フィッシング詐欺の手口
フィッシング詐欺とは、実在する組織を騙って、パスワードなどの認証情報や、クレジットカード番号といった個人情報を詐取することです。
フィッシング詐欺には、金融機関などのWebサイトを模倣して設置された囮のサイト(フィシングサイト)が使われることが多く、正規サイトをアクセスしようとした利用者が、何らかの方法で誘導されてしまうことから被害が発生します。
フィッシング詐欺の対策は、フィッシング対策協議会から公開されており、Webサイトの運用者が行う対策と、利用者が行う対策で大きく分かれます。
Webサイト運用者が行う対策
事前対策
通常フィッシングメールは、Web サイト運営者の送信している正規メールの文面を模倣しているため、正規のメールと見分けることが重要です。
- メールには電子署名を付与する
- 外部送信用メールサーバを送信ドメイン認証に対応させる
- メールでは定型的な様式を用いる
- メールはテキスト形式とする
- 利用者に情報発信する手段および内容を周知する
利用者が正規サイトを見分けられるようにする対策は以下になります。
- Web サイトの安全性を確保する
- ユーザに提供するアプリケーションの安全性を確保する
- Web サイトの正当性に係る情報を十分に提供する画面とする
- サーバ証明書を導入する
- 正規Web サイトのドメイン内設置サーバの安全性を確認する
フィッシング詐欺被害を拡大させないための対策は以下になります。
- 利用者に端末を安全に保つよう注意を促す
- 資産の移動を実行する前に複数要素認証を要求する
- 資産の移動に限度額を設定する
- 資産の移動時に利用者に通知を行う
- アクセス履歴の表示する
ドメイン名に関する配慮事項は以下になります。
- 利用者が認知している名称から連想されるドメイン名とする
- 使用するドメイン名と用途の情報を利用者に周知する
事後対策
フィッシング詐欺の被害が発生した場合などには、迅速にインシデント対応活動を実施することが必要です。
- フィッシング詐欺被害の発見
- フィッシング詐欺被害状況の把握
- フィッシング詐欺被害対応活動
・ フィッシングサイトテイクダウン活動
・ フィッシングメールに対する注意勧告
・ 関係機関への連絡、報道発表 - 生じたフィッシング詐欺被害の回復措置
- 再発防止の検討
組織的なインシデント対応体制の整備する際の注意点は以下になります。
- フィッシング詐欺対応に必要な機能を備えた組織編制とする
- フィッシング詐欺に関する報告窓口を設ける
- フィッシング詐欺発生時の行動計画を策定する
- フィッシング詐欺および対策に関わる最新の情報を収集する
- フィッシングサイト閉鎖体制の整備をしておくこと
利用者が行う対策
フィッシング詐欺では、Webサイト運営者はコンテンツを複製されますが、詐欺行為自体にはほとんど関与できません。そのため、フィッシング詐欺の対策は、より利用者側が重要になります。
利用者が気付かないで犯してしまう間違いには以下のものがあります。
- フィッシングメール中のリンクを正規リンクと間違える
- フィッシングサイトを正規サイトと間違える
- フィッシングサイトの情報入力ページを正規ページと間違える
このため、フィッシング対策協議会では「被害にあわないための5ヶ条」を定めて公開しています。
- パソコンやモバイル端末を安全に保つ
- 不審なメールに注意する
- 電子メールにあるリンクはクリックしない
- 不審なメールやサイトは報告する
- 銀行やクレジットカード会社の連絡先リストを作る
事前対策
パソコンやモバイル端末の安全に保つための対策は以下になります。
- ソフトウエアは信頼できるサイトからインストールする
- 最新のソフトウエアを利用する
- セキュリティ対策ソフトウエアの機能を理解し適切に用いる
不審なメールを見分ける注意点は以下になります。
- 個人情報の入力を求めるメールを信用しない
- メールに記載される差出人名称は信用しない
- 怪しいメールの判断基準を知る
- 安全なメールサーバやフィッシングメール判別機能を活用する
- 正規メールかどうか確認する
電子メールにあるリンクをクリックする際の注意点は以下になります。
- 正しい URL を確認する
- 電子メール本文中のリンクには原則としてアクセスしない
- 錠前マークを確認する
アカウント情報の管理に関する対策は以下になります。
- アカウントID/パスワードはWeb サイト運営者別に設定する
- アカウント管理ソフトウエアを導入する
- 全てのアカウントについて緊急連絡先を把握する
事後対策
利用者がフィッシング詐欺被害を受けたことに気が付くきっかけには次のものがあります。
- 正規サイトに機密情報を入力した際に不審な挙動が見られた
(期待した手続き画面に進まなかったなど) - 正規サイトにID/パスワードを入力したがエラーが出てログインできなかった
(攻撃者にパスワードを変更されていた) - クレジットカードの利用明細や金融機関の通帳に覚えのない取引が記載されていた
(口座番号、暗証番号などが詐取されていた)
このような不審な現象が起きた場合には、被害を最小限に抑え、2次被害を防止するために、以
下のような緊急対応を行う必要があります。
- 詐取された情報の識別
- 関連機関への連絡

