こんなメールに御用心!

フィッシング詐欺とは?

フィッシング詐欺とは、悪意のある第三者が、実在する銀行やクレジットカード会社などを装ったメール(フィッシングメール)を送信し、お客様を、本物そっくりに作られた偽のWEBサイトに誘導した上で、クレジットカード番号・有効期限などの個人情報を入力させて盗もうとする詐欺です。
ひとたびこの詐欺に遭うと、クレジットカード番号などを悪用され、身に覚えのない請求が来たりするので、被害に遭わないよう、注意しなければなりません。

身近で起きているフィッシング詐欺被害

フィッシング詐欺の被害は、2003年頃から米国などの英語圏を中心に報告されるようになってきました。
米国においてインターネットを利用する人のおよそ2人に1人は年間50件以上のフィッシングメールを受取り、50人に1人が金銭的被害を受けているとの調査結果もあります(※1)。現在ではこの傾向は世界的な広がりを見せています。
実際、日本でも、2004年11月に「VISA認証サービス」をかたった日本語によるフィッシングメールが初めて確認されたのを皮切りに、さまざまな企業や団体を装って日本人をターゲットにした、フィッシングメールやフィッシングサイトが多く確認されるようになっています。

  1. ※1米Gartner,Inc.による調査(2005年6月)

フィッシング詐欺の手口

1.悪意のある第三者が銀行やクレジットカード会社を装ったメールを送り、メールの文中にあるURLをクリックさせる。

メールには「個人情報を入力しないと、WEBサービスが使えなくなります」という脅しの文面や、「アンケートに答えたら○○円さしあげます」「○○円が当りました!」といった金銭提供の文面などが使われており、メールの文中にあるURLを言葉たくみにクリックさせようとしています。

2.誘導したWEBサイトで個人情報を入力させる。

フィッシングメールの文中にあるURLをクリックすると、フィッシングサイトがブラウザに表示されます。このWEBサイトは、実際の銀行やクレジットカード会社のWEBサイトと非常によく似せて作られており、注意深く見ないと、偽物だということに気づきません。
このフィッシングサイトで、クレジットカード番号や有効期限などの入力が求められ、入力してしまうと、その情報が悪意のある第三者の手に渡ってしまいます。

例)MUFGカード会員の方

クレジットカードは利用停止の手続きができますが、氏名やメールアドレスなどの個人情報はひとたび盗まれると元には戻りません。その意味でもフィッシング詐欺対策は重要です。

【コラム】フィッシングの語源は…

詐欺メールを使って、利用者を「釣りあげる(Fishing)」ので、これが語源になっていますが、英語では「Phishing」と記述されます。(「洗練された」という単語のsophisticatedのphを使っているという説があります)

フィッシングの進化形「ファーミング」の手口

フィッシング詐欺はフィッシングメールを使って利用者を「釣りあげる」のに対し、ファーミングは、たとえば、コンピューターウイルスなどを使ってお客様のパソコンに細工を施し(※2)、正しいWEBサイトにアクセスしているように思わせておきながら、実は偽のWEBサイトに誘導しているといった手口を使います。
この攻撃を仕掛けている悪意のある第三者から見れば、コンピューターウイルスという種さえまいておけば、WEBサイトの利用者がひとりでに偽のWEBサイトを訪れて情報を入力してくれるわけです。

  1. ※2WEBサイトにアクセスするときにURLから実際の接続先サーバーのIPアドレスを調べるために使用する設定ファイル(hostsファイル)を書き換えるコンピューターウイルスが使われます。

例)MUFGカード会員の方

このように、フィッシング詐欺の被害に遭わないためには、ただフィッシングメールに気をつけていればいいというわけではありません。インターネットを利用する際には、罠がたくさんあることを知っておきましょう。

【コラム】ファーミングの語源は…

コンピューターウイルスなどを使って、大量に個人情報を収穫するといったプロセスが「農業(Farming)」と似ているので、それが語源ですが、英語では「Pharming」と記述されます。(「洗練された」という単語のsophisticatedのphを使っているという説があります)

悪質巧妙化する手口

「私はフィッシング詐欺になんて絶対にひっかからない」、そう思っていませんか?
メールで個人情報の入力を求められることはありえません。そのことさえ気をつけていれば、フィッシング詐欺に遭う可能性は低いといえるでしょう。しかし、悪意のある第三者はたくみにその前提を崩そうと、フィッシングメールの文章やフィッシングサイトの制作に躍起になっており、実際の被害報告も後を絶ちません。
ある調査(※3)によれば、「90%の人は、フィッシングメールを見分けることができなかった」という結果が出たそうです。その原因は、フィッシング詐欺の正しい見分け方を知らないからです。

  1. ※3米ハーバード大学とカリフォルニア大学の調査(2006年3月)

弊社の取組み:フィッシングサイトを閉鎖するRSA FraudAction®

弊社では、RSAセキュリティ株式会社が提供するRSA FraudAction(アールエスエー・フロードアクション)を導入しています。

SECURED BY RSA®

RSA FraudActionは、フィッシングサイトを短時間で閉鎖するサービスです。RSA Anti-Fraud Command Center(AFCC:オンライン不正対策指令センター)が24時間365日体制でフィッシングサイトの閉鎖を実施しています。閉鎖に要する時間は、ほとんどのケースで5時間以内であり、最短時間は5分です。
AFCCのエンジニアは数十カ国の言語を駆使し、各国の法律・規制にも精通しており、世界中の国々で開設されるフィッシングサイトにおいて、適切な対応を実施できます。また長年にわたり構築されたAFCCと各種インターネット事業者との信頼関係が、迅速な閉鎖を可能にしています。

個人情報を要求するメールは無視しましょう

フィッシング予防対策

フィッシング詐欺による被害を予防するには、基本的な知識と日頃の心がけが大切です。

個人情報を要求するメールは無視しましょう

当社では、クレジットカード番号・有効期限・暗証番号などを含むお客様の重要な個人情報をメールでおうかがいすることは一切ありません。万一、このようなメールを受け取られた場合、それはフィッシングメールである可能性があります。決してこのようなメールへ返信したり、記載されているURLをクリックしてリンク先でログインなどなさらぬよう十分お気をつけください。

当社のWEBサイトを利用する場合、「SaAT Netizen」(無料ソフト)を利用しましょう

「SaAT Netizen」は、お客様が当社のWEBサイトをご利用になる際に、アクセス先が確かに当社のWEBサイトであり、悪意のある WEBサイトでないことをチェックします。万一、フィッシングサイトに誘導された場合に警告を発するので、フィッシング予防策として使えます。
当社WEBサイトをご利用になる場合は、「SaAT Netizen」を活用されることをおすすめします。

SaAT NetizenのWEBサイト新しいタブやウィンドウで開く

ウイルス対策ソフトを導入し、ウイルス定義ファイルをつねに最新にしておきましょう

ウイルス対策ソフトの中には、フィッシング詐欺メールかどうかを判定する機能が含まれているものもあるので、導入されることをおすすめします。ご利用される場合には、ウイルスの判定に使用される定義ファイルの自動アップデート設定をした上で、リアルタイムスキャンを有効にし、定時スキャンを実行しましょう。