サイバーセキュリティ 
組織内の重要なアカウントを不適切に共有してしまうと、
フィッシングサイトとは、正規のウェブサイトを装い、ユーザーから個人情報などを不正に取得するために作成された偽のウェブサイトです。
そんなフィッシングサイトによる被害は、どんどん増えており、手口も巧妙になっています。
そこで、このブログでは、フィッシングサイトとは、フィッシングサイトの被害に遭うとどうなるのか、フィッシングサイトの見分け方、フィッシングサイトから事前に保護する方法をご紹介します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
フィッシングサイトとは?
フィッシングサイトとは、正規のウェブサイトを装ってユーザーから個人情報や財務情報を詐取するために作成された偽のウェブサイトのことです。これらのサイトは、本物のウェブサイトと非常に似せて作られており、その外観やURLも巧妙に偽装されています。
これにより、ユーザーは本物のサイトにアクセスしていると錯覚してしまい、知らず知らずのうちに重要な情報を提供してしまうことがあります。
フィッシングサイトの主な目的は、ユーザーの個人情報(例えば、名前、住所、電話番号、クレジットカード情報、パスワードなど)を盗むことです。これらの情報は、詐欺行為や不正な取引に使用される可能性が高いです。フィッシングサイトは、一般的にメールやSNSを通じてリンクを送信し、そこからユーザーにクリックさせて本物そっくりのフィッシングサイトに誘導する手法が一般的です。
フィッシングサイトで被害に遭うとどうなる?
フィッシングサイトで被害に遭うと、ユーザーは重要な個人情報を盗まれたり、アカウントが乗っ取られたり、金銭的な損失を被ったりする可能性があります。
ここでは、フィッシングサイトの被害によって引き起こされる具体的な問題を説明します。
アカウントの乗っ取り
フィッシングサイトはユーザーのログイン情報を収集し、これを悪用してアカウントを乗っ取ります。例えば、EメールアカウントやSNSのアカウントが乗っ取られると、詐欺師はそれらのアカウントを使ってさらに多くのフィッシング攻撃を仕掛けたり、友人や家族に対してソーシャルエンジニアリング攻撃を仕掛けたりします。
また、オンライン銀行やショッピングサイトのアカウントが乗っ取られると、詐欺師は不正な取引を行い、被害者の金銭を盗むことが可能になります。
個人情報の窃盗と流出
フィッシングサイトは、ユーザーの個人情報を盗むことを目的としています。これには、氏名、住所、電話番号、クレジットカード情報、マイナンバーなどが含まれます。
盗まれた個人情報は、ダークウェブ上で売買されることがあり、さらなる詐欺や犯罪に利用される可能性があります。また、個人情報が流出すると、被害者は身元盗用や信用詐欺のリスクにさらされます。
金銭的損失
フィッシングサイトによって引き起こされる最も直接的な被害は金銭的な損失です。
詐欺師は、盗んだアカウントに紐づいているクレジットカード情報を使って不正な購入を行ったり、被害者の銀行口座から資金を引き出したりします。
また、被害者が身元盗用の被害に遭うと、不正に借金を背負わされたり、高額な費用をかけて身元を回復しなければならないことがあります。
フィッシングサイトの被害事例
フィッシングサイトの被害事例は多岐にわたり、ユーザーが日常的に利用するサービスや企業を装ったものが多く見受けられます。以下に、代表的なフィッシングサイト事例をご紹介します。
クレジットカード会社を偽るフィッシングサイト
クレジットカード会社を偽るフィッシングサイトでは、ユーザーにクレジットカード情報を入力させることを目的としています。例えば、「あなたのアカウントが不正利用されています」や「カードの有効期限が切れました」などの緊急性を煽るメッセージを送り、リンクをクリックさせて偽のログインページに誘導します。そこでユーザーがカード番号やCVVコードを入力すると、詐欺師はこれらの情報を収集し、不正な取引に利用します。被害者は身に覚えのない高額な請求を受け取ることになり、カード会社に連絡して被害を報告する手間と時間が必要になります。
銀行会社を偽るフィッシングサイト
銀行会社を偽るフィッシングサイトでは、ユーザーのインターネットバンキングのログイン情報を狙います。これらのフィッシングメールは、「あなたの口座に不審な活動がありました」や「セキュリティのために情報を更新してください」といった内容が多く、ユーザーを偽のバンキングサイトに誘導します。ユーザーがログイン情報を入力すると、詐欺師はこれを使って実際の銀行アカウントにアクセスし、資金を不正に引き出します。さらに、銀行口座の情報が盗まれると、追加の詐欺行為や不正な取引が行われるリスクも高まります。
ショッピングサイトを偽るフィッシングサイト
ショッピングサイトを偽るフィッシングサイトは、特にセール期間や人気商品の販売時期に増加します。詐欺師は有名なショッピングサイトを模倣し、ユーザーに特別な割引や限定商品の購入を促すメールを送信します。例えば、Amazonを装ったフィッシングメールでは、「ブラックフライデー限定セール」や「本日限定の特別割引」などといった魅力的なオファーが提示され、ユーザーに偽のAmazonサイトへのリンクをクリックさせようとします。
フィッシングサイトを見分けるための7つの特徴
フィッシングサイトは巧妙に作られており、一見して正規のサイトと見分けがつかないことが多いです。しかし、いくつかのポイントに注意することで、フィッシングサイトを見分けることが可能です。以下に、フィッシングサイトを見分けるための具体的な方法を説明します。
1. URLの確認
フィッシングサイトを見分けるための第一歩は、URLの確認です。正規のサイトと似たURLを使用していることが多いため、細かい違いを見逃さないようにしましょう。
例えば、「https://www.example.com」ではなく、「https://www.examp1e.com」や「https://www.example-a.com」といった微妙な違いを持つURLが使われることがあります。また、URLが「http://」ではなく「https://」で始まっているかも確認します。「s」はセキュアを意味し、正規のサイトである可能性が高まります。
しかし、ホモグラフ攻撃やアドレスバースプーフィングなどを進 化させたフィッシング攻撃では、ブラウザに内在する脆弱性を突いて、ブラウザ上のURLを本物に偽装できることがあるので、URLだけで判断するのは危険ですが、一つの判断材料として有効です。
2. サイトのスペルミスや表現を確認する
ィッシングサイトでは、正規のサイトと比べてスペルミスや不自然な表現が見られることが多いです。信頼性の高い企業のサイトは通常、誤字脱字が少なく、プロフェッショナルな表現が使われています。一方、フィッシングサイトは急いで作成されることが多く、スペルミスや文法の間違いが散見されます。
3. 怪しいポップアップの表示
フィッシングサイトには、不必要なポップアップや悪質な広告が多く表示されることがあります。これらのポップアップは、ウイルスの感染や個人情報の漏洩を引き起こす可能性があるため、注意が必要です。信頼できるサイトでは、このような怪しいポップアップは表示されません。
4. 問い合わせフォームやフリーメールでしか連絡がとれない
正規のサイトは、通常、公式の問い合わせフォームや企業のメールアドレスを提供しています。一方、フィッシングサイトは、フリーメールアドレス(例: GmailやYahooメール)や簡単な問い合わせフォームしか提供しないことが多いです。信頼性の高い企業は、フリーメールアドレスを使うことはほとんどありません。
5. デザインをチェックする
フィッシングサイトは、正規のサイトのデザインを模倣しますが、細部に違和感があることが多いです。フォントやロゴの品質が低い、レイアウトが崩れている、画像がぼやけているなどの点に注意します。正規のサイトは、通常、高品質なデザインとユーザーフレンドリーなレイアウトを提供しています。
6. ブラウザの警告を確認する
多くのブラウザには、フィッシングサイトを警告する機能が搭載されています。ブラウザが警告を表示した場合、そのサイトへのアクセスを中止し、安全な方法で公式サイトにアクセスするようにしましょう。また、ブラウザのアドレスバーに表示される鍵マークも確認し、セキュリティ証明書が有効であることを確認します。
7. フィッシングを見分ける自動入力機能が動作しない
正規のサイトでは、Keeperのようなパスワードマネージャーに搭載されている自動入力機能が正常に動作します。しかし、フィッシングサイトでは、登録されている情報とサイトの統合性を検知するため、この機能が動作しません。自動入力が機能しない場合は、そのサイトがフィッシングサイトである可能性を疑いましょう。
フィッシングサイトの詐欺から身を守る方法
フィッシングサイトから身を守るためには、いくつかの有効な対策を講じることが重要です。ここでは、フィッシングサイトの詐欺から自身を守るための具体的な方法について説明します。
フィッシングを見分ける自動入力機能を利用する
フィッシングサイトの詐欺から身を守るための一つの方法として、KeeperFillのようなパスワードマネージャーの自動入力機能を利用することです。
KeeperFillは、人工知能(AI)を活用してユーザーがアクセスしているウェブページやアプリ画面の種類と構造を認識し、ボルトの記録に全く同じURLが保存されている場合にのみ認証情報を入力します。
自動入力が正常に機能しない場合、そのサイトがフィッシングサイトである可能性が高いです。
これにより、ユーザーは正規のサイトにアクセスしていることを確認し、不正なフィッシングサイトに個人情報を入力するリスクを大幅に減らすことができます。
正しい公式のURLか確認する
フィッシング詐欺を回避するためには、アクセスするサイトのURLが正しい公式のものかどうかを確認することが非常に重要です。
正規のサイトURLと微妙に異なるURLを使用してユーザーを騙すフィッシングサイトが多く存在します。
例えば、銀行やショッピングサイトにアクセスする際は、ブックマークや公式のアプリを利用し、手入力する場合もURLが正確であることを確認することが大切です。またGoogleの透明性レポートを利用して確認するのも1つの手です。
中には、ブラウザの脆弱性を利用したアドレスバースプーフィングなどの巧妙な攻撃もあるため、正しいURLに見えても、他のフィッシングサイトを見分ける方法を合わせて確認することが大切です。
各アカウントに多要素認証を設定する
多要素認証(MFA)を利用することは、フィッシングサイトから身を守る有効な手段です。多要素認証は、パスワードだけでなく、追加の認証要素(例: SMSコード、認証アプリ、指紋認証など)を必要とします。これにより、仮にパスワードがフィッシングサイトに盗まれたとしても、追加の認証要素がなければ不正アクセスを防ぐことができます。
各アカウントに対して多要素認証を設定することで、セキュリティレベルを大幅に向上させることができます。
フィッシングメールに注意する
フィッシング詐欺の多くは、メールを通じて行われます。したがって、フィッシングメールに注意することが重要です。不審なメールや差出人のアドレスが公式のものと異なる場合、そのメールに記載されたリンクや添付ファイルを開かないようにしましょう。また、緊急性を煽る内容(例: 「アカウントが凍結されます」「すぐに対応が必要です」など)のメールには特に注意が必要です。正規の企業は、通常、このような形で個人情報を要求することはありません。不審なメールを受け取った場合は、公式サイトに直接アクセスして確認するか、カスタマーサポートに報告するようにしましょう。
まとめ:KeeperFill®︎でフィッシングサイトから身を守ろう!
フィッシングサイトはますます巧妙化し、私たちの日常生活に深刻な脅威をもたらしています。しかし、適切な対策を講じることで、このような脅威から身を守ることが可能です。その中でも、KeeperFill®︎のような信頼性の高いパスワードマネージャーを活用することは非常に効果的です。KeeperFill®︎は、正規のサイトでのみ自動的にログイン情報を入力するため、フィッシングサイトへの誤入力を防ぎます。また、Keeperのパスワードマネージャーは、ブラウザとは隔離されたボルトにあなたの機密情報を安全に保管します。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルを試して、フィッシングサイトの対策にどのように役立つのか、利用してみてはいかがでしょうか。
