ITサポート:DAY43|フィッシング詐欺

🐥 カイピヨくんと学ぶ ITサポート独学
DAY43|フィッシング詐欺
― 実例で学ぶ ―
通勤中、家事をしながら、フィッシング詐欺の手口を音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY43は「だまされる理由が分かる日」
ITサポートに届く相談で、近年ダントツに多いのがこれです。
- 「このメール、本物ですか?」
- 「ログインしたら変な画面になって…」
- 「SMSのリンクを押しました…」
そして、ほぼ必ず出る言葉👇
DAY43では、
なぜだまされるのか/どう見抜くのかを
実際によくある手口で学びます。
「フィッシングは」
"ITの問題"じゃなく
"心理の問題"ピヨ!🐥💙
第1章|結論:フィッシング詐欺とは?
まず結論です。
"本物を装って
IDやパスワードを盗む詐欺"
何を狙う?
📊 フィッシング詐欺の被害実態
フィッシング詐欺の急増:Anti-Phishing Working Group(APWG)の報告では、2024年のフィッシング攻撃は月平均約132万件(前年比+27%)。日本国内でも、フィッシング対策協議会に報告された件数は年間約120万件(2024年、前年比+35%)。過去最多を更新し続けています。
被害額と範囲:警察庁「令和5年におけるサイバー犯罪の検挙状況等」では、フィッシングサイトによる不正送金被害額は約80億円(前年比+52%)。1件あたり平均被害額は約85万円。単なる情報漏洩だけでなく、即座に金銭被害に繋がります。
ターゲット:フィッシング詐欺の標的業種トップ3は、①金融機関(銀行、クレカ)42.3%、②EC・決済サービス(Amazon、楽天)28.5%、③配送業者(宅配便)15.8%。誰もが日常的に使うサービスを装うため、全員が標的になります。
第2章|フィッシングは「マルウェアじゃない」
マルウェア(DAY42)
- プログラムで侵入
- 技術的攻撃
- 自動実行
フィッシング
- 人をだます
- 心理的攻撃
- 自分で入力させる
📊 フィッシングが防ぎにくい理由
セキュリティソフトの限界:ウイルス対策ソフトは既知のフィッシングサイトをブロックできますが、新規サイトには対応できません。フィッシングサイトの平均寿命は約15時間(APWG調査)。短命なため、ブラックリストへの登録が間に合わず、86%のフィッシングサイトは初回アクセス時にブロックされません。
人間の判断が最終防衛線:技術的対策(SSL証明書確認、URLフィルタリング等)は有効ですが、最終的には「ユーザーが偽物と気づくか」が決定的です。しかし、Google調査では、フィッシングメールを見破れる人はわずか45%。半数以上が騙される可能性があります。
正規サイトも危険:正規サイトが改ざんされてフィッシングページが埋め込まれるケース(+28%、2024年)も増加。「有名サイトだから安全」とは限りません。URLが正しくても、ページ内容を確認する必要があります。
第3章〜第5章|実例で学ぶ3つのパターン
🎮 体験しよう:フィッシングメール判定
お客様のアカウントで不正アクセスを検知しました。
アカウントのセキュリティを確保するため、24時間以内に本人確認を行ってください。
確認しない場合、アカウントは一時停止されます。
▼今すぐ確認する
https://amazon-verify-secure.com/login
- 差出人ドメイン:amazon-notify.com(偽ドメイン)
- URL:amazon-verify-secure.com(偽サイト)
- 緊急性の煽り:「24時間以内」「一時停止」
- 一般的な呼びかけ:「お客様」(名前なし)
ログイン認証
- URL確認:必須(偽サイトは微妙に違う)
- 見た目は本物そっくり(ロゴ、デザイン)
- いきなりログインを要求
- 正規サイトは「メールからのログイン」を推奨しない
❌ 偽物:amaz0n.co.jp(oを0に)
❌ 偽物:amazon-login.com(別ドメイン)
❌ 偽物:amazon.co.jp.verify-secure.com(サブドメイン偽装)
お荷物のお届けに上がりましたが不在のため持ち帰りました。
下記より再配達のご依頼をお願いします。
http://yamato-track.cn/re
- 短文(スマホで読みやすい)
- URL確認困難(画面が小さい)
- 不在通知=焦り(荷物を待っている)
- ドメイン:yamato-track.cn(中国ドメイン!)
- 「荷物のお届け」(Amazon、佐川、ヤマト)
- 「料金未納」(携帯電話、電気代)
- 「アカウント確認」(銀行、クレカ)
👉 冷静さを奪う設計
📊 SMS型フィッシング(スミッシング)の急増
スミッシングの爆発的増加:総務省「電気通信消費者情報コーナー」によると、宅配業者を装ったSMS詐欺の相談件数は2024年に約18万件(前年比+215%)。メール型を上回る勢いで増加しています。理由は、①SMSは開封率が高い(約98%、メールは約20%)、②スマホではURL確認が困難、③不在通知は緊急性が高い、ためです。
被害の連鎖:スミッシング経由でアプリをインストールさせる手口も急増(+87%)。不正アプリにより、①SMS送信機能を乗っ取られ、被害者が加害者になる、②連絡先の全員にスミッシングが自動送信される、③端末内の情報が全て盗まれる、という被害が連鎖します。
対策:①SMSのリンクは絶対にクリックしない、②公式アプリやWebサイトから直接確認、③不在票は必ず物理的な紙で確認、が鉄則です。正規の宅配業者はSMSで再配達を依頼させません。
第6章|なぜ人はだまされるのか?
🎮 体験しよう:攻撃者が使う心理トリガー
💡 心理トリガーの効果
👉 判断力が落ちる
📊 フィッシングで使われる心理学的手法
社会工学(ソーシャルエンジニアリング):フィッシングは技術ではなく人間心理を悪用する攻撃手法。ロバート・チャルディーニの「影響力の武器」で示された6つの心理原則(①返報性、②一貫性、③社会的証明、④好意、⑤権威、⑥希少性)がすべて悪用されます。
ストレス下での判断ミス:神経科学研究では、ストレス状態(不安、焦り)では前頭前皮質(理性的判断を司る)の機能が低下し、扁桃体(感情的反応)が優位になります。「24時間以内」「アカウント停止」などのフレーズは意図的にストレスを生み出し、冷静な判断を妨げます。
権威への服従:ミルグラムの実験(1963年)が示すように、人は権威に対して盲目的に従う傾向があります。「警察庁」「国税庁」「銀行」など権威ある組織を名乗ることで、疑問を持たずに指示に従わせます。フィッシングの73%が権威を利用しています(Stanford大学調査)。
第7章|ITサポートが教える"見抜き方5点"
🎮 体験しよう:フィッシング見抜き5点チェックリスト
第8章|「引っかかったかも?」時の正しい対応
すぐやること
やってはいけない
📊 早期報告が被害を最小化する
報告タイミングと被害額の関係:IBM「Cost of a Data Breach Report 2024」によると、フィッシング被害の報告タイミングと被害額には明確な相関があります。①即座に報告(1時間以内):平均被害額32万円、②当日報告(24時間以内):平均被害額68万円、③翌日以降報告:平均被害額125万円。即座の報告で被害額を約75%削減できます。
二次被害の連鎖:フィッシング被害の47%は二次被害に繋がります(McAfee調査)。①同じパスワードを使う他サービスへの不正ログイン、②盗まれたアカウントから友人・同僚へのフィッシングメール送信、③クレジットカード不正利用。1つの被害が連鎖的に拡大します。
「黙る」が最悪:フィッシング被害を報告しない理由トップ3は、①恥ずかしい(38%)、②怒られると思った(27%)、③大事にしたくない(23%)。しかし、報告しないことで、①被害拡大、②同僚も被害、③会社全体のセキュリティリスクに。早期報告を推奨する文化作りが重要です。
第9章|ITサポートの伝え方(超重要)
NG対応
OK対応
第10章|DAY43で覚えればOKなこと
- ✅ フィッシングは"だまし"
- ✅ セキュリティソフトでは防げない
- ✅ 心理を突いてくる
- ✅ URL確認が命
- ✅ 早期連絡が被害を止める
📝 確認クイズ(DAY43)
フィッシング詐欺の理解度を確認しよう
「疑うのは失礼じゃないピヨ。」
"守る行動"ピヨ!🐥💙
📊 今日のゴール
- ✅ フィッシング詐欺の定義と手口を理解する
- ✅ マルウェアとの違いを知る
- ✅ 実例3パターンで手口を体験する
- ✅ だまされる心理メカニズムを理解する
- ✅ 見抜き方5点と対応方法を覚える
📝 DAY43まとめ
- フィッシング詐欺とは:本物を装ってID・パスワード・クレジット情報を盗む詐欺。狙うのはDAY41の"守るべき情報"そのもの
- 統計:2024年月平均132万件(APWG、+27%)、日本年間120万件(+35%)。被害額約80億円(+52%)、1件平均85万円。過去最多更新中
- 標的業種:金融42.3%、EC・決済28.5%、配送15.8%。日常的に使うサービスを装うため全員が標的
- マルウェアとの違い:マルウェア=プログラムで侵入・技術的攻撃、フィッシング=人をだます・心理的攻撃・自分で入力させる。セキュリティソフトをすり抜ける
- なぜ防ぎにくい:フィッシングサイト平均寿命15時間、86%が初回アクセス時ブロックされない。人間の判断が最終防衛線だが見破れるのは45%のみ
- 正規サイト改ざん:正規サイトが改ざんされるケース+28%。有名サイトでも安全とは限らない
- 実例①メール型:「不正アクセス検知」「24時間以内」「アカウント停止」。偽ドメイン(amazon-notify.com)、偽URL(amazon-verify-secure.com)、緊急性の煽り、一般的呼びかけ
- 実例②偽ログイン画面:見た目本物そっくり、URL微妙に違う。amaz0n.co.jp(0とo)、amazon-login.com(別ドメイン)、amazon.co.jp.verify-secure.com(サブドメイン偽装)。DAY32復習
- 実例③SMS型(スミッシング):最近急増(相談18万件、+215%)。荷物不在、料金未納、アカウント確認。短文、スマホで確認困難、焦らせる設計。SMS開封率98%(メール20%)
- スミッシング被害連鎖:不正アプリインストール→SMS送信機能乗っ取り→被害者が加害者に→連絡先全員に自動送信→端末情報全て盗まれる
- 対策:SMSリンククリック厳禁、公式アプリ・Webサイトから直接確認、不在票は物理的な紙で確認。正規宅配業者はSMSで再配達依頼させない
- 心理トリガー5つ:①不安(不正アクセス)、②焦り・緊急性(24時間以内)、③権威(警察庁・銀行)、④恐怖(停止・訴訟)、⑤好奇心・お得感(当選・無料)。判断力を落とす
- 社会工学:技術ではなく人間心理悪用。チャルディーニの6原則(返報性・一貫性・社会的証明・好意・権威・希少性)全て悪用される
- ストレス下の判断ミス:不安・焦りで前頭前皮質(理性)機能低下、扁桃体(感情)優位。「24時間以内」等は意図的にストレス生成し冷静な判断妨げる
- 権威への服従:ミルグラム実験が示すように人は権威に盲目的に従う。警察庁・国税庁・銀行等を名乗り疑問持たせず指示に従わせる。フィッシングの73%が権威利用
- 見抜き方5点:①URLは正しい?、②いきなり入力させてない?、③緊急を煽ってない?、④日本語が不自然?、⑤メールから直接ログインさせてない?。1つでも怪しければNG
- 引っかかったら:①パスワード変更(別端末から全サービス)、②ITサポート連絡(状況報告・被害範囲確認・指示)、③二次被害確認(不正ログイン・請求・情報変更)
- やってはいけない:①黙る(報告遅延=被害拡大)、②放置(「大丈夫だろう」が一番危険)、③自己判断で解決(被害範囲見誤る)
- 報告タイミングと被害額:①即座(1時間以内):32万円、②当日(24時間以内):68万円、③翌日以降:125万円。即座報告で75%削減
- 二次被害連鎖:被害の47%が二次被害に。①同パスワード他サービス不正ログイン、②盗まれたアカウントから友人・同僚へフィッシング送信、③クレカ不正利用
- 黙る理由:恥ずかしい38%、怒られると思った27%、大事にしたくない23%。報告しないと①被害拡大、②同僚も被害、③会社全体リスクに
- ITサポートの伝え方:NG「なんで押したんですか?」(責める→報告されなくなる)。OK「最近多い手口です」「すぐ教えてくれて助かりました」。再発防止につながる
💬 次回予告(DAY44)
👉 DAY44:「パスワード管理 ― 強い管理方法」
安全なパスワード管理を学ぼう!


