URLリンクへのアクセスに注意

IPA情報セキュリティ安心相談窓口には日々様々な相談が寄せられています。中でも、偽サイトや不審サイトにアクセスして、大事な情報をサイトに入力した、不審なアプリをサイトからインストールした、という相談が多く寄せられています。

そのような偽サイトや不審サイトへの誘導方法としては、メールやSMSを不特定多数にばらまく手法が従来からの代表的な手口です。しかし、最近では、それ以外の方法により偽サイトや不審サイトへ誘導する手口に関する相談も増えてきています。

そして、それらどの手口においても、基本的にはURLリンクをクリック（脚注1）することで被害につながります。
また、URLリンクは画像等に仕込まれている場合があります。

そこで今回の「安心相談窓口だより」では、現在確認できている「URLリンクをクリックさせて偽サイト等に誘導する」主な手口の説明と、被害にあわないための対策について解説を行います。
(脚注1)スマートフォンの場合、「クリック」のことを一般的に「タップ」といいます。

1．主な手口事例

1-1. メール

様々なサービスや事業者を装ったフィッシングメールとフィッシングサイト（偽サイト）に関する相談が寄せられています。特にAmazonや三井住友カードを装ったフィッシング手口に関する相談が多くなっています。

フィッシングメール内のURL（もしくはURLが仕込まれている画像）をクリックすると偽サイトに誘導されます。そして誘導された偽サイトで様々な個人情報を入力すると被害の発生につながります。

• (脚注2) フィッシング対策協議会「Amazon をかたるフィッシング (2020/05/29)」

1-2. SMS

SMSでフィッシングメールを送る手口の相談も多く寄せられています。特に宅配業者をかたる不在通知の偽SMSに関する相談が非常に多く寄せられています。またAmazonをかたる偽SMSに関する相談も多く寄せられています。

これらの偽SMS内のURLをタップすると偽サイトに誘導されます。そして誘導された偽サイトで様々な個人情報を入力したり、不審なアプリをインストールしたりすると被害の発生につながります。

1-3. スマートフォンの機能・アプリ

「iPhoneのカレンダーに入ってしまった不審なイベントに記載されているURLをタップした」という相談が多く寄せられています。

iPhoneのカレンダーのイベント内にあるURLをタップすると不審サイトに誘導されます。そして誘導された不審サイトで様々な個人情報を入力したり、不審なアプリをインストールしたりすると被害の発生につながります。

1-4. SNS

「Facebookのメッセンジャーで不審なメッセージが送られてきた」という相談が寄せられています。

不審なメッセージ（URLが仕込まれている）をタップするとFacebookの偽サイトに誘導されます。そして誘導された偽サイトで様々な個人情報を入力すると被害の発生につながります。
また、この手口の場合、Facebook上の友達がアカウントを乗っ取られてメッセージが送られてきます。そのため、友達からのメッセージであっても注意する必要があります。

1-5. ブラウザの通知機能

パソコンやスマートフォンを利用中に、「＜コンピュータが危険にさらされている＞、＜携帯をクリーンアップしてください＞などの通知画面が繰り返し表示される」という相談が寄せられています。

不審な通知画面（URLが仕込まれている）をクリックすると、不審サイトにつながり、不審なセキュリティソフト・アプリの購入などに誘導されます。

2．対策

URLリンクは非常に便利な仕組みです。一方で便利であるがゆえに、だましの手口に悪用されているという事実があります。そして、攻撃者は様々な手口で不審URLリンクを送りつけてきますが、残念ながら送られてくることを完全に防ぐ方法はありません。

どの手口においても、自分が要求していない場面で突然URLリンクが送られてきて、それをクリックすることで、被害の発生につながります。したがって、そのような突然送られてくるURLリンクは基本的にクリックをしないというのが、最も有効な対策になると考えます。

また、図2、図5、図6の様に、URLリンクは画像等に仕込まれている場合もありますので、文字列だけではなく、画像等もクリック／タップしない様に十分な注意が必要です。