詐欺サイトは、金融機関や大手企業など、よく知られたWebサイトに酷似した画面表示でユーザーを騙し、ユーザーのIDやパスワード、個人情報などを窃取する。以前から詐欺サイトは存在しているが、最近ではその数も増え手口も巧妙化し、被害も増加傾向にある。そこで、詐欺サイトの種類や傾向、そしてそういった手口に騙されないための判別のヒントなどを解説していく。
詐欺サイトとは
ここ数年、いわゆる詐欺サイトやフィッシングサイトと呼ばれるような、悪意を持って作られたWebサイトによる被害が増加傾向にある。特に個人のユーザーを狙った詐欺サイトが増加しており、その手口も巧妙化してきている。
詐欺サイトを本物のWebサイトだと信じ込み、IDやパスワード、個人情報を入力すると、そのWebサイトを作成した悪意のある第三者などに悪用されるリスクがある。詐欺サイトの多くは著名なWebサイトに似せて精巧に作り込まれており、ユーザーに本物のサイトだと信じ込ませる。
これまで大手企業やオンラインバンキングのWebサイト、著名なECサイトなどに偽装する例が数多く報告されている。ECサイトに偽装したWebサイトでは、購入(送金)したにもかかわらず商品が発送されない、偽物の商品が届く、といった被害も生じている。
こうした詐欺サイトは、ITに詳しくない個人ユーザーを狙ったものが多く、自分だけでなくパソコンを使う家族が被害に遭ってしまうこともある。
詐欺サイトの代表例
一口に詐欺サイトといっても、さまざまなタイプの詐欺の手口がある。以下、その代表例を紹介する。
ネット通販詐欺
ネット通販詐欺サイトは、本物のブランドのサイトや大手ECサイトに似せて作られた詐欺サイトであり、クレジットカード番号などの個人情報が盗み出される、あるいは代金の詐取、偽物が送付されるといった被害を受ける。
図1: 有名ブランドのサイトを騙った詐欺サイト
チケット転売詐欺
最近、増加傾向にあるのがチケット転売詐欺サイトである。SNSなどを経由して詐欺サイトへ誘導し、入手困難な人気アーティストのプレミアムチケットを転売すると謳って、ファンを騙し、実際には利用できない偽造チケットが送付されてくるという手口だ。
オンラインバンキング詐欺
銀行や信用金庫といった金融機関のオンラインバンキングサイトを騙った詐欺サイト。詐欺サイトの中でも古くから存在し、古典的な手口ながら、巧妙化し続けることで継続的に被害を生み出している。Webサイトの全ページを偽装せず、ログインIDとパスワードの入力画面だけを用意して誘導する手口もある。最近はワンタイムパスワードも窃取して不正に口座から金銭を引き落とすといった事例も少なくない。
ワンクリック詐欺
ユーザーがWebサイトのボタンを1回クリックするだけで、契約成立と見せかけて金銭を騙し取る詐欺行為である。例えば、情報サイトに偽装した画面で誘導し「続きはこちら」などのボタンをクリックするだけで、契約成立と見せかけて法外な金額を請求する。アダルトサイトなどで以前からよくある手口だが、今でも継続的に被害が生じている。最近では、ワンクリック詐欺の相談窓口サイトを装った詐欺サイトもあるので注意が必要だ。
Web改ざん
厳密に言えば詐欺サイトとは異なるものの、正規のWebサイトをハッキングしてその一部(または全部)を改ざんするタイプの手口である。URLなどは正規のものと同じであるため、ユーザーは改ざんに気づかずアクセスしてしまう。改ざんされたWebサイトにアクセスしてしまうと、マルウェアなどへの感染をはじめ、詐欺サイトと同様にログインIDとパスワードや個人情報などを詐取される恐れがある。
詐欺サイトの見分け方
インターネット上では相場よりも安く、商品の購入やサービス提供を受けられるという認識を持っているユーザーは少なくないだろう。価格を比較するWebサイトなどの存在もあって、より安い価格を求めインターネット上を探し回った経験は誰しも身に覚えがあるのではないだろうか。攻撃者はそうした傾向を踏まえ、詐欺サイト上で相場よりも極端に安い価格を提示してユーザーの購入意欲を掻き立てる。また、購入数が限られる人気チケットや限定商品など、ユーザーが探し回るものを購入可能として詐欺サイトに誘導するケースもある。このような増加する詐欺サイトに騙されないために、見分けるためのポイントを解説する。
怪しげなURLやSSL非対応のWebサイトに注意する
正規Webサイトの多くは、ブラウザーとサーバー間の通信を暗号化する技術であるSSLを利用しており、URLが「https://~」で始まっている(SSL化されていないWebサイトのURLは「http://~」で始まる)。SSL化されているWebサイトはブラウザーのアドレスバーの左側に閉じた鍵マークが付く(図2の赤枠で囲まれた部分)ことで判別できる。ただし、最近はSSL証明書の取得コストが下がったことで、SSL化された詐欺サイトも存在する。SSL化されているからといって必ずしも安全ではないことにも注意しておきたい。
図2:Webブラウザーに表示される鍵マーク
また、ドメインの終わりが「.top」や「.xyz」といった、見慣れないドメインの場合、詐欺サイトの可能性がある。特に有名企業の名前の後ろに「.top」、「.xyz」が続く場合は注意が必要だ。
決済方法をチェックする
ECサイトで、代金の支払い方法が銀行振り込みしか選べない場合は注意したい。ECサイトがクレジットカード決済に対応するには、クレジットカード会社の厳しい審査をパスする必要がある。そのため、クレジットカードの審査を通過していることが信頼性を担保する一つの安心材料となるのだ。ECサイトの黎明期は銀行振り込みのみ対応というところも少なくなかったが、今やECサイトは多くの企業にとって欠かせない販売経路の一つとなったことで、決済方法も多様な手段に対応するようになった。ただし、クレジットカードが使えるように見えても、実際には決済できないようになっている詐欺サイトもあるので注意したい。
会社の概要、販売者情報をチェックする
ECサイトでは、特定商取引法にもとづき、法人名や個人名、運営統括責任者名、所在地などの表示が義務づけられている。初めて利用する通販サイトでは、ここに記載された販売者情報をしっかりチェックするようにしたい。法人名を検索エンジンで調べ、実在するかどうかのチェックは最低限行いたいところだ。
また、チケット詐欺の場合、SNS経由で取引を勧誘されることが多いが、具体的に身元を明かせない販売者から購入するのは詐欺に遭う可能性が高まる。詐欺師は人間の衝動的な欲求を巧みに利用して犯罪を行う。どうしても参加したいという気持ちを抑え、まずは冷静になって他の手段を探すなどしたい。
詐欺サイトから身を守る方法とは
詐欺サイトから身を守るために有効な方法として、次の三点が挙げられる。
怪しげなメールやSNSのメッセージのリンクを開かない
詐欺サイトへの導線としてよく用いられるのが、メールやSNSのダイレクトメッセージである。メッセージ内に詐欺サイトへのURLを貼り、そのリンクをクリックさせることで詐欺サイトへ誘導するというものだ。一般的なマルウェアへの対策と同様に、怪しげなメールやダイレクトメッセージのリンクは絶対に開かないようにすること。
Googleなどの検索エンジンの検索結果を鵜呑みにしない
Googleなどの検索エンジン経由で、詐欺サイトにアクセスしてしまうユーザーも少なくない。例えば、「ブランド品の名前 激安」などで検索すると、上位の結果に偽物のコピー品を販売している詐欺サイトが表示されることもある。検索エンジン側も対策を講じているものの、いたちごっこにならざるを得ない。そのため、ユーザーができる防御策としては、結果に表示された文章などに不審な点を感じたらクリックしないこと。また、仮にWebサイトにアクセスしても不審に感じた場合、すぐにそのWebサイトから離れることだ。
詐欺サイトリストなど最新の情報をチェックする
詐欺サイトによる被害を減らすため、消費者庁は詐欺が疑われる海外の悪質なサイトのリストを公表し、定期的に更新している。
こうした詐欺サイトに関する情報をはじめ、犯罪の手口を把握しておくことが被害防止につながる。そのため、このサイバーセキュリティ情報局のような情報セキュリティに特化したサイトを定期的にチェックするようにしてほしい。
セキュリティソフトの導入で安全性が高まる
詐欺サイトに騙されないための方法として挙げた3つのポイントは個人の自助努力を前提とする。しかし、ITにあまり詳しくないユーザーにとって、その見極め自体が難しいというのが実際問題として存在する。ESET個人向け製品などを導入し、常にウイルス定義データベースをアップデートしておくことで、ITにあまり詳しくないユーザーもしっかりとサポートしてくれる。
セキュリティソフトは世界中のセキュリティ動向をもとに、危険なWebサイトをリスト化しているため、仮にユーザーがアクセスしてしまった場合でも、ブラウザー上に警告を発してくれる。また、マルウェア感染の疑いがあるファイルをダウンロードしようとした場合にも未然に防いでくれる。近年、サイバー攻撃の手口がより巧妙化しているため、導入すれば100%安全だとは言い切れない。しかし、高い確率で危険を回避してくれる、セキュリティソフトの導入により安心感は高まるはずだ。
人間は注意していても、つい「うっかり」を犯してしまうもの。「転ばぬ先の杖」として、統合型セキュリティソフトの導入をおすすめしたい。
