主に鍵盤(シンセ)とVAPEとキャンプ・旅のブログです。

音と煙と自然の中で…

ヘッダー広告

スポンサーリンク

雑記

【注意喚起】フィッシング詐欺には気をつけよう!!

投稿日:2020年1月9日 更新日:

本日、仕事をしていたらSMS(ショートメッセージ)で宅配便の不在通知が届きました。「あれ?何か頼んでたかな?」と思ってスマホで確認すると何やら怪しい…。どうもメッセージに書いてあるURLがおかしいんですよね。どう見ても宅配業者の公式のURLではないんですよ。

とまぁ今、流行っているフィッシング詐欺の手口であるとは仕事柄、メッセージが来た時点でわかっていたんですけどね…。しかしなんの知識もないと簡単に釣られてしまうかと思います。そこで今回は今、流行っているフィッシングの詐欺手口、その対策についてまとめてみました。

フィッシング詐欺とは…

ショピングサイトや銀行、今回で言えば宅配業者を語ってメールやSMSでメッセージを送り、何かしらのトラブルがあった等の理由をつけて偽サイトに誘導し、偽サイトでアカウントやクレジット情報を入力する事によりその個人情報を奪う手口の詐欺です。

その偽サイトは公式のモノをコピーしており一目では偽サイトと判断がつきません。また公式のURLを入力してもサーバ側で細工し偽サイトへ転送するフィッシング詐欺もあり段々と手口が巧妙になっています。

フィッシング詐欺で送られてくるメッセージの種類としていくつか上げておきます。これ系のメッセージがメールやSMSで送られてきたらフィッシング詐欺を疑って対処しましょう。

1.アカウント・パスワード変更

「サイトの個人情報が外部に漏れてしまったので下記のURLよりアカウント・パスワードを変更して下さい」などのメッセージ。変更する為に旧アカウント・パスワードを入力させたりします。

よくよく考えれば変更するんだから旧アカウント・パスワードはいらないはずです。しかし「24時間以内に変更しないとロックします」などのメッセージがついている事もあり、焦って入力してしまうなど文章としても巧妙に出来ているので注意が必要です。

2.ネットショピング

「○○お買い上げありがとうございます」など本物のサイトでネットショピングした時に届くメッセージが届き、「キャンセルはこちら」などのリンクがフィッシングサイトになっているパターン。当然、購入してないものだからキャンセルしようとする心理をついた手口です。

3.偽サイト誘導

「お荷物をお届けにあがりましたが不在だった為、持ち帰りました。下記より確認して下さい」という様なメッセージが届き、偽サイトへ誘導するタイプ。これが今回の件で今、流行っているフィッシング詐欺の手口です。詳細は下記参照。

○フィッシング詐欺とは…まとめ

  • 大手企業などを装ってメールやSMSでURL付きのメッセージを送り、偽サイトへ飛ばし個人情報を入力させ奪う詐欺
  • 偽サイトは本物と一見、区別がつかない
  • 公式のURLを入力しても、偽サイトへ転送するフィッシング詐欺もある
  • メッセージの種類も様々で人間の心理をついたものが多い


検出率No.1・PC軽快さNo.1のウイルス対策ソフト

今回の件

このタイプのフィッシング詐欺のメッセージが流行り出したのがおととしの2018年から…。フィッシング詐欺と言えば、パソコンでの詐欺と思われがちなのですがこのタイプはスマホのSMSに届きます。「パソコンではなくスマホなら開いても大丈夫だろう」と思うのは大間違い。むしろパソコンで開くより被害が大きくなってしまいます。

↑今回、送られて来たSMS

上記の画像のURLを踏むと佐川急便のサイトとほぼほぼ同じの偽サイトへ飛ばされます。iPhoneであれば飛ばされるだけなのでURLを踏んでもまだ大丈夫なのですが、AndroidスマホはURLを踏まないようにして下さい。偽サイト飛ぶとアプリをダウンロードしますかと出てきますが絶対にダウンロード、インストールはしない事。

また野良アプリ(ネットからダウンロードして来たアプリ)を入れた事のある方は設定で「ダウンロードしますか?」のメッセージが出ない様になっている場合があります。この場合、偽サイトに入った時点で自動的にダウンロードが始まります。ダウンロードが終わってもインストールは絶対にしないで下さい。インストールしたら最後、スマホを乗っ取られます。

※アプリをインストールしてしまったら…

  1. 遠隔操作できない様にする為、「機内モード」などにし通信が出来ない状態にする
  2. 「設定」→「アプリと通知」からインストールしたアプリをアンインストール
  3. 「Google play ストア」などで身に覚えの無い購入履歴がないかチェック。もしあれば問い合わせをし、事情を説明してキャンセルしてもらう

iPhoneは野良アプリのインストールは出来ない仕様となっているのでその点は大丈夫なのですが、偽サイトのURLを踏むとApple IDとパスワードを入力する画面になります。佐川急便のサイトなのに「Apple ID」を入力するって普通に考えればおかしいと思うんですけどね…。言わずもがなですが、絶対に入力はしないで下さい。入力した場合、情報が抜き取られます。

↑佐川急便・公式サイト
↑佐川急便・偽サイト(SMSのリンク)

ぼかしの部分は画像が切り替わる仕組みになっておりこれは公式も偽サイトも同じで、同じ画像が切り替わっていきます。なので一目では偽サイトとはわかりません。違いは赤い部分。公式は「お問い合わせサービス」と問い合わせ番号入力欄となっており、偽サイトは「貨物追跡サービス」と「インストール」となっています。また偽サイトはスマホでアクセスしてもほとんどがPC表示にしかならないのでそこで判断はつくかと思います。
(偽サイトによってはスマホ版のサイトもコピーしている可能性もあるので一概には言えません)

Androidスマホでアプリをインストールしまった、iPhoneで情報を入力してしまった時点で既に情報が抜き取られている可能性があります。被害状況によってはメールアドレスや電話番号、IDやパスワードを変更せざる負えない可能性があります。もし被害にあってしまったら二次災害防ぐ為にも各キャリア会社に相談してみて下さい。

  • 各キャリアの問い合わせ
    (各キャリア会社の問い合わせページへ飛びます)

○今回の件まとめ

  • 佐川急便を装って不在通知をSMSで送り、偽サイトへ誘導してくる
  • スマホをターゲットにしたフィッシング詐欺
  • URLを踏まない様にする(特にAndroidは…)
  • 偽サイトへ飛ぶとAndroidスマホは勝手に遠隔操作アプリをインストールされる可能性がある
  • アプリインストール・個人情報を入力してしまい被害を被ったら契約している各キャリアへ問い合わせしてみる(二次災害を防ぐことに努める)

フィッシング詐欺対策

まず第一に不審なメールに書いてあるURLは踏まない事です。おかしいなと思ったらネットで情報を集めて下さい。今回の件もおととしから出てきたモノなので今、「佐川急便 sms」などで調べれば情報はかなりヒットします。また佐川急便の公式サイトでもフィッシング詐欺について注意喚起しております。今回の件で言えば佐川急便は荷物の集配についての案内はSMSではしていませんとはっきり書かれております。

↓佐川急便のフィッシング詐欺・注意喚起ページ

パッと見では偽サイトだと判別するのは難しいですがよく見ればわかる部分があります。URLの最初が「http://」ではなく「https://」である事。これは「s」がついてる方は暗号化して通信をしています。なので個人情報を入れるページは必ずどのサイトも「https://」となっています。また「https://」のサイトは表示されているURLの前に鍵マークがつきます。(ブラウザがChromeの場合・他のブラウザでも鍵マークはアドレスバーに表示されます)

↑自分のサイトも「https://」て作っているので
URLの前に鍵マークがついています。

ただしフィッシングサイトもご丁寧に「https://」でサイトを作っている事もあるので100%偽サイトではないとは言いきれません。あくまでも判断の材料の1つとして下さい。

また今回、自分に送られてきたURLは「http://xcvdr.xyz」と明らかに偽サイトとわかるものでした。大手企業は大抵、URLに自社名をローマ字にし入れています。佐川急便なら「sagaywa」とURLに入っているはずです。しかしこれも企業名をいれた偽サイトのURLが確認されています。

これも100%ではありませんが8~9割の確率で偽サイトだと判定できる部分があります。それは「ドメイン」。ドメインとはURLの最後の部分、「.jp」や「.com」などをさします。日本の大手企業のサイトは「co.jp」をドメインとして使っています。

「.jp」は日本のドメインです。なので日本の大手企業であれば公式サイトのドメインに「.jp」をつけたサイトにします。明らかに日本の企業なのに「.com」などのドメインがついていたら、それは偽サイトということになります。
(但し価格ドットコムなどわざと「.com」にしてるモノもあります。逆に言えば価格ドットコムなのに「.jp」がドメインだったらそれは偽サイト)

じゃー、100%わかる方法がないのか?結論を先に言ってしまうとあります。それは上記で書いた「https://」のサイトであればアドレスバーに鍵マークがつきます。その鍵マークをクリックし出てきた画面から「証明書」をクリック。発行先が対象の企業名であればそれは公式サイトという事になります。

↓スマホ版Chromeブラウザの証明書の見方
(楽天市場でやってみました)

↑URLの前の鍵マークをクリックすると
この画面がでるので「詳細」をクリック
↑次にこの画面が出てくるので
「証明書情報」をクリック
↑「発行先」の組織が「Rakuten,Inc」と
なっているのでこのサイトは公式です

とまぁ、色々と書きましたが最初にも書きましたが不審に思ったらURLはクリックしない事です。今回の件でいえばSMSでの不在通知な訳ですから、自宅のポストに紙の不在通知があるはずです。それを少なくとも確認するまではURLをクリックするのは止めましょう。

○フィッシング詐欺対策まとめ

  • 身に覚えのないまたは不審に思ったらURLはクリックしない
  • 佐川急便はSMSでの不在通知はしていない
  • 偽サイトの簡単な判別方法としてURLが…
    1. 「https://」である事
    2. 企業名が入ってる事
    3. 日本企業ならドメインが「co.jp」である事
  • 確実に偽サイトを判別する方法としてブラウザで「証明書」を表示し発行先が対象の企業である事を確認する

まとめ

フィッシング詐欺も人の心理をついた手口になってきており、騙されやすくなってきています。上記の対処法の他にフィッシング詐欺に対応したセキュリティソフト・アプリを入れるのも1つの手かと思います。

しかし個人的にはセキュリティソフト系はあまりオススメはしないです。何故ならば入れているだけで容量やメモリはくうし、スマホで言えば電池持ちや動作が遅くなったりしますからね…。それに無料版はフィッシング詐欺に対応してなかったりするしね…。そもそも身に覚えの無いメールやSMSはすぐ削除すればいい話だと個人的には思っています。

とはいえセキュリティソフト系はフィッシング詐欺対策には有効かと思います。騙されやすい方や自信のない方はセキュリティソフト導入してみてはいかがでしょうか?

フィッシング詐欺の被害がこれ以上、広がらない様に願うばかりです。



イーセットスマートセキュリティ(ESET Smart Security)

-雑記
-,

Copyright© 音と煙と自然の中で… , 2021 All Rights Reserved Powered by STINGER.