フィッシング詐欺とは? その仕組みと対策方法

まめ知識

安易にクリックしない!

インターネットの普及により、私たちは日常的にオンライン取引や情報交換を行っていますが、その便利さの一方で、「フィッシング詐欺」という大きなリスクが潜んでいます。

フィッシングという言葉は、魚釣りが由来となっています。

インターネット上に餌を撒き、餌に食いついた人が、詐欺のターゲットとなります。

フィッシング詐欺は、偽のウェブサイトやメールを通じて個人情報を盗み取る手口の一つで、被害を防ぐためには、“どういうものか” を知っておくことが、大切だと思います。

そこで、フィッシング詐欺の基本的な仕組みと、見極めるための一つの方法として、ドメインの信頼性について解説しようと思います。

フィッシング詐欺の概要

フィッシング詐欺とは?

フィッシング詐欺とは、詐欺師が偽のウェブサイトやメールを使って個人情報や金銭情報を盗み取ろうとする行為のことを指します。

通常、フィッシング詐欺は信頼できる企業や団体を装い、ユーザーに対して偽のログインページや支払いページを訪問させることで、パスワード、クレジットカード情報、銀行口座情報などの機密情報を入力させます。

フィッシングの手口

フィッシング詐欺は多くの手口で行われますが、一般的な手法には以下のようなものがあります。

  1. 偽のメール:
    詐欺師は、銀行やオンラインサービス会社、政府機関などを装ったメールを送信し、ユーザーに
    「アカウントが危険にさらされています」
    「個人情報の確認が必要です」
    などの理由で偽のウェブサイトに誘導します。
  2. 偽のウェブサイト:
    メール内のリンクをクリックすると、見た目は本物とほぼ同じ、偽のウェブサイトに飛ばされます。
    ユーザーがそこで情報を入力すると、その情報が詐欺師の手に渡ってしまいます。
  3. SMSフィッシング(スミッシング):
    フィッシングの手口がメールだけでなく、SMS(ショートメッセージ)にも広がっており、リンクをクリックすることで個人情報を盗まれることがあります。

フィッシング詐欺の対策方法

フィッシング詐欺から身を守るためには、以下の対策を講じることが重要です。

メールのリンクを安易にクリックしない!

フィッシング詐欺は主にメールを通じて行われるため、メール内のリンクをクリックする前に、送信者のアドレスやメールの内容を確認しましょう。

怪しいと感じたら、リンクをクリックせず、直接公式サイトにアクセスして確認するのが安全です。

二要素認証を利用する!

二要素認証(2FA)を有効にすることで、パスワードだけでなく、もう一つの認証要素が必要になります。

パスワードとメールによる確認とか、顔認証とかです。
二重の認証は面倒ですが、詐欺の対策には非常に有効です。

これにより、仮にパスワードが漏れても不正アクセスを防ぐことができます。

ウェブサイトのURLを確認する!

公式のウェブサイトは、https(「s」はセキュリティを意味します)で始まるURLを持っています。
詐欺サイトでもセキュリティをかけているものはたくさんありますので、これだけで判断はできませんが、かかっていないものは、まず詐欺です。

訪問するウェブサイトのURLが不自然であったり、httpで始まっていたりする場合は注意が必要です。

URLから見抜く!

これは、私のショートメッセージに届いたものです。

そもそも三菱UFJの口座は持っていないので、クリックはしません。

本物と思わせるためか、セキュリティ“S”をかけたサイトになっています。

最初にhttps:となっていて、次に来るのが会社の住所みたいなものです。

インターネットで本物の「三菱UFJ」を調べると「bk.mufg.jp」となっていました。
「t.co」ではありませんでした。
( 大体、“t” だけって…雑でしょう! )

最後に来るのは、そのページの住所みたいなものです。
アパートで言えば「何号室」の部分です。

“jp”や“co.jp”などの違いも、知っておこう! 詐欺を見抜くポイント!

「.jp」は日本の国別コードトップレベルドメイン(ccTLD)で、日本国内に登記されている企業や組織に限定されて登録されています。
そのため、日本の企業や組織の公式サイトには「.jp」がよく見られます。

また、大手企業の中には「co.jp」というドメインも使用しているところがあります。
「co.jp」は商業企業専用のドメインで、1つの法人につき1つしか登録できないため、信頼性の高いドメインとされています。

「co」はグローバルで広く利用されており、企業に限らず誰でも登録できるものです。
主にブランド構築や覚えやすさのために利用されています。

簡単にいうとつまり…
先ほどの私に来たメールのように、「t.co」というドメイン(住所)を、大手の三菱UFJが使うはずがなく、
国内の公共機関や大手の企業のドメインは、ほとんどが 「jp」もしくは「 co.jp」を使っているということです。

定期的なパスワードの変更と強力なパスワードの使用

簡単なパスワードはハッキングされやすいため、定期的に変更し、文字数が長く、アルファベットの大文字・小文字、数字、記号を組み合わせた強力なパスワードを使用することが推奨されます。

結論

フィッシング詐欺は、スマホなどでインターネットを利用する私たちにとって避けて通れないリスクです。

しかし、少しづつ知識をつけ、基本的な対策も覚え、日常的に注意を払うことで、フィッシング詐欺の被害を未然に防ぐことができると思ってます。