コールセンターコラムColumn

なりすましによるフィッシング詐欺について

コールセンターコラム

2017年も4月に入りました。

 4月に入ると始まるのが「新年度」、今月からは「2017年度」です。

 官公庁も会社も学校も、日本では4月から、新しいスタートがあちこちで切られます。

 気持ちを新たにして、今年度を迎えている方も多いのではないでしょうか。

 

 特に、新社会人としてデビューされたフレッシュマンの方々、おめでとうございます、と一言言わせて頂くと共に、これまでとは違い、会社の業務の一環としてパソコンを使用していくことになる訳ですから、定められたルールに従い、セキュリティに関する意識をしっかりと持つことが求められます。

 

 ところが、今や当たり前となっているインターネットを取り巻く環境は、そんな皆さんを含めた私達利用者を巧みに騙し、不正に情報を得ようとする輩があふれている世界でもあります。

 そのような不正行為として、これまでよく話題に取り上げられているのが「フィッシング詐欺」と言われる手段です。

 

 フィッシング詐欺とは、「インターネットを介して、利用者から有意義な情報(ユーザID、パスワード、クレジットカード情報など)を奪うことを目的とした詐欺」です。

その手段は、一見、信頼できそうな企業を名乗り、まるでその企業から送信されたかのようなフィッシングメールと呼ばれる偽のメールを使って行われます。

 

 このようなフィッシングメールには必ずリンク先(URL、ボタンなど)が掲載されており、そのリンク先をクリックすると、本物と見まがうようなページが表示されます。

 正直に申し上げて、表示されるページが本物か偽物かを一目で見分けることは困難です。

 まず、フィッシング詐欺については、ウィキペディアに解説が掲載されています。

 興味のある方は以下のURLを訪れてみてください。

 https://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B0_(%E8%A9%90%E6%AC%BA)

 

 フィッシング詐欺で多いのが、銀行やクレジットカード会社を装った手口です。

 

 具体的には、銀行やクレジットカード会社を名乗ったメールが届いており、そのメールを開くと、「パスワードが失効した」「暗証カードを再発行することになった」「偽カードでないことの証明が必要になった」などの不安を煽るような文書とともに、偽サイトへ誘導するURLなどが記載されており、冷静さを失った利用者から、暗証番号などの重要な情報を盗み取ろうとするものです。

 

 また、今年に入っては、Microsoft社を騙るフィッシングメールが世間を騒がせました。

 

 具体的には、「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」という掲題のメールが届き、このメールに記載されているURLをクリックすると、「セキュリティ警告!!」というような題名のダイアログボックスが表示されます。

右下にある「OK」ボタンを押すと、Microsoftのサイトと見まがうようなWebページが開き、「今すぐ認証」というボタンをクリックすると、Microsoftアカウントのログイン画面に酷似した画面が表示され、ログインID、パスワード、氏名や住所などの個人情報、更にはクレジットカードの情報まで入力を求められ、結果、それらを盗み取られるのです。

 

 コールセンターへこのようなお問い合わせが入った場合は、お客様がまだフィッシングメールを開いておられなければ、開かないようご案内します。

 しかし、開いてしまっておられた場合、個人情報をまだ入力されていなければ、入力はなさらないようお伝えしますが、入力なさってしまわれた場合には残念ながら、「国民生活センター」、または、「消費者センター」へご連絡頂くようご案内するしかありません。

 

 このようなフィッシング詐欺から身を守るためには、以下の点が重要になります。

 

・「個人情報を確認する」ことを要求してくる類のメールは、フィッシングメールの可能性が高いため、基本的には「無視」する。

・ご心配である場合、銀行、クレジットカード会社から個人情報の確認を求めるメールが送信されてきたら、電話などの連絡先があればまず、メールの真偽を問い合わせてみる。

 ・メールアドレスを確認する。

特に、ドメイン(例:@pct.co.jp) 名が正規の会社から送信されたものかどうかを、その会社のホームページ等で調べる。

 ・サイトを開いてしまった場合、そのサイトのURLが「https://」から始まっているのかをどうかを確認する。

正規の銀行、クレジットカード会社、およびMicrosoftなどの有名IT企業は、個人情報の入力をユーザーに求めるサイトでは必ず、セキュリティで保護されたページを使用しているため、「https://」で始まるURLが表示されます。

もし、URLが「http://」(セキュリティなし)であれば限りなく、偽装サイトの可能性が高くなります。

 ・SmartScreen機能を有効にする(Internet Explorer11、Microsoft Edgeのみ)

 SmartScreenフィルターは、Internet Explorer11から実装された機能で、(Microsoft社が把握している)フィッシング詐欺サイトとマルウェアサイトを特定し、疑わしいページを発見すると警告を表示して利用者の情報提供を受け付けるとともに、注意して進むようにアドバイスします。

 ただし、あくまで「警告を発する機能」であるため、セキュリティソフトのように万全な対策を講じてくれる訳ではないことをご留意ください。

 ・対策可能なセキュリティソフトを導入する。

 これは言うまでもないかと思われます。

 現在市販されているほとんどのセキュリティソフトは、フィッシング詐欺への対策機能が搭載されています。

 

 ところで、フィッシング詐欺は年々巧妙になっており、今の対策手段が古いものとなり、また新たな手口が生まれることも十分に考えられます。

 兎にも角にも、怪しいメールは絶対に開かない、仮に開いたとしても、安易にリンク先をクリックしない、ということをご留意頂ければ、と思います。