Written by 石田成美
インターネットプロバイダに7年間勤務し、出産・育児を機にフリーランスに転身。Webライターとして、主に情報セキュリティ系のテーマをわかりやすく解説します。
目 次
詐欺サイトとは?
詐欺サイトの見分け方
詐欺サイトに誘導する方法
メールやSMSで、詐欺サイトへ誘導する実例
詐欺サイトによる具体的な被害
詐欺サイトにアクセスしてしまった時の対処法
個人でできる詐欺サイトへの対策
企業が行うべき詐欺サイトへの対策
LANSCOPEサイバープロテクションのAIアンチウイルスの紹介
まとめ
この記事では、「詐欺サイトの見分け方」やアクセスしてしまった場合の対処法、個人・組織それぞれが取り組むべき対策などについて解説いたします。
詐欺サイトを見分けるための確認事項は、以下の通りです。
▼詐欺サイトを見分けるポイント
- サイトのURLに不自然な点はないか
- 運営会社情報が正しく記載されているか
- 問い合わせ先はフォーム・フリーメールだけでないか
- 極端な安売りをしていないか
- 支払い方法が限定されていないか
- 自動翻訳ツールの文章をコピペしたような、おかしな日本語表現はないか
近年、ネットショッピングの利用者数の増加とともに、詐欺サイトによる被害が急増しています。詐欺サイトとは、その名のとおり、「金銭」や「個人情報」などを詐取する目的で作られた偽物のサイトのことです。
詐欺サイトとわからず利用してしまうと
- 代金を支払ったにもかかわらず商品が届かない
- クレジットカード情報を不正利用される
- 入力した情報を悪用したなりすまし
などさまざまな被害にあう可能性があります。
この記事を要約すると
- 詐欺サイトとは、個人情報や金銭を詐取する目的で作られた、偽物のサイトのこと
- 正規サイトと見分けるためには、「サイトのURL」「運営会社情報」「問い合わせ先」「商品の値段」「支払い方法」「サイト内の日本語表現」などを注意深く見る必要がある
- 詐欺サイトに誘導する主な方法に、「フィッシングメール」「スミッシング」「ネット広告」などがある
- 詐欺サイトとわからず利用すると「重要な情報の窃取・悪用」「商品の未着」「マルウェア感染」などの被害が想定される
- もしもアクセスしてしまった場合は、「アカウント情報の変更」「クレジットカード会社や金融機関への連絡」「上長や担当者への報告」といった対処を行う
- 個人でできる対策として、「ブックマークした公式サイト、正規のアプリからアクセスする」「SSLサーバー証明書の導入を確認する」「不審なメールやリンクは安易に開かない」などが挙げられる
- 企業が行うべき対策としては、「セキュリティポリシーの策定と周知」「セキュリティ教育の実施」「優れたセキュリティソフトやサービスの導入」などが重要
またエムオーテックスでは、組織のセキュリティ対策が十分であるか?を簡単に診断できる「サイバー攻撃対策チェックシート」をご用意しました。ぜひ合わせてご活用ください。
詐欺サイトとは?
詐欺サイトとは、個人情報やクレジットカード情報、金銭などを詐取する目的で作られた、本物そっくりの偽サイトのことです。
詐欺サイトは、公式サイトのロゴや画像などを盗用し、本物のサイトと酷似したデザインになっているので、一見しただけでは偽サイトと気付くのは困難です。
商品未着・連絡不能等といったトラブルの裏に詐欺サイトの存在
消費者庁が発表した「令和5年版消費者白書」によれば、2022年のインターネット通販の「商品」に関する相談のうち、その約4割が、注文した商品が届かない「商品未着」、注文した商品とは異なる商品を業者が送付する「注文品違い」、業者と連絡が取れなくなる「連絡不能」といったトラブルでした。
こうしたトラブルの多くは詐欺サイトが関与していることが確認されており、消費者庁でも注意喚起をしています。
詐欺サイトの見分け方
多くの詐欺サイトは、正規サイトとそっくりに作られており、ユーザーが気付かずに情報を入力することで、個人情報や金銭をだまし取られてしまいます。
そのような被害に合わないために、初めて利用するサイトは以下の点に注意してみてください。
- サイトのURLに不自然な点はないか
- 運営会社情報が正しく記載されているか
- 問い合わせ先はフォーム・フリーメールだけでないか
- 極端な安売りをしていないか
- 支払い方法が限定されていないか
- 自動翻訳ツールの文章をコピペしたような、おかしな日本語表現はないか
▼偽サイトの特徴
出典:警察庁|「偽サイト」「詐欺サイト」に注意!
1.サイトのURLに不自然な点はないか
詐欺サイトはサイトのデザインだけでなく、URLも正規のサイトとよく似ています。
誤って情報を入力しないためにも、URLに以下のような不審な点がないか確認しましょう。
- URLの横に鍵マークがついていない
- URLがhttpsで始まっていない
- URLの最後が見慣れないドメインになっている
- 社名やサービス名の一部が似た文字に変換されている
正規サイトの多くは、安全性を確保するために通信を暗号化しています。通信を暗号化していれば、仮に悪意ある第三者が通信を傍受しようとしても、内容を読み取ることができません。通信が暗号化されていれば、アドレスバーに鍵マークがつき、URLがhttpsから始まります。
ただし、近年は暗号化された詐欺サイトも存在しているため、「httpsであれば絶対に正規のサイト」とは言い切れない点は、要注意です。
また、ドメインもあわせて確認しましょう。国内の企業サイトの場合、「.com」「.jp」「.co.jp」が多くを占めていますが、詐欺サイトの場合は「.xyz」「.live」など、馴染みのないドメインを使用しています。
▼詐欺サイトのURL
出典:消費者庁|人気インテリア家具や雑貨等の公式通信販売サイトを装った偽サイトに関する注意喚起(令和5年4月26日)
他にも、詐欺サイトのURLは「amazon」が「amaz0n」になっているなど、社名やサービス名の一部が類似した文字に変換されている場合も、よく見られます。
2.運営会社情報が正しく記載されているか
本来、ネットショップやECサイトは“特定商取引法”に基づき以下のような情報を表記することが義務付けられています。
- 代表責任者の氏名
- 住所
- 電話番号
これらの情報が記載されていないサイトは詐欺サイトです。
ただし、運営会社情報が記載されていたとしても安心はできません。攻撃者は架空の住所や、まったく関係ない企業の電話番号などを記載していることがあります。
初めて利用するサイトでは、まずインターネットで検索し、会社名と住所が一致するか、住所と市外局番が一致するか、実在する会社かどうかなどを、必ず確認しましょう。
3.問い合わせ先はフォーム・フリーメールだけでないか
運営者への連絡手段が、お問い合わせフォームやフリーメールアドレスだけの場合は注意が必要です。
何かトラブルが起こったとき、お問い合わせフォームやメールアドレスに連絡しても、返信がこないことがほとんどです。
取引途中で連絡が途切れ、商品の受け取りはもちろん、返金を求めることもできなくなる場合があります。
4.極端な安売りをしていないか
本来なら50万円以上する高級ブランドバッグが数万円など、極端な安売りをしている場合は詐欺サイトを疑いましょう。正規サイトが大幅値引きをする場合は、値引きの理由(賞味期限が近い・傷あり・型落ちなど)が書かれていることがほとんどです。
しかし、詐欺サイトの場合はユーザーを引き寄せたいだけなので、値引きの理由は書かれていません。
また、ほとんどのサイトで売り切れているような入手困難な商品が、多数「在庫あり」となっている場合も、詐欺サイトである可能性が高いので要注意です。
5.支払い方法が限定されていないか
正規サイトの場合
- クレジットカード決済
- コンビニ支払い
- 代金引換
- 銀行振込
など複数の支払い方法が提示されているケースが一般的です。
しかし、詐欺サイトの場合は「銀行振込のみ」など、支払方法が限定されている傾向にあります。また銀行振込のみの場合、振込先口座の名義が法人名ではなく、個人名になっているケースも見受けられます。
6.自動翻訳ツールの文章をコピペしたような、おかしな日本語表現はないか
詐欺サイトは、海外のグループが関与している場合が多く、自動翻訳ソフトを使ってページを制作していることから、不自然な日本が使われていることがよくあります。
例えば、「あなたが得る送料無料」「待つください1週間」といったような、自動翻訳ソフトの文章をそのままコピペしたような、おかしな表現になっている場合、あるいは日本語で使われない「产」「对」などの見慣れない漢字が見られる場合は、詐欺サイトの可能性があります。
詐欺サイトに誘導する方法
攻撃者は、情報や金銭を詐取する目的でターゲットを詐欺サイトに誘導します。
どのような手段で詐欺サイトに誘導するのか、それぞれの手口について詳しく紹介します。
- フィッシングメール
- スミッシング
- ネット広告
フィッシングメール
「フィッシングメール」は、送信者を偽ってメールを送り、メールの文中にあるURLから偽のサイトに誘導する手口です。
例えば、クレジットカード会社や金融機関を装って、「不正利用のお知らせ」や「パスワード変更のお願い」といった件名のメールを送信し、正規のメールとそっくりに作られた文面のURLをクリックさせて詐欺サイトにアクセスさせます。
正規のメールであれば、文章の冒頭に「〇〇〇〇 様」と宛名があることが多いのですが、フィッシングメールは「お客様」「ご利用者様」といった、総称になっていることが特徴です。
スミッシング
「スミッシング」は、フィッシングメールと手法は同じですが、メールではなくSMSを利用します。具体的には大手企業や公的機関を装ってSMSを送りつけ、偽サイトに誘導して個人情報を盗み取ります。
電話番号宛に巧妙な文面のメッセージが届くので、油断して文中のURLをクリックしてしまい、個人情報を入力してしまったという被害が近年多発しています。
またメッセージに、「緊急」「重要」「確認してください」など、不安や焦りを感じさせる文言が多く使われていることも、被害が増加している要因といえます。
ネット広告
最近多いのが、SNSや検索結果に詐欺サイトの広告を掲載し、そこから誘導する手口です。
SNSでは、ユーザーの年齢や性別、興味関心のある事柄などをもとに、そのユーザーにあった広告が自動的に表示されるようになっています。しかし、その中には詐欺サイトの広告も紛れており、実際に利用したユーザーからは「注文した商品が届かない」という被害も報告されています。
また、検索連動型広告(ユーザーが検索したキーワードに連動して表示される広告)から詐欺サイトに誘導するケースも確認されています。
実際、2022年に「鉄道会社のサイト名」を検索すると、画面最上部の広告枠に正規サイトではなく詐欺サイトの広告が掲載されるといった事態が発生しました。
メールやSMSで、詐欺サイトへ誘導する実例
前述のように、詐欺サイトへの誘導にはメールやSMSが使われます。
ここでは、実際にどのような文面・内容でメールやSMSが送られてくるのか、実例を交えて紹介します。
国税庁の偽サイトに誘導する事例
2024年1月、国税庁を名乗り、「【重要】滞納した税金がございます!【税務署】」など、重要なお知らせを装ったメールの文中にあるURLをクリックすると、国税庁のホームページを装った偽サイトに誘導される手口が確認されました。
▼国税庁を装ったメールの文面例
出典:フィッシング対策協議会|国税庁をかたるフィッシング (2024/01/11)
誘導先の詐欺サイトで、個人情報やVプリカ発行コード番号等を入力すると、個人情報や現金と同等のVプリカを詐取されてしまいます。
国税庁のHPには、今までに確認された不審なメール文面のパターンを紹介して注意を促しています。
三菱UFJ銀行の偽サイトに誘導する事例
2023年10月、三菱UFJ銀行を装って「銀行口座の取引を一時的に規制しています」などのSMSを送り、詐欺サイトへ誘導する手口が確認されました。
▼「三菱UFJ銀行」を装ったSMSの文面例
出典:フィッシング対策協議会|三菱UFJ銀行をかたるフィッシング (2023/10/30)
詐欺サイトは本物のサイトの画面をコピーして作られており、偽サイトとわからず利用すると、口座番号、契約番号、ログインパスワード、氏名、携帯電話番号、Eメールアドレス、生年月日などの情報を詐取される可能性があります。
また、URLをクリックしたAndroid端末に、不審なアプリがインストールされることも確認されています。SMS文中のURLから偽サイトに誘導し、警告など利用者をあおる偽の画面を表示させ、対処のために不審なアプリをダウンロード・インストールさせるという手口です。
三菱UFJ銀行によると、お取引に関するお知らせ等をSMSで送ることは一切ないということで、ホームページでも注意喚起しています。
Amazonの偽サイトに誘導する事例
2023年1月、Amazonを名乗って「プライムの自動更新設定を解除いたしました」などの内容のSMSやメールから、QRコードで詐欺サイトへ誘導する手口が確認されました。
▼Amazonを装ったメールの文面例
出典:フィッシング対策協議会|Amazon をかたるフィッシング (2023/01/05)
以前からAmazonを装った不審なURL付きの偽メールは多数確認されていましたが、今回は文中にQRコードが表示されているのが特徴です。
文中のQRコードを読み取ると、正規のサイトとそっくりに作られた詐欺サイトへと誘導。ログイン ID (E メールまたは携帯電話番号)、パスワード、氏名、住所、電話番号、クレジットカード番号などの入力を促され、それらの情報が詐取されてしまいます。
明らかに不審なURLは、詐欺サイトである可能性に警戒することができますが、QRコードではリンク先が正規のものか不正なものか、判断することができません。
Amazonを名乗った偽メールによるフィッシング詐欺は依然として多いので、QRコードの有無にかかわらず、サービスへのログインはアプリやブラウザから行う、などの対策と注意が必要です。
詐欺サイトによる具体的な被害
詐欺サイトとわからず利用してしまうと、次のような被害を受ける可能性があります。
<詐欺サイトによる被害例>
- 個人情報、カード情報、アカウント情報などを窃取・悪用される
- 代金を支払ったにもかかわらず商品が届かない
- 注文したものとは全く異なる粗悪品(偽物)が送り付けられる
- マルウェアに感染させられる
詐欺サイトだと気づかずに個人情報やクレジットカード情報、アカウント情報を入力してしまうと、攻撃者の手にそれらの重要な情報がわたってしまい、悪用される危険性があります。
具体的には
- アカウントを乗っ取られる
- 個人情報がダークウェブで売買される
- 知らない間にクレジットカードで不正購入される
- 銀行口座から不正に出金・送金される
といった被害が想定されます。
また、代金を支払ったにもかかわらず商品が届かなかったり、届いたとしても偽物だったりするケースも少なくありません。
他にも詐欺サイトの中には、アクセスしただけでマルウェアに感染してしまうものもあります。
詐欺サイトにアクセスしてしまった時の対処法
気を付けていても詐欺サイトにアクセスしてしまう可能性はあります。
もし、利用したサイトが詐欺サイトであると気付いた場合は、以下の対応をしましょう。
- IDやパスワードなどのアカウント情報を変更する
- 取引の一時停止や番号変更などクレジットカード会社や金融機関に連絡する
- 上長や担当者に報告をする
- 警察に被害届を提出する
詐欺サイトでIDやパスワードを入力してしまった場合、攻撃者にアカウントが乗っ取られる危険性があるため、速やかにパスワードを変更しましょう。
できれば新しいメールアドレスを取得して、IDも変更するとより安全です。
またもしも詐欺サイトでクレジットカード番号や銀行口座番号を入力してしまった場合は、速やかに契約しているカード会社や金融機関に連絡し、利用停止手続きをしてください。
クレジットカードやインターネットバンキングでは、不正利用に対する補償が存在します。補償申請には警察に被害届を提出する必要がありますので、忘れずに行うようにしてください。
さらに、企業・組織内の従業員が詐欺サイトに情報を入力してしまった場合は、必ず上長やセキュリティ担当者に報告するようにしましょう。
個人でできる詐欺サイトへの対策
詐欺サイトによる被害に遭わないために、以下の対策をとりましょう。
- ブックマークした公式サイトもしくは正規のアプリからアクセスする
- SSLサーバー証明書の導入を確認する
- 不審なメールやリンクは安易に開かない
- OS・ソフトウェアは常に最新の状態を保つ
ブックマークした公式サイトもしくは正規のアプリからアクセスする
前述のとおり、詐欺サイトへの誘導には、メールやSMS、ネット広告が用いられることがほとんどです。
そのため、普段からよく利用するサイトは正規サイトをブックマークしておき、必ずブックマークからアクセスするようにしましょう。
公式のアプリがある場合はインストールして、アプリからのアクセスを心がけましょう。
SSLサーバー証明書の導入を確認する
正規のサイトであれば、「通信データの暗号化」と「サイト運営会社の身分証明」であるSSLサーバー証明書が発行されているはずです。
SSLサーバー証明書が導入されているかは、アドレスバーのURLの横に鍵のマークがついているか、URLが「https」で始まっているかで確認できます。
不審なメールやリンクは安易に開かない
心当たりのない内容のメール・SMSに記載されているURLは安易にクリックしないということを徹底しましょう。
少しでも不審に感じた場合は、正規サイトの「お知らせ」などを確認し、フィッシングメールに対しての注意喚起が行われていないか確認してみてください。
また、間違えてURLをクリックしてしまわないためにも、メールはすぐに削除しましょう。
OS・ソフトウェアは常に最新の状態を保つ
OSやソフトウェアなどに脆弱性(セキュリティ上の欠陥)が残ったまま放置してしまうと、詐欺サイトにアクセスした際にマルウェアが端末に侵入してしまう危険性があります。
基本的なセキュリティ対策として、OSやアンチウイルスなどのソフトウェアは常に最新の状態に保ち、脆弱性を残さないようにしましょう。
企業が行うべき詐欺サイトへの対策
詐欺サイトによって被害を受けるのは、個人だけではありません。
従業員が詐欺サイトで入力した情報から不正アクセスされ、顧客情報や機密情報が漏洩する被害に繋がる可能性もあります。
また、自社でWebサイトを運営している場合、その偽のサイトが作られてしまうと、顧客の信用を失ったり売り上げに支障をきたしたりと、大きなダメージを受ける可能性があります。
企業・組織にとって、以降のような詐欺サイトへの対策は、必要不可欠です。
- セキュリティポリシーの策定と周知
- セキュリティ教育の実施
- フィッシング詐欺対策に優れたセキュリティソフトやサービス
1.セキュリティポリシーの策定と周知
セキュリティポリシーとは、企業・組織において実施する、情報セキュリティ対策の基本方針をまとめたものです。
明確にポリシーを定めておけば、未然に被害を防止しやすくなるだけでなく、万が一被害に遭った場合も、被害を最小限にとどめることができます。
また、策定したポリシーを従業員に周知させることで、それぞれのセキュリティに対する意識の向上をはかることができます。
2.セキュリティ教育の実施
情報セキュリティに対する意識には個人差があります。
企業・組織における事故を未然に防ぐためには、どのような脅威があり、どういった行為が被害リスクに繋がるかを周知し、全ての従業員がセキュリティについて正しく理解しなければいけません。
全員がセキュリティポリシーを遵守できるよう、従業員一人ひとりにしっかりとセキュリティ教育を行うことで、全体のセキュリティ意識を向上させることができます。
3.フィッシング詐欺対策に優れたセキュリティソフトやサービス
業務で使用する端末に、フィッシング詐欺対策に優れた、セキュリティソフトやサービスを導入するのも有効です。
具体的には
不正サイトや迷惑メールをブロックする「フィルタリングサービス」
マルウェアの侵入をブロックする「アンチウイルスソフト」
などが効果的です。
LANSCOPEサイバープロテクションのAIアンチウイルスの紹介
詐欺サイトによる被害は、個人情報やクレジットカード情報の窃取・不正利用が多くを占めますが、詐欺サイトにアクセスしたことで、マルウェアに感染するという被害もあります。
マルウェアに感染すると、機密情報の漏洩、システムの乗っ取り、金銭的リスクなどを引き起こす危険性があります。
「LANSCOPE サイバープロテクション」では、未知のマルウェアも検知・ブロックする、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用できる「CylanceGUARD」
- 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceGUARD」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できるのは先述の通りです。
しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていない企業様も少なくありません。
- アンチウイルスとEDRを併用したい
- なるべく安価に両機能を導入したい
- しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供する「Cylanceシリーズ」です。
- 最新のアンチウイルス「CylancePROTECT」
- EDR「CylanceOPTICS」
- EDRを用いた運用監視サービス「CylanceGUARD」
の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「Deep Instinct(ディープインスティンクト)」
- PC、スマートフォンなどOSを問わず、対策をしたい
- 実行ファイル以外の様々なファイルにも、対応できる 製品が良い
- 手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
今猛威を振るっているランサムウェアや、2020年以降に国内で大量発生した「Emotet(エモテット)」などの攻撃も、 Deep Instinctで検知することが可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。
万一、詐欺サイトからマルウェア感染したら?インシデント対応サービスにお任せください
「マルウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
本記事では「詐欺サイト」をテーマに、その概要や被害の事例・対策などをご紹介しました。
本記事のまとめ
- 詐欺サイトとは、個人情報や金銭を詐取する目的で作られた、偽物のサイトのこと
- 正規サイトと見分けるためには、「サイトのURL」「運営会社情報」「問い合わせ先」「商品の値段」「支払い方法」「サイト内の日本語表現」などを注意深く見る必要がある
- 詐欺サイトに誘導する主な方法に、「フィッシングメール」「スミッシング」「ネット広告」などがある
- 詐欺サイトとわからず利用すると「重要な情報の窃取・悪用」「商品の未着」「マルウェア感染」などの被害が想定される
- もしもアクセスしてしまった場合は、「アカウント情報の変更」「クレジットカード会社や金融機関への連絡」「上長や担当者への報告」といった対処を行う
- 個人でできる対策として、「ブックマークした公式サイト、正規のアプリからアクセスする」「SSLサーバー証明書の導入を確認する」「不審なメールやリンクは安易に開かない」などが挙げられる
- 企業が行うべき対策としては、「セキュリティポリシーの策定と周知」「セキュリティ教育の実施」「優れたセキュリティソフトやサービスの導入」などが重要
本記事が皆さんにとって、詐欺サイトへの理解を深め対策に取り組むきっかけとなりましたら幸いです。
またエムオーテックスでは、組織のセキュリティ対策が十分であるか?を簡単に診断できる「サイバー攻撃対策チェックシート」をご用意しました。ぜひ合わせてご活用ください。
関連する記事
