Androidスマートフォンを利用していると、SMSやメールに届いたリンクからログイン画面のようなページが開くことがあります。
例えば、宅配の再配達通知やアカウント確認を装ったメッセージにURLが記載されている場合があります。
そのリンクをタップすると、Chromeなどのブラウザでログイン画面が表示されることがあります。
こうしたページの中には、実在するサービスに似せて作られた偽サイトが含まれていることがあります。
その画面でIDやパスワードなどを入力させ、情報を取得する仕組みがフィッシング詐欺です。
この仕組みを知っておくと、突然ログイン画面が表示されても、本物のサービスかどうかを落ち着いて確認できます。
仕組みの全体像
フィッシング詐欺は、実在するサービスに似せたログインページを用意し、IDやパスワードなどの情報を入力させることで成立する手口です。
多くの場合、次の3つの要素が組み合わさっています。
- 誘導メッセージ
- 偽サイト
- 情報送信
誘導メッセージとは、SMSやメールなどで届くURL付きの通知です。
宅配の再配達通知やアカウント確認などを装い、リンクをタップさせる形で特定のWebページへ誘導します。
リンクを開くと、本物のサービスのログイン画面に似せた偽サイトが表示されることがあります。
その画面でIDやパスワードなどを入力すると、入力された情報はログイン処理ではなく、攻撃者が用意したサーバーへ送信されます。
取得された情報は、本物のサービスへの不正ログインに使われることがあります。
具体的に何が起きているのか
フィッシング詐欺では、端末側の動きとWebサイト側の処理が分かれています。
この2つを分けて考えると、仕組みを理解しやすくなります。
端末側の処理
Android端末では、SMSアプリやメールアプリに届いたURLをタップすると、Chromeなどのブラウザが起動し、Webページが表示されます。
ブラウザは、指定されたURLのページを読み込み、その内容を画面に表示する役割を持っています。
そのため、表示されたページが本物のサービスか偽サイトかを判断する機能はありません。
このため、本物のログイン画面に似せて作られたページでも、通常のWebページと同じように表示されることがあります。
サービス側の処理
フィッシングサイトには、入力された情報を外部サーバーへ送信する仕組みがあらかじめ組み込まれています。
例えば、次のような情報が入力されることがあります。
- ID
- パスワード
- 電話番号
- クレジットカード情報
これらの情報はログイン処理には使われず、攻撃者が管理しているサーバーへ送信されます。
その後、その情報を使ってログインが試されることもあります。
このように、通常のログイン操作でも、情報が第三者へ送信されている状態になることがあります。
よくある誤解
フィッシング詐欺は仕組みが分かりにくいため、いくつかの誤解が広まりやすい特徴があります。
よくあるものは次のとおりです。
- リンクを開いただけでウイルス感染する
- Androidのシステム警告として表示される
- Google Playストアの警告として表示される
フィッシング詐欺は、端末にウイルスを感染させる仕組みではありません。
ログイン情報などを入力させることで成立する手口です。
そのため、リンクを開いただけでは被害が発生しない場合もあります。
ただし、表示されたページでIDやパスワードなどを入力した場合は、情報が第三者に送信される可能性があります。
また、SMSやメールのリンクから表示される画面は、Androidのシステム警告ではありません。
多くの場合、Chromeなどのブラウザで表示されている通常のWebページです。
見た目が警告画面のように作られていても、Androidのセキュリティ機能が出している通知とは、仕組みが異なる場合があります。
設定で確認できるポイント
フィッシング詐欺が疑われる場合は、まず次のポイントを確認すると状況を整理しやすくなります。
| 確認項目 | 確認場所 | 確認内容 |
|---|---|---|
| SMS送信元 | SMSアプリ | 見慣れない送信元番号や不自然なメッセージがないか |
| リンクURL | ブラウザのアドレスバー | 表示されているドメインが公式サイトと一致しているか |
| アカウントログイン履歴 | 各サービスのアカウント設定 | 覚えのないログイン履歴がないか |
これらは、Androidの設定を変更しなくても画面表示から確認できます。
特に、ログイン画面が表示された場合は、ブラウザのアドレスバーに表示されているURLを確認します。
公式サービスの場合、ドメインはそのサービスの公式サイトと一致します。
似た文字や余分な単語が含まれている場合は、偽サイトの可能性があります。
放置するとどうなるか
フィッシングサイトでIDやパスワードなどを入力した場合、その情報が第三者に取得される可能性があります。
取得された情報は、本物のサービスへのログインに利用されることがあります。
例えば、次のような操作が行われる場合があります。
- アカウントへの不正ログイン
- 通販サイトでの注文操作
- 登録メールアドレスやパスワードの変更
こうした操作が行われると、本人がログインできなくなることがあります。
また、サービスの履歴に身に覚えのない操作が残ることもあります。
ただし、次のような条件では被害が発生しないこともあります。
- ログイン情報を入力していない
- 入力したパスワードが誤っている
- 二段階認証が設定されている
二段階認証が有効な場合は、パスワードが知られても追加の認証コードが必要になるため、不正ログインが成立しない場合があります。
再発防止の考え方
フィッシング詐欺を防ぐには、日常の操作を見直すことが重要です。
基本的な対策として、次のような確認を習慣にするとリスクを減らしやすくなります。
- SMSやメールのリンクをすぐに開かない
- ログイン操作は公式アプリや公式サイトから行う
- ブラウザのアドレスバーでURLを確認する
特に、メッセージのリンクからログイン画面を開くと、本物のサイトかどうかを判断しにくくなることがあります。
ログインが必要な場合は、公式アプリやブックマークしたページからアクセスする方が安全です。
また、複数のサービスで同じパスワードを使っていると、一つの情報が漏れたときに他のサービスでも不正ログインが試される可能性があります。
パスワードをサービスごとに分けて管理すると、被害が広がるリスクを抑えやすくなります。
まとめ
Androidで見られるフィッシング詐欺は、SMSやメールのリンクから偽のログインページへ誘導し、IDやパスワードなどの情報を入力させる仕組みで行われることがあります。
多くの場合、リンクを開いただけでは被害は発生しません。
表示されたページでログイン情報を入力した場合に、情報が第三者へ送信される可能性があります。
怪しいリンクを開いた場合は、ブラウザのアドレスバーに表示されているURLを確認します。
公式サイトのドメインと一致しているかを確認することが重要です。
あわせて、利用しているサービスのログイン履歴を確認すると、不審なアクセスがないか整理できます。
フィッシング詐欺は「偽サイトに情報を入力すると成立する手口」です。
URLの確認とログイン履歴の確認が、最初に整理するポイントになります。
コメント