情報セキュリティ
公開日:2021年8月31日
独立行政法人情報処理推進機構
セキュリティセンター
URLリンクへのアクセスに注意!
ー 主な手口と、被害にあわないための対策について ー
IPA情報セキュリティ安心相談窓口には日々様々な相談が寄せられています。中でも、偽サイトや不審サイトにアクセスして、大事な情報をサイトに入力した、不審なアプリをサイトからインストールした、という相談が多く寄せられています。
そのような偽サイトや不審サイトへの誘導方法としては、メールやSMSを不特定多数にばらまく手法が従来からの代表的な手口です。しかし、最近では、それ以外の方法により偽サイトや不審サイトへ誘導する手口に関する相談も増えてきています。
そして、それらどの手口においても、基本的にはURLリンクをクリック(脚注1)することで被害につながります。
また、URLリンクは画像等に仕込まれている場合があります。
そこで今回の「安心相談窓口だより」では、現在確認できている「URLリンクをクリックさせて偽サイト等に誘導する」主な手口の説明と、被害にあわないための対策について解説を行います。
(脚注1)スマートフォンの場合、「クリック」のことを一般的に「タップ」といいます。
様々なサービスや事業者を装ったフィッシングメールとフィッシングサイト(偽サイト)に関する相談が寄せられています。特にAmazonや三井住友カードを装ったフィッシング手口に関する相談が多くなっています。
フィッシングメール内のURL(もしくはURLが仕込まれている画像)をクリックすると偽サイトに誘導されます。そして誘導された偽サイトで様々な個人情報を入力すると被害の発生につながります。
SMSでフィッシングメールを送る手口の相談も多く寄せられています。特に宅配業者をかたる不在通知の偽SMSに関する相談が非常に多く寄せられています。またAmazonをかたる偽SMSに関する相談も多く寄せられています。
これらの偽SMS内のURLをタップすると偽サイトに誘導されます。そして誘導された偽サイトで様々な個人情報を入力したり、不審なアプリをインストールしたりすると被害の発生につながります。
安心相談窓口だより
「iPhoneのカレンダーに入ってしまった不審なイベントに記載されているURLをタップした」という相談が多く寄せられています。
iPhoneのカレンダーのイベント内にあるURLをタップすると不審サイトに誘導されます。そして誘導された不審サイトで様々な個人情報を入力したり、不審なアプリをインストールしたりすると被害の発生につながります。
安心相談窓口だより
「Facebookのメッセンジャーで不審なメッセージが送られてきた」という相談が寄せられています。
不審なメッセージ(URLが仕込まれている)をタップするとFacebookの偽サイトに誘導されます。そして誘導された偽サイトで様々な個人情報を入力すると被害の発生につながります。
また、この手口の場合、Facebook上の友達がアカウントを乗っ取られてメッセージが送られてきます。そのため、友達からのメッセージであっても注意する必要があります。
安心相談窓口だより
パソコンやスマートフォンを利用中に、「<コンピュータが危険にさらされている>、<携帯をクリーンアップしてください>などの通知画面が繰り返し表示される」という相談が寄せられています。
不審な通知画面(URLが仕込まれている)をクリックすると、不審サイトにつながり、不審なセキュリティソフト・アプリの購入などに誘導されます。
安心相談窓口だより
URLリンクは非常に便利な仕組みです。一方で便利であるがゆえに、だましの手口に悪用されているという事実があります。そして、攻撃者は様々な手口で不審URLリンクを送りつけてきますが、残念ながら送られてくることを完全に防ぐ方法はありません。
どの手口においても、自分が要求していない場面で突然URLリンクが送られてきて、それをクリックすることで、被害の発生につながります。したがって、そのような突然送られてくるURLリンクは基本的にクリックをしないというのが、最も有効な対策になると考えます。
また、図2、図5、図6の様に、URLリンクは画像等に仕込まれている場合もありますので、文字列だけではなく、画像等もクリック/タップしない様に十分な注意が必要です。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2021年8月31日
掲載