください。
[フィッシングメール対策1.]~まず冷静になる
「あっ大変だ!」「すぐに対応しなければ!」など、あなたにあわてた行動を取らせることこそが、フィッシング犯人の狙いで、フィシング詐欺メールの被害につながります。
まず深呼吸して、冷静に対応しましょう。
このひと呼吸で被害のほとんどは防げるはずです。
- 「重要」「危険」「緊急」あるいは「当選」「幸運」「限定」などの心を揺さぶる件名や内容のメールが届いたときはまず「??疑う」。
- 「発信者名」「発信元メールアドレス」「件名」「文面」は容易に偽造が可能なので信用しない!
- 少しでも不審な点があれば、直接真偽を確認する。
[フィッシングメール対策2.]~メールの件名・内容を検索して真偽を確かめる
「メールの件名、たとえば第2回特別定額給付金」をGoogleなどの検索エンジンで検索してみましょう。
あやしいメールはすぐにヒットし、真偽がわかります。
[フィッシングメール対策3.]~文中のリンクやボタンのURLを調べて見る
上記の2つの対策でも真偽がはっきりしないメールは、文中のURLが正しいものか検索できるサービスがあります。
おすすめはグーグルが運営している「VIRUSTOTAL」。およそ100種類ものセキュリティ調査サイトを横断検索して、URLが正しいものかを判定してくれます。
詳しくは当社のブログの記事をご覧ください。
個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]
念のためパソコンやスマホをセキュリティーソフトで検査しましょう
ご自身のメールアドレスやパスワード、電話番号が流出していないか調べるには?
定評ある「個人情報流出確認WEBサービス~Have I been Pwned(HIBP)」をおすすめします。
無料で簡単・確実にチェックしてくれます。
詳しくは当社の下記ブログ記事をご覧ください。
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
「私のスマホやパソコンがハッキング、感染しているかも、、」本当にハッキングされているか確実に調べる方法は?
ネット上のデマや悪質業者の広告を信じてはいけない!
当ブログでご説明しているとおり、スマホやパソコンに突然現れる「ハッキングやウイルスの警告」は広告目的の詐欺警告がほとんどです。
しかし、まれとは言え、時には「不正なアプリをインストールされた」「アカウントを乗っ取られた」などが原因で本当にハッキングされることもあります。
「本当にハッキングされているかも、、」とどうしても心配なときは、ハッキングやウイルス感染などの調査を行っている専門会社に調査を依頼しましょう。
しかし、ネットで調べると、ハッキング調査を探偵や興信所が行っているところが見つかりますが、パソコンやスマホのセキュリティが強化されている現在、ログ解析などのハッキング調査は高度な技術と実績を持つ専門家しかできません。
より正確な情報を安全に調べるには、ハッキング調査の専門業者に相談しましょう。
おすすめのハッキング調査会社:デジタルデータフォレンジック
デジタルキーパーも貴重な情報を提供いただいている「デジタルデータソリューション株式会社 の《デジタルデータフォレンジック》」は、官公庁、警察・捜査機関からの信頼も厚い、国内随一の高い技術と実績を持つサービスです。
累計の相談件数は1万4,000件以上。国内売上11年連続No.1のデータ復旧技術を利用して、デジタル遺品の調査・データ抽出を受け付けています。
相談~調査の見積もりまでは無料で対応してくれるので、まずは一度相談してみるとよいのではないでしょうか。
「※本サイトはアフィリエイト広告を利用しています。」
まとめ:
フィシング詐欺メールはますます増えることは間違いない
デジタル機器の進歩によって、昔のように簡単にウィルスソフトを侵入させて情報などを盗み取ることは難しくなりました。
そこでユーザーをだまして、不正行為を実行するフィシング行為がサイバー攻撃の主流になってきました。
いかに機器や対策が進歩しても人がだまされては防ぎようがないため、フィシングメールを完全に防ぐ対策はありません。これからも精巧で見分けがつかないフィシングメールが増大していくはずです。
しかし3つの原則を大切にして、安易にメールを信じなければ過度に恐れる必要はありません。
もちろん
- パソコンやスマホのアップデートを行い、常に最新版にして脆弱性を予防する。
- セキュリティ対策ソフトやアプリを導入する。
ことは、フィシングメールの被害を防ぐだけでなく、あらゆるセキュリティ対策の基本として有効です。
正しい知識と対策をきちんと整えて、安全なデジタルライフをお過ごしください!
家にこもってスマホやパソコンを使う時間が増えましたが、その「隙を狙おうとするネット詐欺」も激増しています。特にネットに不慣れなシニア、高齢者の皆さんは大きなリスクにさらされます。シニア・高齢者の皆様が直面しがちな、いろいろな[…]
