インターネットサービス利用者を狙ったネット詐欺が止まらない。特にフィッシング被害が拡大中で、被害に遭う人も急増している。なぜ、人は簡単にフィッシング詐欺に騙されてしまうのか。これが今回の疑問だ。
※この記事は『Mac Fan 2022年3月号』に掲載されたものです。
フィッシングサイトとは?
フィッシングサイトは、実在する金融機関やECサイトなどとそっくりの偽サイトに誘導し、アカウント名やパスワードなどを入力させることで、個人情報を詐取するというもの。
Webサイトの情報流出などで被害を受けた場合は、管理している運営側に当然責任があるが、フィッシング詐欺の場合は、情報が巧妙に偽装されているのでどこの誰が犯人なのかを割り出すのが困難だ。
もし実際に被害にあった際には、金融機関や最寄りの都道府県警の「サイバー犯罪相談窓口」などに連絡し、今後の対応を相談しよう。
画像:警視庁
巧妙化する詐欺手口
「私は慎重なので詐欺に引っかからない」という方も多いと思うが、では、次の例で騙されないかどうかを確かめていただきたい。実際に中国で流行している手口だ。
あなたのスマートフォンに電話がかかってくる。「こちら○○(ECサイト)のカスタマーセンターです。○○様が○月○日にお買い求めになった○○(商品名)について重要なお知らせがあります」という内容のもので、こちらの名前を知っているし、たしかにその日時に購入している商品名を読み上げている。今回は仮に「化粧品」だとしよう。
「当該商品に記載をしていない成分が含まれていることが判明しました。健康への被害はありませんが、念のため、使用を中止してください。購入代金は速やかにご返却します」
そして、スマホのSMS(ショートメッセージサービス)経由で返金申し込み用の特設サイトのURLが送られてくる。被害者はそこにスマホ決済のアカウントとパスワードを入力する。
もうおわかりだと思うが、これがフィッシングサイトで、あなたのスマホ決済のパスワードがこれによって知られてしまった。犯行集団は、あなたのスマホ決済にアクセスをして、残高をまるごと別の口座に送金してしまう。
ポイントは、あなたの名前や購入履歴を正確に知っているということだ。だから、本物のカスタマーセンターだと信じてしまう。
猛威を振るうスミッシング
タイミングによっても人は騙されやすくなる。近年、非常に危ないと感じているのが、ヤマト運輸やAmazonの名前を騙って、「不在のため荷物を持ち帰りました。(URL)」や「クレジットカードの有効期限が切れています(URL)」といったSMSが届くというものだ。
普段であれば騙されないが、たまたま商品の到着を待っているタイミングの場合、騙されてURLをタップしてしまうことがあり得るだろう。
しかも、SMS受信時にプッシュ通知する設定にしている人は、さらに引っかかりやすくなる。iPhoneで受信したSMSにURLが載っていると、ついついその場で処理をしたくなるからだ。
本物のメッセージと偽のSMSを見極めよう
また、SMSの発信元アドレスの偽装は簡単ではないが、表示名は簡単に偽装ができる。iOSもそうだが、この表示名によってメッセージをスレッドに分類している。
そのため、たとえば表示名をNTTに偽装すると、NTTからの本物のメッセージに混ざって偽のSMSが表示されることになる。このようなSMSフィッシングは「スミッシング(Smishing=SMS Phishing)」などと呼ばれるようになっている。
「宅配便のアカウントが盗まれても実質的な被害はないのでは?」と考える方もいるかもしれない。しかし、現在のフィッシング詐欺は二段構えになっていることに注意してほしい。
宅配便のアカウントが盗まれると、あなたの元に到着する荷物が犯行集団に筒抜けになる。このような情報を元に、冒頭で紹介したシナリオのような詐欺を仕掛けてくるのだ。
画像:ヤマト運輸
2021年2月に、中国広東省広州市で、ある詐欺集団が摘発された。驚くべきことにこの詐欺集団にはAI(人工知能)エンジニアが5人もいて、しかもそのうちの3人は大学院を卒業した高度人材だった。
投網をかけるようにスミッシングを行い、そこから収集した個人情報から、どのような詐欺シナリオを適用すれば成功確率が高くなるかを割り出す機械学習モデルを開発していたのだというから驚きだ。
フィッシング詐欺に対抗するベストな対策とは?
このようなスミッシングの対策として、まずURLをタップする前にURLが公式のものであるかどうかを確認する、また、先頭が「https://」(SSL暗号化)になっていることを確認するという2つがよく挙げられる。
しかし、筆者個人としては、この2つの対策はあまり役立たないと感じている。なぜなら、URLは誤認するように設定されている(たとえば「amazon.co.jp」が「amezon.co.jp」になっている)ため、よく見ないと判別できないし、今日のフィッシングサイトの多くがすでにSSL暗号化に対応しているからだ。
もっとも優れた対策は、SMS(できれば電子メールも)に記載されているURLはタップしないということだ。Amazonらしきメッセージが届いたら、リンクをタップするのではなく、Amazonの公式サイトやアプリを開いて、メニューをたどって対応する。この習慣をつけておくことが最良の対策だ。
Safariの自動入力を使って詐欺を回避しよう
そのほかの対策は、Safariの自動入力をオンにしておくこと。たとえばAmazonにログインをしたら、そのアカウント情報(IDとパスワード)を記憶して、再びサイトにアクセスしたときには、自動入力してくれる。
ところが、フィッシングサイトである偽Amazonにアクセスしてログインしようとしても本物のAmazonとURLが異なるため、自動入力が効かない。そこでおかしいということに気がつけるはずだ。
URLが異なることは自分で判断するより、Safariに判断してもらったほうが間違いがない。
iCloudキーチェーンをオンにしておこう
また、iCloudキーチェーンをオンにしておけば、WEBサイトのアカウント情報を、ほかのApple製品と共有できる。キーチェーンを使う際には、Touch ID、Face IDを有効にしよう。パスワードを手入力するという状況をできるだけ作らないことが重要だ。
また、iCloudキーチェーンが生成するランダムパスワードを使うのも効果がある。複雑な文字列を覚えておくのは難しいので、手入力が必要な場合は、キーチェーンを確認しないと入力できない。そこでおかしいと気づく時間が生まれる。
フィッシング詐欺は、すぐに被害が起きるというものではなく、個人情報を取得して新たな詐欺に利用する、マルウェアを侵入させて潜伏させておくなど、次の大きな詐欺への予備行動がほとんどだ。そのため、多くの人が「怪しげなサイトにパスワードを入れてしまったけど、被害はなかった」と思い込んでしまう。
しかし、たとえるならば、それは自宅のスペアキーを作られたようなもので、すぐに被害はなくても、いずれ大きな被害につながる可能性がある。MacやiPhoneのセキュリティ機能を活用して、隙のないセキュアな習慣を確立していただきたい。
おすすめの記事
著者プロフィール
牧野武文
フリーライター/ITジャーナリスト。ITビジネスやテクノロジーについて、消費者や生活者の視点からやさしく解説することに定評がある。IT関連書を中心に「玩具」「ゲーム」「文学」など、さまざまなジャンルの書籍を幅広く執筆。
