フィッシング
年末が近づいてきました。大幅な割引やセールの季節です。実店舗のセールはもちろんのこと、オンラインショップもセールで賑やかになる時期です。
人とお金が動くところには、犯罪者も寄ってきます。当社の調査レポートを例に取ると(英語記事)、金銭に関わるデータを狙うフィッシングがフィッシング全体に占める割合を見た場合、第4四半期のフィッシング比は、通年のフィッシング比よりも高い数値となっています(2015年は約9ポイント差)。かなりの差だと言ってよいでしょう。
年末商戦シーズンのショッピングを安全に楽しむには、どうすればよいでしょうか。この記事では、セール期間に皆さんを待ち受ける典型的な詐欺の手口を解説し、続いて安全にショッピングを楽しむためのヒントを紹介したいと思います。
偽のショップに注意
オンラインショッピングで興味深いのは、自分宛てに品物を届けてもらうという約束に対してお金を支払うところです。代金を決済してから品物を受け取るまでの数日間、手元には「注文を受け付けました。配送を手配中です」という内容のメールしかありません。
しかし、購買者の信頼を裏切る偽のネットショップもあります。決済済みの代金とクレジットカード情報を受け取るだけ受け取って、品物も送ってこなければ連絡もつかなくなるような偽物のショッピングサイトは、残念ながら存在するのです。
日本語の偽ショッピングサイトの例。サイトへの不用意なアクセスを防ぐため、また当該サイトのURLが一人歩きして広まることを 避けるために、URLの一部または全体を隠しています
こうした偽ショッピングサイトには、往々にして以下のような共通点があります。
- そのショップについて、一度も聞いたことがない
- やたらと宣伝している
- 新品のiPhoneが200ドルなど、びっくりするようなお買い得商品がある
こんなにおいしい話だなんて大丈夫かな?と感じたら、まず大丈夫ではありません。騙されないでください。年末などの盛大なセール期間は、買い手のテンションが上がる時期ですし、犯罪者側もそれをよくわかっていますから、この時期は特に、よく知っているオンラインショップでの買い物に留めた方が無難です。
もう1つ、大手ショッピングサイトに偽装してクレジットカード情報を盗もうとする手口があります。URLはしっかりチェックしましょう。たとえば、ドメインのつづりが本当は「BestBuy.com」であるはずなのに「BustBoy.com」になっているなど、本来のサイトURLとは微妙に違うつづりになっているかもしれません。そういったときは、そのサイトでは何もしないでください。特に、クレジットカード情報を入力してしまわないようにしましょう。
日本語の偽ショッピングサイトのカート画面の例。サイトへの不用意なアクセスを防ぐため、また当該サイトのURLが一人歩きして広まることを避けるために、URLの一部または全体を隠しています
偽の宅配便メールに騙されない
フィッシング詐欺では、ソーシャルエンジニアリングが大いに活用されます。ソーシャルエンジニアリングは、人間の心理的・行動的な隙につけ込む手法です。注文を済ませて商品が届くのを待っているときに「注文の商品について」「○×ショップからの商品発送のお知らせ」といった件名のメールが届いたら、正規のものに見えるでしょうし、メールを開いて添付ファイルを開いたり、リンクをクリックしたりするかもしれません。
これぞ、サイバー犯罪者の思う壺です。メールは偽装できます。もしかすると、そのメールは犯罪者が送りつけてきた偽メールで、バンキング型トロイの木馬やランサムウェアをダウンロードさせるためのもの、または個人情報を引き出す目的のものかもしれません。こうしたメールは不用意に開かず、送信者のメールアドレスを確認しましょう。たとえば、BestBuyで買い物をしたのなら、BestBuyから届いたように見えるメールアドレスのドメイン名(@以降の部分)が「@bestbuy.com」であるはずですが、「@bustboy.com」であれば怪しいメールだと判断できます。また、メールの文章に不自然さがある場合や、単なる配送通知なのに添付ファイルが付いている場合などにも、注意が必要です。
私たちの身近に潜むサイバー脅威のひとつが「フィッシング詐欺」です。フィッシングって何?フィッシングから自分を守るためにはどうしたらいいの?https://t.co/jsPvKvRAap pic.twitter.com/kJV1OdbqHt
— カスペルスキー 公式 (@kaspersky_japan) December 19, 2015
公式の連絡先を調べておく
さて、いくつかオンラインショップを回って商品をたくさん購入したとしましょう。そんなとき、あなたのクレジットカードに不審な取引が確認されたというメールが銀行から届きました。その取引を本当にあなたがしたのかどうか、とある番号に電話して確認するようにと書かれています。
あちこちのショップでいろいろ購入した後なので、メールの内容を信じてしまうかもしれません。でも、その番号に電話するのはちょっと待ってください。あなたからクレジットカード情報を引き出そうと、サイバー犯罪者が待ち構えているかもしれません。メールに書かれた電話番号に電話するのではなく、銀行のサポートサービスの電話番号を調べ、その番号に問い合わせてください。本当に不審な取引があった場合は、担当者がその先の手続きを教えてくれるはずです。
その他の手口
年末商戦の時期に現れるフィッシング詐欺のバリエーションは、それこそ無限にありそうです。犯罪者側はどうにかして人を騙そうと、創造力を駆使してきます。たとえば、個人情報を提供する代わりに無料のギフトカードが当たる、などとうたうサイトがあります。もちろん、そんなギフトカードはもらえません。タダより高いものはないのです。
また、お得なクーポンを販売する偽サイトもあります。もちろん、正当なクーポンサイトは存在しますが、中には使えないクーポンを売るサイトや、クーポンを送ってこないサイトもあるのです。
以上は氷山の一角です。古い手口が見破られると新しい手口が繰り出されてきますから、例を挙げるときりがありません。そこで、全般的な対策をまとめてみました。
安全でいるための対策
注意を怠らないようにするには多少の集中力が必要ですし、いろいろ気にしてばかりでは楽しめない、と不満を覚える人もいるでしょう。でも、お金を失うほうが、よほど問題です。年末商戦の時期は、サイバー犯罪者がいつもより活発に活動する時期でもありますから、普段よりも気を引き締めましょう。基本的な対策は、次のとおりです。
- フィッシングの手口や回避する方法を知る。
- 不審なリンクはクリックしない。
- Webページやメールが偽物ではないか、必ずダブルチェックする。URLやメールアドレスのつづりがおかしい、文章が不自然、などがないか確認しましょう。
- 万が一に備えてセキュリティ製品を導入する。フィッシングサイトやさまざまなマルウェアから保護する機能を持つ製品を選びましょう。
カスペルスキー製品が怪しいサイトを検知した場合に表示される画面の例
ヒント