• 前回はマルウェアの1つである、トロイの木馬について解説しました。
  トロイの木馬は問題無いソフトを装い、PC内部に侵入するタイプのマルウェアです。
  単体でこっそりと動作し、情報を盗んだり、パソコンを外部から遠隔操作できるようにします。
  トロイの木馬の事例として、日本で大々的なニュースとなった、パソコン遠隔操作事件を取り上げて説明しました。
  今回は、よくあるサイバー犯罪のフィッシングについて説明します。

①フィッシングとは

• フィッシングとは、銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、相手を騙す行為です。
  非常に身近に起こる詐欺で、金銭をだまし取られたり、個人情報が盗まれてしまうといった被害の可能性があります。
• ねぇ、フィッシングって釣りのフィッシングのこと？
• フィッシングは「phishing」という綴りで、魚釣りの（fishing）と洗練（sophisticated）から造られた造語となります。
  銀行やショッピングサイトのメールを餌にして、騙された相手を釣り上げるといった手口が魚釣りに似ているということで、覚えやすいですよね？
• そうだね。でもそんなに引っかかるもんなの？
• 日本国内で起こったクレジットカードの不正利用額は、年々増加し、2021年には330億円に達しています。（一般社団法人共同通信社 より）
  このうち94％にあたる311億円が、他人のカード番号や有効期限などを盗用し、本人に成り済まして使用した「番号盗用」の被害であり、そこで使われた手法のほとんどがフィッシングだったと言われています。
• 300億円を超えるほどの被害が出ているのだから、防ぎようがなさそう・・・
• そんなことはありません。
  フィッシングの手口や対策方法を勉強しておけば、今日から引っかかることはありませんので、しっかりと両耳かっぽじって聞いてくださいね。

②フィッシングの手口

• フィッシングの手口は次のとおりです。
  ①メールやショートメールを使って、銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送信
  ②メールを受け取ったユーザを偽サイトに誘導
  ③誘導されたユーザはログインIDとパスワードを偽サイトに入力
  ④個人のログインIDとパスワードを不正に入手
• まず疑問なんだけど、犯人はなんで見ず知らずの人のメールアドレスや電話番号を知っているの？
• こういったフィッシング詐欺を行う人たちに、他人のメールアドレスや携帯番号リストを売る人がいるからです。
• え！超悪い奴！
• 情報もお金になる時代です。
  だから、自分の個人情報だけでなく、他人の個人情報についても流出しないよう敏感になる感覚がこれからは求められますよ。
  ①のメールには、「カードを一時制限した」、「アカウントが凍結された」、「自動的に退会処理をする」といった緊急性を要する内容のものが多いです。
  このように緊急を要する内容であれば、「急がなきゃ」、「まずい」といった心理状況に追い込むことができます。
  冷静な判断ができないようにするところが、ある意味「洗練（sophisticated）」されていると言って良いでしょう。
  そして①のメールには、リンクが載っていて、そこのサイトからログインして操作するような指示が記載されています。
  しかし、そのサイトは実際とは異なる偽サイトであり、そこからログインすると、ログイン時に使用したログインIDやパスワードが犯人の手に渡ってしまうという仕組みです。
• おそろしい！
• 例えばぐらみん君が、うっかり自分のIDパスワードを入力してしまうと、犯人にぐらみん君のIDとパスワードが漏れてしまいます。
  犯人はそれらの情報を使い、Webサイトにログインします。
  また、個人情報であれば、まだ軽いほうで、クレジットカード会社と偽ったサイトで、クレジットカード番号を入力してしまうと、そのクレジットカード番号を使って不正利用されてしまいます。
  その結果、年間300億が被害に遭っているというわけです。

③フィッシングの対策方法

• ここからは対策についてお話しします。
  まず、このようなメールを送信されないようにすることは難しいです。
  犯人はあらゆる手段を講じてメールアドレスを集めるプロですから、メールアドレスが分かってしまえば、そのメールは確実に届いてしまいます。
  大事なのはそのメールを受け取ってからの対処です。
  まずは、そのリンクURLをよく見てみましょう。
  ここの最初がhttpsで始まっているかhttpで始まっているかを確認してください。
• それって何か関係あるの？
• 「http」に小さな「s」が付いているか、付いていないかだけの違いですが、これが意味するところを正しく理解することで、インターネット詐欺の被害にあってしまうリスクを減らせるのです。
  このsは「Secure」のSであり、SSLという通信手段を使って、安全にデータの送受信ができることを示します。
  SSLとは、Secure Sockets Layerの頭文字を取ったもので、Webサイトとのやり取りを暗号化し、安全に通信を行うための仕組みです。
  大手企業のWebサイトでは間違いなく導入されていると言ってもよいでしょう。
  その中で、パスワードやクレジットカード情報など、機密性の高い情報を入力する場合に用いられるSSL接続を使っていないという時点で怪しいと思ってください。
  SSLについて話をすると、それだけで1話分話すことになってしまいますので、今は「インターネットで安全に通信を行うための仕組み」とだけ理解しておけばOKです。
• じゃ、httpsで始まっていれば安全ってことだね。
  楽勝じゃん。
• フィッシングメールでhttpで始まっているものは、99%詐欺だと思っていただいて結構ですが、最近はここも巧妙にできていて、httpsから始まっていても詐欺の場合も数多くあります。
  次にURLのドメインを確認しましょう。
  URLというのはWebサイトのアドレスのことです。
  Amazonの場合には「https://www.amazon.co.jp」ですね。
  このうち、amazon.co.jpの部分がドメインとなります。
  フィッシングサイトでは、この部分がamezon.co.jpとなっていたり、amozon.co.jpとなっています。
• そんなの気づかないよ。
  あと、使っているサイトのドメインとやらを全部覚えておくなんて無理じゃん。
• はい。そうですね。ですからこういったルールを設けてみてはどうでしょう？

①緊急性を訴えかけているメールが来たらまず疑う

• Amazonや銀行、クレジットカード会社などの大手企業が緊急性を訴えて、冷静さを失わせるようなメールを送るようなことは殆どありません。
  なので、緊急性を訴えるようなメールであれば、その時点でフィッシングの可能性があると疑いましょう。
  また、銀行やクレジットカード会社であれば、お客様サポートなどのお問い合わせ先に連絡をして一度確認してみるのも良いでしょう。

②サイトのドメインを確認する

• Amazonであれば、AmazonとググればAmazonのサイトに簡単に行くことができ、そこでURLを確認することができます。
  銀行やクレジットカードのサイトも同様です。
  そのドメインと、メールのドメインを確認し、同一のものかを確認しましょう。
  この2つのルールを守るだけでもフィッシングはかなりの確率で防ぐことができますが、ここで、なかのり式フィッシング対策を特別に教えます。
  それは、Gmailを使うということです。
  実は、なかのりPGのメールには毎日10件くらいのフィッシングメールが来ますが、20年以上、一度もひっかかったことがありません。
  それは、Gmailがあらかじめフィッシングメールを防いでくれているからです。
  Gmailを使うとフィッシングと思われるメールは全て迷惑メールフォルダに入ります。
  さらに、画面のような警告を出してくれますし、リンクの部分も押せないようになっているというとても親切な機能があります。
  このように、フィッシング対策が十分施されたメールソフトを使うことも重要な対策になるということを覚えておいてください。

まとめ

1. フィッシングとは、銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、相手を騙す行為のこと。
2. フィッシングの手口をしっかりと理解しておこう。
3. 対策として、httpsからURLが始まっているかの確認や、緊急性を要するメールは冷静になって一度確認するといったことを覚えておこう。