フィッシング詐欺とは?事例や不審なメールの見分け方、被害を防ぐ対処法を解説
近頃、クレジットカード会社を名乗るフィッシング詐欺によるカードの不正利用被害が増加しています。そこで、実際に三井住友カードをかたって送られたフィッシングメールやSMSの事例と、そこから分かる手口を解説します。
加えて、被害に遭わないためのポイントと、万が一被害に遭ってしまった時の対処法もご紹介します。トラブルに巻き込まれないように、ぜひチェックしてください。
INDEX
フィッシング詐欺の手口とは
フィッシング (Phishing) 詐欺とは、実在の銀行やクレジットカード会社、ショッピングサイトなどをかたって、ユーザーネーム、パスワード、アカウントID、暗証番号、クレジットカード番号や有効期限といった個人情報を聞き出す詐欺手口です。
クレジットカード会社などを装ったメールやSMSをユーザーに送りつけ、「情報確認のため」などと称して本物のサイトにそっくりな偽サイト(フィッシングサイト)に誘導。クレジットカード番号や有効期限、口座番号、ID・パスワードなどを入力するよう促して、入力された個人情報を盗み取ることが多いようです。
これらのフィッシングメールやSMSが増加しているのはコロナ禍によるネットショッピング利用者の増加が主な原因です。ネットショップ・ECサイトでの被害も増加しているため、くれぐれもご注意ください。
以下では、急増する国内フィッシングサイトの現状やフィッシング詐欺の手口を詳しく説明します。
国内のフィッシングサイトの現状
(出典):フィッシング対策協議会『フィッシングレポート 2022』内のグラフを参考に作図
- 別ウィンドウで「フィッシングレポート 2022」のPDFを開きます。
フィッシング対策協議会がまとめた「フィッシングレポート2022」によると、2021年度の国内フィッシングサイトのURL件数は7万件を超え、2018年度と比較すると約7倍に増加しています。
また、2021年のフィッシング詐欺の届出件数は、前年比約2.3倍となる52万6,504件。そのうちECサイトをかたるフィッシング詐欺が53.6%と最多となり、クレジットカード事業者を装うものが約35.2%のほか、保険会社を装うフィッシング詐欺も新たに確認されています。
フィッシング詐欺の主な4つの手口を見ていきましょう。
偽サイト(フィッシングサイト)への誘導
金融機関やECサイト、宅配業者などを装ったメールやSMSにより、フィッシングサイトへ誘導する手口です。フィッシングサイトは実在するウェブページを丸ごとコピーして作られたものが多く、偽物であると判断することがとても困難です。
近年では新型コロナに関する給付金をかたり、厚生労働省や地方自治体を装ったサイトへ誘導する事例も増えています。
クレジットカード番号や有効期限、口座番号の入力催促
クレジットカード会社や銀行からの「重要なお知らせ」と称したメールで本物そっくりの偽サイトへ誘導し、カード番号や有効期限、口座番号、暗証番号などを入力させて情報を盗み取るケースです。
「クレジットカードの有効期限が切れました」、「不正利用防止のため、クレジットカード情報を再登録してください」など、緊急性や不安を煽るメールで誘導する傾向があります。
ID・パスワード変更の催促
「不審なサインインが行われました。心当たりがない場合はパスワードをリセットしてください」などと書かれたフィッシングメールもよくある手口です。「24時間以内に変更しないとロックされます」と急かすケースも多く見られます。
メールに記載されるリンクをクリック(タップ)すると偽サイトに遷移し、IDやパスワードの変更を催促されます。入力すると、アカウントの乗っ取りやクレジットカードの不正利用などにつながってしまいます。
購入キャンセルの確認
ECサイトで商品を購入した際に送られる「購入確認メール」を装うフィッシングメールも手口のひとつです。受け取ったユーザーは身に覚えのない商品の購入確認に対して、メール内の「キャンセルはこちら」のリンクをクリック(タップ)してしまいます。遷移先の偽サイトではクレジットカード番号やパスワードなどの入力が促され、個人情報が盗み取られる被害が報告されています。
これらのメールを受信しても慌てることなく、安易にURLをクリック(タップ)しないようにしましょう。メールや入力先サイトが本物かどうか、本当に必要な手続きなのかどうかを必ず確認するようにしてください。
三井住友カードを装ったフィッシング詐欺事例4パターン
実際に三井住友カードをかたって送られた、フィッシング詐欺のメールやSMSの事例をご紹介します。こうしたメールが届いたらフィッシング詐欺かもしれないので、慌てず慎重に対応してください。
なお、以下にひとつでも該当がある場合は不審メールである可能性が高いです。リンクに進まず、メールを削除してください。
| 確認ポイント | 確認内容 |
|---|---|
| 送信元メールアドレスが正しくない | 三井住友カードからお送りするメールの送信元ドメインは以下になります。 contact.vpass.ne.jp、vpass.ne.jp、mail.vpass.ne.jp、smbc-card.com、prepaid.smbc-card.com、smbcgroup-point.jp、otp-auth.net |
| あて先のハンドルネームまたはカード名称の記載がない | ハンドルネームとは、三井住友カードウェブ上のニックネームです。 |
| 記載のURLとリンク先のURLが異なっている | URLが三井住友カードのウェブサイトと類似の偽物ではないことをご確認ください。また、メールに記載しているリンクが三井住友カードのものでも、実際のリンク先が異なる場合があります。
|
| 三井住友カードと無関係な他社の名称が記載されている | 三井住友カードからのメールには発行者が記載されています。 三井住友カードと酷似した名称などにご注意ください。 |
事例1:「緊急のご連絡」と題しID・パスワードの変更を促す
「【三井住友】カード株式会社からの緊急のご連絡」や「【重要】三井住友カード株式会社から緊急のご連絡」などの件名で、ID・パスワードの変更や、Vpassへのログイン、クレジットカード番号や有効期限の入力を促したりする詐欺事例が確認されています。メール内のリンクをクリック(タップ)しないようにしてください。
▼偽メール例1
▼偽メール例2
メール内のリンクをクリック(タップ)すると、以下の偽サイトが開きます。一見、正式な三井住友カードのサイトのように見えますが、偽サイトです。クレジットカード番号や有効期限のほか、ID・パスワード、その他個人情報などの入力を求められますが、決して入力しないようにしてください。
▼偽サイト例
事例2:「カードが第三者に利用される恐れがあります」という件名で、ID・パスワードの変更を促す
「【重要】お客さまの「三井住友銀行カード」が第三者に利用される恐れがあります。」などの件名で、ID・パスワードの変更を促す内容の詐欺事例が確認されています。
メール内のリンクをクリック(タップ)すると、Vpassのログイン画面に似せた偽サイトに誘導されます。
▼偽メール例
▼偽サイト
事例3:SMS・メールで「カードのご利用確認」への協力を促す
三井住友カードでは、お客さまのカードを不正利用被害から守るため、ご利用内容の確認をお願いするSMSもしくはメールを配信(※)しておりますが、そのSMSもしくはメールを利用した詐欺事例が確認されています。
▼偽メール例1
▼偽メール例2
- 三井住友カードが導入している「カード不正利用検知システム」により、不審な利用と思わしき取引を検知したタイミングでSMSもしくはメールを通してご利用の確認を行うものです。「カード不正利用検知システム」については以下の記事で詳しく解説しています。
三井住友カードが送付しているSMSにはご利用確認を行うためのURLを記載しておりますが、URLをクリック(タップ)した後のご利用の確認をするサイト内では、お客さまに個人情報の入力をお願いすることはありません。
【三井住友カードから配信するSMSとリンク先画面】
【三井住友カードから配信するメールとリンク先画面】
メール内容や偽サイトの見た目は、どんどん巧妙になっています。お問い合わせ先など、一部の情報のみ正しい情報となっているフィッシング詐欺も発生しています。上記以外のメールやSMSが来た時も、よくチェックし、基本的にメール内のリンクはクリック(タップ)しないようにしましょう。
番外編:ECサイトやサブスクリプションサービス、SNSアカウントを偽装してクレジットカード情報などを抜き取る
三井住友カードを名乗ったメールやSMS以外にも、ECサイトやサブスクリプションサービス、SNSアカウントを偽装してクレジットカード情報などを入力させ、結果的にお客さまのカード情報などが抜き取られている事例もあります。
特に、新型コロナウイルス拡大の影響でネットショッピングの需要が高まったことにより、偽ECサイトからクレジットカード情報などを抜き取る事例が増えています。フィッシング対策協議会における2022年8月のフィッシング報告によると、「クレジットカードの利用確認を装うフィッシング」の報告が全体の約32.4%、Amazon、三井住友銀行、ETC利用サービスをかたるフィッシングの報告を合わせると、全体の約71.3%を占めています。
具体的には、有名なECサイトを装い、「アカウント情報の更新をしなければサービスが利用できなくなる」などの内容のメールやSMSを送り、情報を入力させる手口があります。
また、SNS上の広告やダイレクトメッセージから情報を入力させる手口も確認されています。
・格安で商品を購入できることを謳った広告からECサイトへ誘導し、クレジットカード情報などを入力させる
・「懸賞に当選した」などの謳い文句でダイレクトメッセージを送り、クレジットカード情報などを入力させる
このようなケースは、フィッシング詐欺の可能性があります。
急増するフィッシングサイトからクレジットカード情報などを抜き取られないためにも、より一層の注意を払いながらクレジットカードを利用しましょう。
三井住友カードを装ったフィッシング詐欺事例については、以下のページも参考にしてください。
フィッシング詐欺の被害に遭わないための6つの対処法
三井住友カードがメールやSMSで、クレジットカード番号や有効期限、口座番号、IDやパスワードを確認することはありません。でも、こういうメールやSMSが届くと、不安になりますよね。
そこで、被害に遭わないために気をつけるべき6つのポイントをご紹介します。
差出人の「氏名」や「メールアドレス」をむやみに信用しない
メールやSMSの差出人の氏名やメールアドレスは偽装可能なため、届いたメールの差出人を見ただけでは、正規の連絡かフィッシング詐欺かは判断できません。一見心当たりのある差出人からの連絡でも、むやみに開封しないようにしましょう。
なお、三井住友カードから送られてくるSMS配信元の電話番号は、以下ホームページよりご確認ください。
件名に「緊急」「重要」などとあるメール・SMSを受け取っても、慌てて開かない
「緊急」「重要」などを強調して手続きを急がせるメール・SMSは、フィッシング詐欺である可能性があります。慌てて開いたり、情報を入力したりしないよう注意しましょう。
ハンドルネームを設定する
Vpassでハンドルネームを設定すると、三井住友カードからのメールにハンドルネームが表示されるようになるので、怪しいメールかどうか判別する手がかりになります。
また、必要な手続きをアプリから行うクセをつければ、フィッシング詐欺メールを受け取っても偽サイトに個人情報を入力してしまうことはありません。
メール・SMS内のリンクはクリック(タップ)しない
メールやSMS上のリンク(URL)も偽装できます。フィッシングサイトに誘導される危険がありますので、少しでも怪しいと思ったらリンクはクリック(タップ)しないでください。登録内容の確認や変更の手続きが必要な場合は、メール上のリンクからではなく、いつものルートからサイトを開きましょう。
以下のリンクをブックマークし、手続きを行う場合はそのブックマークからアクセスするか、Vpassアプリを使うのがおすすめです。
フィッシング対策協議会のサイトを比較参考にする
フィッシング対策協議会のサイトには、最新のフィッシング詐欺の緊急情報や事例が随時更新されています。
クレジットカード番号や有効期限などを入力するサイトの利用中に少しでも怪しさや違和感を覚えたら、こちらに似た事例の記載があるかどうか確認をとることも非常に有効な手段です。もし似た事例が載っていれば、それはフィッシング詐欺の可能性が高いため、クレジットカード情報の入力はしないよう気をつけてください。
以下のウェブサイトをブックマークすることをおすすめします。
- 別ウィンドウで「フィッシング対策協議会」のウェブサイトへ遷移します。
パソコンやモバイル端末を「安全」に保つ
ネットバンキングやネットショッピングを安全に利用するには、普段利用しているブラウザやパソコンのOSを、常にアップデートしておく必要があります。自動的にアップデートされるものがありますので、設定を確認し、自動アップデートに設定することをおすすめします。
また、フィッシング詐欺メール対策として、ウイルス対策ソフトを導入するのもおすすめです。万が一危険なサイトにアクセスしたり、怪しいメールを受け取った時には、警告が表示されたりブロックしてくれたりするので安心です。
三井住友カードとしての対策
フィッシング詐欺対策として、三井住友カードは以下の取り組みを行っています。
送信ドメイン認証の導入
三井住友カードでは、お客さまがメールを受信する際に、それが正規の送信元から送られたメールであるか否かを確かめるしくみである「送信ドメイン認証」の導入を行っております。
「送信ドメイン認証」には大きく3種類の認証方法が存在します。三井住友カードでは各認証方法を導入するとともに、それらを組み合わせることで、お客さまの大切な情報が詐取されないよう対策を講じております。
それぞれの「送信ドメイン認証」について詳しくは以下をご確認ください。
NTTドコモメールに公式アカウントマークを表示
三井住友カードでは、株式会社NTTドコモが提供するフィッシング詐欺対策の機能を導入しております。
これにより、三井住友カードからドコモメール(@docomo.ne.jp)あてにメールを送信した場合、ドコモメール上で「公式アカウントマーク」が表示される仕様となっております。
- 別ウィンドウで「NTTドコモ」のウェブサイトへ遷移します。
利用制限・利用通知サービスを活用して少しでも早く被害に気付こう
以上の気をつけるべきポイントを意識しても、日々精巧な偽メールやサイトは拡散され、巧妙にクレジットカード情報などを入力させ、情報を盗み取ろうとしますが、三井住友カードの利用制限サービス・オートロックサービスを登録することで、不正利用を未然に防ぐことができます。
また、ご利用代金明細書や、ご利用通知サービスを確認することで、不審な取引の早期発見が可能です。偽サイトやメールに引っかからない根本的な解決にはなりませんが、不正利用を未然に防いだり、早期に不審な動きに気付いたりすることができます。三井住友カードをご利用中の方は、ぜひ当該サービスをご利用ください。
個人情報を盗られてしまったかも!? と思った時にやるべきこと
フィッシング詐欺の被害を受けたことに気付くタイミングには、下記が挙げられます。
- 身に覚えのない取引通知メールが届いた
- 身に覚えのない取引がクレジットカードの利用明細や銀行の通帳に記載されている
- 正しいID・パスワードを入力したがエラーになった
- 普段と違うタイミングで確認番号表(乱数表)の入力が求められた
- ログインした後にトップページに移動するなど、情報を入力した後に、いつもと違う挙動が見られた
上記のような場合や、万が一不審なサイトで個人情報を入力してしまった場合には、すみやかにカードの利用停止手続きを行ってください。Vpassアプリからは、「メニュー」>「サポート」>「カード紛失のお問い合わせ」と進むと手続きページにアクセスできます。オンライン、お電話での手続きは以下ホームページでご確認ください。
VpassIDやパスワードを入力してしまった場合は、併せてVpassID、パスワードの変更も行いましょう。Vpassアプリのメニューから「各種変更手続き」>「VpassID、パスワード、メールアドレスなどの照会・変更」と進むと手続きできます。
ウェブから手続きする場合は、以下ホームページより行ってください。
最も重要なのは「慌てないこと」
フィッシング詐欺の手口は日々巧妙化しています。今回紹介した事例がすべてではないので、少しでも怪しいと思ったらメール・SMSに記載されているリンクはクリック(タップ)せず、いつものルート(ブックマークもしくはVpassアプリ)から手続きすることを徹底しましょう。
メールの被害者になりやすい心理として、「メールに“緊急” “第三者に利用された恐れ”などの文字があると慌ててしまい、よく確かめずに個人情報を入力してしまう」ということがあります。被害に遭わないためには、とにかく「慌てないこと」が大切です。
また、不正利用が疑われる場合は、すみやかに三井住友カードに届け出ましょう。調査によって不正利用が判明した場合でも、「カード会員保障制度」の対象となるので安心です。特別なケースを除き、届け出日の60日前から損害額がてん補されます。
安全・快適にカードライフを楽しんでくださいね。
- Amazonは、Amazon.com, Inc.またはその関連会社の商標です。
- 本記事は、公開日時点での情報です。
この記事が気に入ったら
いいね!
Share
監修者:橋爪兼続
情報処理安全確保支援士 (第000049号) 。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。