インターネット上には多種多様なサイトが存在しますが、中には不当に金銭を窃取するような悪意のある「偽サイト」もあります。
例えば、インターネットショッピングサイトを騙ってログイン情報、個人情報、クレジットカードなどの決済情報を入力させ、それらを悪用する、といったものはよくあるパターンです。
その他にもさまざまある偽サイトについて、本記事では解説します。
また、偽サイトへの誘導によく使われる「標的型攻撃メール」の事例・サンプルを資料でご覧いただけます。より一層の対策にお役立てください。
偽サイトについておさらい
まずは、偽サイトの基本的な情報についておさらいしましょう。
偽サイトとは
読んで字のごとく、実在する会社名などを用いて巧妙に作られた偽物のサイトのことです。
URLやウェブサイトのデザイン、メールを通じてリンク送信される場合にはメールアドレスやメール本文など、さまざまな要素で本物のサイトに似せて作られており、もはや本物のサイトとの区別はほとんどつかないものもあります。海外サーバー上で管理されていることが多いです。
何が危険なのか
巧妙にログイン情報を入力させられ、登録している住所をはじめとした個人情報やクレジットカードなどの決済情報などを抜き取られます。そこからさらなるなりすましメールの送信、金銭の不正窃取といった被害につながることもあります。
偽サイトに誘導される方法
もっともよくあるケースは、なりすましメール(標的型攻撃メール)で偽サイトに誘導する方法です。送信元や件名、表示URLをもっともらしく詐称し、偽サイトに誘導します。最近では、SMSで偽サイトのURLを送りつける手法や、TwitterやInstagramからの誘導といったものも見られます。
また、検索画面にも出てくる場合があるので、注意が必要です。
偽サイトの見分け方とは
近年の偽サイトは本物と区別がつかないほど巧妙に作りこまれていますので、注意深くチェックしなければ引っかかってしまいます。以下に見分け方をご紹介するので、参考にしてみてください。
URLに不審な点がないか
偽サイトは、URLに不審な点が見られます。例えば、SSL/TLSプロトコルによる暗号化が行われていない場合。暗号化とは、データのやり取りが悪意のある第三者から読み取れなくする技術です。見え方としては、暗号化がなされているものはURLが「https」で始まる、そうでないものは「http」で始まる、暗号化されているものはアドレスバーに鍵マークがある、されていないものは鍵マークがない、といった違いがあります。
また、実在の正規サイトと極めてそっくりなURLを用意して騙してくる偽サイトもあります。
ぱっと見で判断しないようにしましょう。
他にも、URLの終わりが「.xyz」「.bid」「.top」など見慣れない場合も注意が必要です。
| 正しいURL | 怪しいURL |
|---|---|
| URLの始めが「htttps」 | URLの始めが「http」 |
| アドレスバーに鍵マークがある | アドレスバーに鍵マークがない |
| URLの終わりが「.jp」「.com」など見慣れたもの | 「.xyz」「.bid」「.top」など見慣れないドメイン |
| 社名などがそのまま含まれている | 社名の一部が「q」→「9」のように似た文字で置き換えられている |
※この見分け方はあくまで目安ですので、必ず総合的な判断をするようにしてください。
運営会社情報や販売元情報が実在するか
サイトのフッターなどにある運営会社情報、販売元情報に不自然な点がある場合があります。
会社の所在地や電話番号が実在するものなのか、実在するものであれば、それが本当にその会社のものなのか確認しましょう。
所在地を地図検索にかけ、その住所にその会社があるのかを確かめる、その電話番号に電話をかけてみる、といった確認も必要です。
そうした情報をSNSやGoogleの検索にかけてみるのもアリです。その会社が詐欺であるという投稿が見つかるかもしれません。
あるいは、そういった情報がそもそも存在していない場合も同様です。ことECサイトでは、「住所」「電話番号」「代表者名」などの運営者情報を記載するように特定商取引法で義務付けられているからです。
決済方法に不審な点はないか
そのサイトが商品販売を語るサイトであった場合、決済方法を確認します。
絶対にそうだ、と言い切れる判断基準ではないですが、決済方法として銀行振込のみでクレジットカードや代金引き換えなどが選択できない場合は要注意です。
また、特に、支払先の振込口座がサイト上に記載なく、注文後にメールで送信されてくる場合や、会社ではなく個人名義の口座である場合、闇市場で取引された口座が悪用されている可能性があります。
日本語が不自然ではないか
偽サイトは、海外の犯罪グループが作成している場合も多く、彼らは自動翻訳ツールを利用して日本語を生成しているため、どうしても日本語が不自然になってしまいます。あるいは、日本語ではあまり使われない漢字(「东」「华」など)が利用されている場合も同様です。一つの見分け方としてください。
ただし、そもそも海外のブランドなどでは、正規のサイトでも日本語が不自然なことはありますので、絶対的な判断基準ではありません。
偽サイトに誘導する目的とは
偽サイトに誘導する目的としては、金銭の窃取、個人情報・ID情報の窃取、攻撃の踏み台としての利用等が挙げられます。
金銭の窃取
ショッピングサイトになりすます、あるいは、銀行などの金融機関、クレジットカード会社などになりすまして不正に決済情報を窃取、それを通じてクレジットカードやネットバンキングから不正に金銭を窃取されてしまいます。
個人情報・ID情報の窃取
本物のサイトになりすまし、ログインIDやパスワードを入力させ、そのログイン情報を丸ごと抜き取ってしまいます。その結果、アカウントの不正利用や乗っ取りに繋がり、あるいはパスワードが勝手に変更され、本人がログインできなくなってしまうということもあります。
また登録してある住所や電話番号といった個人情報を闇市場で売買され、より甚大な被害につながりかねません。
業務に利用するアカウントが窃取された場合、顧客情報や企業の機密情報の漏洩のリスクも大きいです。
攻撃の踏み台としての利用
不正にログイン情報やID情報を窃取され、それをもとに攻撃の踏み台にされてしまうこともあります。
例えば、メールのアカウント情報を窃取され、不正にログインされ、なりすましメールのばらまきに利用される場合などが想定されます。
偽サイトによる被害事例
では、実際にはどのような偽サイトがあるのでしょうか。
ショッピングサイト「Amazon」をかたるもの
ショッピングサイトの会員資格に関して、支払方法に問題があり、自動更新ができなかったという旨のメールから、不正に金銭を窃取する被害です。URLが偽のものであると悟られないために、メールに記載されたQRコードで偽サイトに誘導され、その後、本物そっくりのログインページ等でアカウント情報、住所、クレジットカード情報を入力させられます。
有名なショッピングサイトの偽サイトは常套の手段ですので、警戒しておきましょう。メールでの案内があった場合も、公式アプリやブックマークからのアクセスをするようにしましょう。
カード会社「クレディセゾン」をかたるもの
実在のカード会社を騙ったメールで、「個人情報改善認証」や「カードご利用確認」と称して、本物と見分けのつかないフィッシングサイトにてID、パスワード、クレジットカード番号、有効期限、セキュリティコード、生年月日、ワンタイムパスワードといった情報を入力させる偽サイトが発生しました。
偽サイトは、パズル認証の案内や「ログインでお困りの方へ」の案内、ワンタイムパスワード誘導など本物のサイトとほぼ見分けのつかないものとなっています。
携帯会社「SoftBank」をかたるもの
実在の携帯会社を騙ったSMSで「未払い料金のお知らせ」等と称してフィッシングサイトへの誘導をする事案が発生しました。偽サイト上でID、パスワードなどのログイン情報を入力すると、「料金の未払い金があります。」との表示がされ、Vプリカで40,000円を入金するように誘導されます。支払方法として、Vプリカのほかに、クレジットカードやコンビニ払い、ネットバンキング等も表示されていますが、いずれも「メンテナンスに伴うサービス一時停止」と表示され、Vプリカでの支払いしか選択できないようになっています。
不正アプリのダウンロードを促すパターンも確認されています。
警視庁をかたるもの
警察庁のホームページそっくにり作られた偽サイトで「システム警告」「マルウェアが検出されました。警察庁セキュリティ無料版アプリ」を必ずダウンロードしてください。そうしないと資産や資金などの使用・移動を一時禁止することになります。」という表示と「次に」というボタンがポップアップされ、不正アプリのダウンロードに誘導される、というものです。
こちらもSMSを利用した手口です。警視庁や国税庁はなりすましとして常套ですので、十分に注意しましょう。
偽サイトに誤ってアクセスしてしまったら
偽サイトへアクセスしてしまったら、また、個人情報を入力してしまったら、次の対応を速やかに行ってください。
ID・パスワードの変更
もし、偽サイトでログイン情報を入力してしまった場合は、それらを可能な限り早急に変更しましょう。他のサイトやサービスで同じパスワードを使いまわしている場合、パスワードリスト攻撃に遭う可能性もありますので、そちらのログイン情報の変更も求められます。
クレジットカード会社・金融機関に連絡
クレジットカード情報や口座番号などを入力してしまった場合、早急にクレジットカード会社/金融機関に連絡し、利用停止申請をしましょう。
また、後日、不正利用されていないか利用明細の確認も必須です。海外での不正利用は明細への反映が送れることもあります。数か月間注意して確認することが求められます。
社内の報告先に報告
もし業務用のアカウントで偽サイトに引っかかってしまった場合、社内のルールに従って上長や適切な部署に報告しましょう。すでにインシデントではなくアクシデントですので、恥や外聞を気にしている場合ではありません。迅速な解決に向けて、適切な報告を心がけてください。
また、そうなったときのために事前に報告フローを確認しておくことも大切です。
顧客・取引先に連絡・事後対応
こちらも、業務用アカウントで引っかかった場合です。顧客や取引先になりすましメールが送信されるなどの二次被害に繋がっている可能性も大いにあります。顧客や取引先など、関係者には注意喚起や被害有無の確認をしましょう。会社のホームページやSNS上での注意喚起もしましょう。
偽サイトのURLは事前にチェックを
当たり前ですが、偽サイトのURLは本物のサイトのものとは異なります。
文字の相似性を利用したものや、メール文面での表示URLとリンク先が異なっているものなどはよくある例です。
その他にも、見分け方の章でお伝えしたようなURLの頭や末尾に不自然な箇所がある場合もあります。
少しでも「このサイト怪しいな」と思ったら、検索にかけてみる、ブックマークや閲覧履歴にある本物のサイトと見比べてみる、といったことをオススメします。
他にも悪意のあるリンクやファイルを含んだメールの事例をまとめた資料はこちら。
まとめ
偽サイトについて、その見分け方について解説しました。最近、不審なURLが記載されたメールやSMSを受信したことがある、という方はかなり多いと思いますが、今後もこうした偽サイトの魔の手は増え、かつ巧妙になっていくことが予想されます。
引っかかってしまわないように見分け方を心得て、厳重注意していきましょう。
