top of page
検索

なりすまし詐欺から身を守るためのヒント!

 年末の買い物シーズンを迎えるにあたり、なりすまし詐欺から身を守るためのヒントをご紹介します。なりすまし詐欺とは、詐欺師が信頼できる企業になりすまして接触し、個人情報や金融情報、Amazon アカウントの詳細などの機密情報を入手しようとする手口です。

ree

なりすまし詐欺とは︖

 【 代表的な手口 】

・メール/ SMS(フィッシング・スミッシング)􀀀銀行や宅配、Apple/Google、Amazon、行政機関を装い、偽サイトへ誘導してID・パスワードやカード情報を入力させる。


・電話(ビッシング/特殊詐欺)􀀀サポート窓口・警察・家族・会社の上司を名乗り、急ぎの振込やギフト券購入、認証コードの口頭伝達を求める。


・ビジネスメール詐欺(BEC / CEO 詐欺)􀀀取引先や社長のふりをして請求書の振込先を変更させる、支払いを「至急」指示する。


・アカウント乗っ取り型􀀀LINE・Facebook・メールを乗っ取り、知人からの頼みごとに見せかけて金銭やコードを要求。


・偽サポート/遠隔操作􀀀画面に「ウイルス感染」等の警告を出し、電話させて遠隔操作ツールを入れさせる。


・ドメイン/表示名の” そっくり”􀀀hanja.co.jp → hanja-c0.jp のように似た文字列や差出人表示名で信じ込ませる。


・請求書PDF 改ざん︓取引先を装い、PDF 内の振込先だけ差し替え。


・MFA 疲労(プッシュ爆撃)︓短時間に何十件も認証リクエストを送り、うっかり「承認」させる。


・QR コード詐欺(QRishing)︓レストランの卓上メニューやポスターのQR を差し替え、偽サイトへ。


・広告/ 検索ハイジャック︓Google 等の広告枠から「正規そっくり」サイトへ飛ばす。


見抜くポイント(現場チェックリスト)

・差出人のドメインが本物と一致しているか、返信先が不自然でないか

・外部送信者タグ([ 外部] など)や日本語の不自然さ/機械翻訳

・リンクの実URL(マウスオーバー)と表示が一致しているか、短縮URL で隠していないか

・至急・内密・今日中など、急がせる文面

・認証コード(MFA)やパスワードの共有要求は原則あり得ない

・口座変更や高額支払いは別経路でコールバック確認(既知の電話番号で)


予防策(個人・組織)

・ ** 二要素認証(MFA)** の徹底、使い回しパスワード禁止・パスワード管理ツール利用

・メールはSPF/DKIM/DMARC でなりすまし対策、外部警告ラベルを表示

・支払い・口座変更の二重承認/コールバック手順を社内規程化

・フィッシング訓練と短い通報動線(迷ったら forward: security@…)

・端末のOS/ ブラウザ更新、不要な拡張機能と管理者権限の排除

・公開情報(役職・出張予定・担当者名)を過度に晒さない


被害が疑われる時の初動

1.ネットワーク遮断 or ログアウト、パスワードとMFA 再設定

2.直近の支払い停止・銀行へ連絡、取引先へ正規ルートで注意喚起

3.端末のマルウェアスキャン、遠隔操作ツールの有無確認

4.会社なら情シス/管理者に即報告、証跡(メール原文・ヘッダ・URL)保存


今日からすぐ使える“実戦ヒント” をギュッとまとめてみました!

超即効ワザ(60秒でできる)

・「別経路で折り返す」︓支払い・口座変更・認証コード要求→メールには返信せず、登録済みの電話番号に自分から発信。

・リンクは必ず“指さし確認”︓クリック前にマウスオーバーで実URL を見る。https /正しいドメインかだけ確認。

・ MFA はプッシュ拒否→TOTP/ 物理キー︓プッシュ爆撃が来たら全部拒否。TOTP(認証アプリ)か物理キーに切替。

・認証コードは“絶対に口頭共有しない”︓サポート・上司・家族でもNG。


日常ルーティン(毎日 30秒)

・迷ったら5 分ルール︓すぐに決めず5 分置く→別経路で確認。

・ ** 差出人の“返信先” ** を開いてチェック(表示名で判断しない)。

・添付は一旦保存して開く(プレビューでマクロ実行を防ぐ)。


お金・支払い時の鉄板

・口座変更=必ずコールバック(旧来の電話番号で)。メール返信・チャット返信は禁止。

・二重承認︓一定額以上は2 人以上の承認が揃うまで送金しない。

・冷却期間︓新口座は1 営業日寝かせる(その間は旧口座のみ支払い可)。


SNS /メッセージの身の守り方

・知人からの「ギフト券買って」等→一旦既知番号へ電話。DM・LINE だけで完結させない。

・ QR コードは現物が改ざんされていないか見る(上からシールを重ねてない︖)。

・公開プロフィールに役職・出張予定・担当者名を過度に出さない(BEC 対策)。


スマホ設定(個人でも会社でも)

・生体認証+画面ロックを最短タイムアウトで。

・ SIM スワップ対策︓キャリアの番号保護ロック(利用可能なら有効化)。

・不明プロファイル/ 証明書/MDM は削除。アプリの通知権限を最小限に。


メールの安全設定(超実用)

・受信箱に外部ラベル(例︓[ 外部])を付けるルールを設定。

・“類似ドメイン警告” ルール︓hanja.co.jp に似たhanja-c0.jp などを強調表示。

・請求・支払い系は自動で「高リスク」ラベル付与(件名に「至急/口座変更/監査」など)。


電話が来た時の “即席スクリプト”

「ありがとうございます。社内規程で口頭では承れません。私から登録済み番号へ折り返しますので、そこで手続きします。」


家族・社内の “合言葉” 運用

・緊急送金やコード要求は、あらかじめ決めた合言葉が言えた時だけ対応。

 例)季節+好きな食べ物=「秋サーターアンダギー」


もし踏んだかも︖(3ステップ)

通信遮断/ログアウト → 2) パスワード&MFA 再発行(他サービスも) → 3) 金融機関・社内へ即連絡+証拠保存(原文メール、URL、通話記録)。

bottom of page