フィッシング (Phishing)とは何か?

2001年頃からインターネット上で発生している、詐欺行為です。

また、2017年の時点では、そのほとんどがメールによるものです。2016年のアメリカ大統領選挙でも、民主党の議員で、フィッシングメールによりIDパスワードを盗まれて、過去のメールをごっそり盗まれた人が数人います。

その目的は、銀行口座のインターネットバンキング、またはSNSなどのアカウント情報(ID、パスワード、電話番号、その他の個人情報、等)を盗むことである場合が多く、パスワードを使いまわす人が多いため、被害が拡大する傾向にあります。

どのような手口なのか?

典型的としては下記のようなものがあります。

  1. 金融機関(または、SNSサイトなど)からのメールであるかのように偽装したメールを送信する。
  2. (重要なお知らせ)などと称して、何らかの理由により、「いったんログインして、パスワードを変更しなければならない」と説明する。
  3. メール上で指定したURLをクリックさせ、偽のwebサイトに誘導する。
  4. ログインさせて、ID、パスワードを盗む。

また、図々しく、第2パスワードやセキュリティカードの情報を全て入力するように指示をしてくるフィッシングサイトも存在します。

フィッシングという方法自体は、人をだますテクニックであるため、形を変えながら、今後も発生し続けると考えられます。

フィッシングにひっかからないようにするためには、どうすればよいのか?

フィッシングは、人をだますテクニックなので、これをすると完璧に防げるというものはありません。

有効な手段として考えらえるのは、下記のとおりです。

  1. 「パスワードの有効期限が切れたので、変更してください」というメールがきたら、100%フィッシングメールです。
    • そのメールにあるリンク(URL)をクリックして、IDとパスワードを入力すると、IDとパスワードが盗まれてしまいます。
    • もし、誤って入力してしまった場合は、すぐに、メールから離れて、正規の銀行のWebサイトからログインして、パスワードを変更しましょう。
    • 多くの銀行で、自分のIDによるログイン履歴を確認できるようになっていますので、そこで、不正なログインがあったかどうか、確認しましょう。
  2. 忙しい場合は、金融機関からのメールは読むだけで、「パスワードを変更してください」とあっても、そのまま放置しましょう。日本のメガバンク(三菱UFJ、三井住友、みずほ、りそな)の場合、本当に重要なことについては、はがき、または封筒などの郵便物が届きます。
    • 繰り返しになりますが、メール上にあるリンクをクリックして開いた画面上でIDパスワードを入力することはとても危険です。
  3. パスワードを変更したい場合は、メール上にあるリンク(URL)はクリックせず、メールとは全く無関係に、自分でブラウザー(Google ChromeかInternet Explorer)を立ち上げて、一旦、Googleでその銀行のサイトを検索し、そこから、その銀行のオンラインバンキングにログインしましょう。
  4. 優秀なセキュリティソフトを購入して、利用することをお勧めします。2016年~2017年の時点では、カスペルスキーが良いでしょう。

なぜ、セキュリティソフトがあると安全性が高くなるのか?

通常、Googleで自分が利用している銀行のwebサイトを検索して、開いて確認する場合、そのwebサイトを疑う必要はないのですが、フィッシングメールと連携するマルウェアをPCに埋め込まれたと想定すると、正規のwebサイトを開いた瞬間に、偽サイトにすり替えられる(リダイレクト)ことも考えられます。

従って、優秀なセキュリティソフトで、そのようなマルウェアを埋め込まれる可能性をできる限り低くすることは、とても重要なことになります。

同時に、OSは最新バージョンを使用して、必ず自動的なアップデートを行うようにしましょう。アップデートを確実に行うため、PCは使い終わったら、シャットダウンしましょう。