フィッシング詐欺はどうやって防げば良いのか？

　「フィッシング詐欺」とは、偽のメールや偽のサイトを利用したサイバー犯罪です。有名な企業や通販サイトを騙ったメールでユーザーを偽サイトに誘導し、IDやパスワード、クレジットカード番号などの個人情報を入力させ、データを盗み取る詐欺のことを指します。

　フィッシング詐欺の被害抑制を目的とした組織「フィッシング対策協議会」の調べによると、2023年に同組織に寄せられたフィッシングの報告件数は合計119万6390件で、これは2022年の96万8832件よりも20万件以上高い数値です（数値は海外含む）。

　金融庁の調査によると、最近は特にインターネットバンキングの利用者のID・パスワードがフィッシングによって盗まれ、預金が不正に送金される手口が多発。2023年の被害件数は5,147件で、被害額は約80.1億円に及んでいます。この数値は11月末時点のものですが、いずれも過去最多を更新しているといいます。

　なおフィッシング詐欺の「フィッシング（Phishing）」とは、「釣り（Fishing）」と「Sophisticated（洗練された）」を組み合わせた造語であると言われています（総務省のサイトより）。

　フィッシング詐欺の手口は、基本的にはユーザーに個人情報を入力させる「フィッシングサイト（偽サイト）」と、フィッシングサイトへユーザーを誘導する「フィッシングメール（なりすましメール）」がセットとなっています。

　多くのフィッシングメールには、タイトルや本文に「重要なお知らせ」「あなたのアカウントに不正アクセスがありました」といった、クレジットカード会社や銀行からの通知メールを装い、フィッシングサイトへのURLが記載されているケースが多く見られます。

　Eメールのフィッシングメールの場合、送信元のアドレスをよく確認すると、アドレスがデタラメな表記であることが多く、なりすましであることは比較的判別しやすいです。しかし、携帯電話の番号だけでメールが送れるSMS（ショートメールサービス）のフィッシングメールの場合、偽物か否かを見分けるのは困難です。こうしたSMSを活用したフィッシング詐欺は「スミッシング」と呼ばれます。

　フィッシングメール内のURLを誤ってクリックすると、フィッシングサイトへ遷移します。たとえフィッシングサイトを訪問したとしても、基本的にはIDやパスワードなどを入力しない限り、大きな問題はありません。すぐにブラウザを閉じれば、個人情報が盗み取られる可能性は低いです。

　ただし、フィッシングサイトは本物のサイトをそのままコピーしたものが多いため、場合によっては本物のサイトと勘違いすることも十分に考えられます。ここでフィッシングサイトに個人情報を入力してしまうと、その情報は悪意のある第三者の手の元へ渡り、悪用される恐れがあります。

　フィッシング詐欺に引っかからないためには、どうすれば良いのでしょうか？

　警視庁では対策として、電子メールやSMS内のリンクはクリックしないこと、通信会社が提供するセキュリティ設定を活用し、フィッシングメールが届かないようにすること、たとえID・パスワードが流出しても被害が広がらないよう、サイトごとに異なるID・パスワードを使用することを挙げています。

　さらに企業側に対しても、自社のサイトのドメインが悪用されないよう、メール送信者のドメインが正しいものかどうかを検証する「送信ドメイン認証技術」を導入することを推奨しています。この技術を導入することで、メール受信者は正規の送信者から送られたメールなのか否かが判定できるため、フィッシングメールの被害を未然に防ぐことが可能になります。

　送信ドメイン認証技術にはさまざまな種類がありますが、特に「DMARC（ディーマーク）」という技術を導入することで、フィッシングメールを迷惑メールフォルダに隔離したり、そもそもメールボックスにフィッシングメールを到達させないことも可能になります。

　フィッシングサイトと本物のサイトを見分けるのは、簡単なことではありませんが、そもそもフィッシングメールを開封せず、フィッシングサイトへ通じるリンクをクリックしなければ、フィッシング詐欺の被害に遭う恐れはありません。相手側の手口を理解し、それを防ぐ方法を知っておくことが、フィッシング詐欺に引っかからないためには重要な要素といえるでしょう。