OCN -Open Computer Network-

OCN セキュリティ対策(個人・中小企業のお客さま)

 

セキュリティコラム

 
だまされないための心得 今、気を付けるべきネット詐欺の事例と対処法
 
[ 2019/08/29 ]
だまされないための心得 今、気を付けるべきネット詐欺の事例と対処法

ネット詐欺が一向に衰える気配を見せません。偽の通知やメッセージからフィッシングサイトに誘導する手口は日々巧妙化しています。ネット詐欺に引っかからないための3つの自衛策と、詐欺サイトに遭遇してしまったかもと感じたときの対処法を紹介します。

偽のメッセージから詐欺サイトへ誘導

パソコンやスマホに「荷物を持ち帰りました」「電話料金が高額になっています」「パソコンがウイルスに感染しています」「入会登録完了。料金を支払ってください」「当選しました」などのメッセージが表示されたことはありませんか。そのほとんどはデタラメであり、ネット利用者の不安や心の隙を突くことで金銭の支払いや情報の入力に応じさせるのが狙いです。

こうしたネット詐欺の主な誘導口となっているのは、偽装SMS(ショートメッセージサービス)や詐欺メール、サイバー犯罪者が出稿した不正なネット広告、サイバー犯罪者によって改ざんされたWebサイトです。中でも不正広告はアダルトサイトや動画投稿サイトだけでなく、正規サイトに投稿されることもあり、「怪しげなWebサイトを訪れなければ安全」というイメージはもはや過去のものになっています。ネット詐欺の代表的な手口を見ていきましょう。

偽の警告に注意

「ウイルスが見つかった」「システム破損」などの偽のセキュリティ警告メッセージを表示するパターンは、サポート詐欺(Tech Support Scam:テクサポ詐欺)や偽警告でよく見られます。サポート詐欺は、偽のサポートセンターへ電話するよう仕向け、実体のない有償のサポート契約を結ばせることでネット利用者から金銭や情報をだまし取る手口です。契約の手続きに入ってしまえば、サポート料の名目で金銭をだまし取られるだけでなく、名前やメールアドレス、電話番号、クレジットカードなどの情報も入力、送信させられます。一方、偽警告はシステム修復やウイルス除去の名目でソフトウェアのダウンロードを促し、迷惑ソフトをインストールさせようとします。これは、迷惑ソフトのアフィリエイト収入が主な目的と考えられます。

図:偽警告によってインストールを促す手口の一例

架空請求に注意

主にアダルトサイト上の広告や画像を開くと「入会登録が完了しました」といったメッセージが表示され、高額なサービス使用料を請求されることもあります。これは、広告や画像を開いてしまったネット利用者の後ろめたさにつけ込み、金銭をだまし取る典型的なワンクリック詐欺です。中には、パソコンのIPアドレスやOS、Webブラウザのバージョンなどを請求画面に表示し、あたかも個人を特定したかのように見せかけたり、「期限内に料金を支払わないと訴訟の手続きをとる」などの文言でネット利用者の不安をあおったりするパターンもあります。

一方、スマホをターゲットとするワンクリック詐欺サイトでは、音楽ファイルによってカメラのシャッター音を鳴らし、まるで相手に写真を撮られたかのように思わせたり、端末の個体識別番号やOSのバージョン、Webブラウザの種類、IPアドレスなどを請求画面に表示し、あたかも個人を特定したかのように錯覚させたりする手口があります。個体識別番号は端末を識別するための番号であるため、その情報だけで個人を特定することはできません。これらはネット利用者にプレッシャーをかける演出に過ぎないのです。

偽装SMSや詐欺メールに注意

スマホの電話番号だけで短いテキストをやり取りできるSMSは、便利な反面サイバー犯罪への悪用が拡大しています。主な手口では、大手企業を騙って偽のメッセージを送り付け、不正なURLリンクや電話番号に誘導します。
不正なURLリンクの誘導先を、利用者の端末のOSごとに切り替える手口も確認されており、Android端末利用者のみならず、iPhone利用者も注意が必要です。誘導先では不正アプリや不正プロファイルをダウンロードさせようとしたり、フィッシングサイトで認証情報(IDやパスワード)を詐取しようとしたりします。

図:不在通知を装った偽装SMSの一例

また、国際SMS(海外の事業者を経由したSMS)において電話番号の代わりに差出人名を設定できるといった特徴を悪用する手口にも注意が必要です。SMSでは同じ差出人名のメッセージが同一のスレッド(メッセージが表示される画面)内に表示されるため、正規のメッセージと同じ差出人名の偽装SMSも同一スレッド内に並んでしまいます。このため、受信者は偽装SMSを正規のメッセージと誤認してしまう危険があります。

図:正規の通知と同じスレッド内に表示された偽装SMSの一例

他には、携帯電話事業者を装う偽のメールで「クーポンをプレゼント」などと呼びかけ、URLリンクを開かせることでフィッシングサイトへ誘導する手口も確認されています。そこで入力した情報はサイバー犯罪者の手に渡ってしまうため注意が必要です。

図:偽クーポンメールの一例

キャリア決済の不正利用に注意

スマホ利用者を標的とした攻撃の1つに、キャリア決済を狙う手口が確認されています。具体的には、携帯電話事業者をかたる偽装SMSや偽メールを介してスマホ利用者を不正サイトに誘導し、IDやパスワードに加え、ワンタイムパスワードも詐取することで二要素認証を突破しようとするものです。万一キャリア決済を不正利用された場合、ネットショップなどにおいて利用限度額の上限まで買い物されてしまうなど、多額の金銭被害に遭う可能性があります。
2019年8月27日現在のところキャリア決済にはクレジットカード決済のような不正利用による損害保証が整備されていないこともあり、被害を受けた利用者の負担は大きなものとなる可能性がありますので注意が必要です。(補足:2019年8月28日より不正利用による損害の補償制度を導入したキャリアもあります)

図:二要素認証情報を詐取するフィッシングサイトの一例

旬の話題や多くの人が関心を寄せる話題に注意

不特定多数を標的としたネット詐欺では、より多くのネット利用者をだますために、旬の話題や多くの人が関心を寄せる話題を悪用します。
たとえば、世界的なスポーツイベントや大規模災害に便乗したり、有名人を騙ったりした詐欺手口による被害は継続的に報道されています。人気チケットの当選、義援金の案内、有名人からの突然のメッセージは詐欺を疑い、内容を鵜呑みにしないように注意しましょう。

ネット詐欺に引っかからないための3つの自衛策

1.メールやSMS、SNSのURLリンク、ネット広告を安易に開かない

たとえ、実在する企業やよく知った相手が差出人でも、何らかの理由をつけてURLリンクやダウンロードページに誘導したり、電話をかけさせようとしたりする通知は、あなたをだますためにサイバー犯罪者が送りつけたものかもしれません。TwitterやFacebook、YouTubeなどのSNSではセキュリティ対策製品やオフィス機器などの問合せ窓口のフリをして「技術的な悩みを解決する」といった文言とURLリンクを投稿し、そこからサポート詐欺サイトへ誘導する手口も確認されています。たとえ、正規のWebサイトに表示された広告でも不用意にクリックしてはいけません。

2.OSやアプリ、セキュリティソフトを常に最新の状態にして利用する

サイバー犯罪者はOSやアプリの脆弱性を悪用することがあります。脆弱性を放置しないためにもOSやアプリは最新の状態を保ちましょう。また、セキュリティソフトやアプリは、ネット詐欺被害の発端となる偽のメッセージや、不正サイトへのアクセスを未然に防いでくれる場合があります。最新の脅威に対抗するため、セキュリティソフトやアプリは最新の状態に保ちましょう。

3.ネット詐欺の手口を知る

ネット詐欺の手口は日々巧妙化しています。普段からセキュリティ関連団体などが発表する注意喚起情報に目を通し、ネット詐欺の手口や狙いを知ることでだまされるリスクを軽減できます。注意喚起情報発信用の公式SNSアカウントをフォローし、セキュリティ情報を自動的に入手できるようにしておくのがおすすめです。

詐欺サイトに遭遇したときの対処法

詐欺サイトに遭遇してしまったかもと感じたら、「×」ボタンを押してタブを閉じ、無視するのが鉄則です。サポート詐欺や偽警告、ワンクリック詐欺も、指定された電話番号への連絡や情報の入力、金銭の支払いをしなければ、さらなる被害に遭うリスクを最小限に留めることが出来るでしょう。

Webブラウザのタブを閉じる

パソコンではWebブラウザのタブの横にある「×」ボタンを押すことで対象のタブを閉じられます。スマホのWebブラウザのタブを閉じる手順は以下です。

Androidの場合:Webブラウザの右上にある「四角に数字が入っている」ボタンを押すと、タブの一覧画面が表示されます。右上の「×」ボタンを押せば対象のタブを閉じられます。
iPhoneの場合:Webブラウザの右下にある「四角が重なっている」ボタンを押すと、タブの一覧画面が表示されます。左上の「×」ボタンを押せば対象のタブを閉じられます。

ただ、パソコンで詐欺サイトに遭遇すると、「×」ボタンを押しても一向にタブを閉じられなくなったり、何度閉じてもしつこくポップアップが表示されたりすることがあります。この場合も慌てることなく、いくつかの方法を試せば問題を解決できることがあります。

Webブラウザを強制終了させる

Windowsの場合:「Ctrl」+「Alt」+「Delete」キーを同時に押してタスクマネージャーを起動し、Webブラウザを強制終了させましょう。

Macの場合:「Command」+「Option(Alt)」+「Esc」キーを同時に押してアクティビティモニタを起動し、Webブラウザを強制終了させましょう。

前回終了時に開いていたページを次回の起動時に自動で復元するWebブラウザの機能を無効にし、端末を再起動する

Chromeの場合:右上のメニューボタンを押し、「設定」に進みます。設定画面の最下端にスクロールし、「起動時」枠で「新しいタブページを開く」にチェックを入れましょう。

Safariの場合:上部の「Safari」から「環境設定」に進み、「一般」タブをクリックします。「Safariの起動時」枠で「新規ウインドウ」を選択しましょう。

Microsoft Edgeの場合:右上のメニューボタンを押し、「設定」に進みます。左の「全般」を選択し、「Microsoft Edgeの起動時に開くページ」枠で「スタートページ」を選択しましょう。

Webブラウザのキャッシュを削除し、端末を再起動する

Chromeの場合:右上のメニューボタンを押し、「設定」に進みます。設定画面の最下端にスクロールして「詳細設定」を押し、「プライバシーとセキュリティ」枠の「閲覧履歴データの削除」に進みます。「キャッシュされた画像とファイル」にチェックを入れ、「データを削除」をクリックしましょう。

Safariの場合:上部の「Safari」から「環境設定」に進み、「詳細」タブをクリックします。「メニューバーに“開発”メニューを表示」にチェックを入れ、メニューバーに追加された「開発」から「キャッシュを空にする」をクリックしましょう。

Microsoft Edgeの場合:右上のメニューボタンから「設定」に進みます。左の「プライバシーとセキュリティ」から「クリアするデータの選択」に進み、「キャッシュされたデータとファイル」にチェックを入れて「クリア」ボタンを押しましょう。

詐欺サイトを無事閉じられた場合も、念のため、ご利用のセキュリティソフトやアプリを最新の状態にした上でフルスキャンを行ってください。不安な場合は、警察庁や国民生活センターの相談窓口、ご利用のセキュリティソフトのサポート窓口に連絡し、対処方法を確認しましょう。

警察庁 インターネット安全・安心相談 ※具体的な相談は都道府県警察の窓口へ
https://www.npa.go.jp/cybersafety/

独立行政法人 国民生活センター
http://www.kokusen.go.jp/ncac_index.html

コンテンツ提供: トレンドマイクロ「is702」

Copyright © 2019 Trend Micro Incorporated. All rights reserved.

目的からサービスを探す
「ぴったりナビ」

おすすめセキュリティ製品

OCNの総合セキュリティサービス

ウイルス対策から
パスワード安全管理まで

迷惑メールフィルターが
Webメールにも対応

特集

その他のお取り扱い製品

Internet SagiWall for マルチデバイス

FFRI yarai Home and Business Edition


OCNセキュリティトップ

OCNの総合セキュリティサービス

ウイルス対策から
パスワード安全管理まで

迷惑メールフィルターが
Webメールにも対応

特集

目的からサービスを探す
「ぴったりナビ」

おすすめセキュリティ製品

OCNの総合セキュリティサービス

製品ピックアップ

特集

このページのトップへ