メインコンテンツにスキップ

フィッシング(Phishing)

2か月以上前に更新

フィッシング(Phishing)とは?

フィッシングとは、犯罪者がブランド公式サイトにそっくりな偽サイトを作成し、ユーザーをだまして正規のサイトだと思い込ませ、名前、個人番号(CPFに相当)、ログイン情報、パスワード、クレジットカード情報などの機密データを入力させる詐欺行為です。

かつては電話やSMSによる手口が主流でしたが、現在では手法が高度化しており、経験豊富なユーザーでさえ正規の企業チャネルと見分けがつかないほど巧妙になっています。

フィッシングはどのように拡散されるのか?

犯罪者は、できるだけ多くの被害者に到達するために、さまざまな手段を用いています。主な方法は以下の通りです。

1. メール・SMS

現在でもよく使われる手口で、緊急性や不安、メリット(限定オファーや特典など)を訴える説得力のある文章が使用されます。

2. SNSでの有料広告

Facebook、Instagram、TikTok などのプラットフォームで広告を購入し、偽サイトへ誘導します。広告はブランドの公式デザインを模倣しており、信頼性が高く見えるように作られています。

3. 検索エンジンの広告(リスティング広告)

Google、Bing、Yahoo などの検索結果上部に表示されるスポンサーリンクから、偽サイトに誘導されるケースが増えています。

4. 偽動画や偽インフルエンサー

偽のプロフィール、動画、コメントを作成し、「おすすめ」や「手順解説」を装って悪意のあるリンクへ誘導します。

5. 偽アプリ・QRコード

公式ストア以外で配布される偽アプリや、デジタル・物理的な場所に設置された悪意のあるQRコードが利用されることもあります。

6. SNSのダイレクトメッセージや偽アカウント

偽の企業アカウントがDMを送ったり、投稿にコメントしたり、完全に偽装したページを作成して誘導します。

これらはすべて、ユーザーを偽サイトへ誘導し、正規サイトと見分けがつかない環境で情報を盗み取ることを目的としています。

ユーザーはどのようにだまされるのか?

ユーザーが偽リンクを開くと、公式サイトと同じレイアウト・色・ロゴ・ナビゲーションを持つページが表示されます。


その結果、正規サイトだと信じたユーザーはログイン情報や個人情報を入力してしまい、直接攻撃者の手に渡ってしまいます。

フィッシングメール・メッセージに共通する特徴として:

  • 緊急性を煽る魅力的な件名

  • 正式な識別情報のない不審な送信者

  • 問題提起や魅力的なオファーで注意を引く本文

  • 偽サイトへ誘導する外部リンク(短縮URL・偽装リンクが多い)

があります。

フィッシングがあらゆる企業に与える影響

クレジットカード決済を扱っていない企業でもフィッシング被害を受けることがあります。攻撃者の目的には以下が含まれます:

  • 購入、取引、キャンセルなどが可能なアカウントの不正取得

  • ユーザーや従業員の個人情報・企業情報の窃取

  • 社内アカウントを悪用し、顧客や取引先に不正請求を行う

つまり、オンラインに存在するすべてのブランドがターゲットになり得ます。

フィッシングをどのように監視しているのか?

当社では従来の収集システムに加え、OnePixel というリアルタイムで偽サイトを検出する専用ソリューションを使用しています。
これは、公式サイトのソースコードに追加される目に見えない軽量スクリプトで、ブランドの構造やコンテンツをコピーしたページを自動的に検出します。
詳細は「OnePixel — 設定方法」をご覧ください。

また、AIを活用してチケットを自動的に重要度別に分類し、「炎アイコン」で緊急案件をハイライトします。
優先度判断が容易になり、リスク軽減に役立ちます。詳しくは「チケットの並び替えと優先順位付け」を参照してください。

注意!

フィッシングはさまざまな形で拡散し、日々進化しています。非常に重大な脅威であるため、テイクダウンの事前承認 を有効化し、偽サイトの迅速な削除と被害削減を強く推奨します。
詳細は「自動化 — 設定方法」をご確認ください。

フィッシングチケットを手動で作成する方法

手動でフィッシングチケットを作成する場合は、次の手順に従ってください:

  1. デジタル詐欺(Fraudes Digitais) にアクセス

  2. + チケット追加 をクリック

  3. 詐欺に関連するアセットを選択

  4. チケットタイプで Phishing を選択

  5. インシデント を作成するか、隔離(Quarantine) へ送るか選択

  6. 不審なURLを入力

  7. + 追加 をクリックすると、自動チェックが実行されます:

    • 同じホストのチケットがすでに存在する場合、警告が表示されます

    • 追加する追加しない か選択できます

完了後、チケット一覧を確認するか、通知へ進むことができます。
詳しくは「チケットの手動追加」を参照してください。

同じホストの複数URLを追加する必要がない理由

複数のURLが同一ホスト名に紐づいている場合、それらは同じ詐欺の一部です。テイクダウンはホスト単位で実行されるため、そのホストが停止されるとすべてのURLが同時に無効になります。


したがって、複数のチケットを作成する必要はありません。

例外: sites.google.com、bit.ly、facebook.com などの共有ホストは、多くのケースが存在するため重複警告は表示されません。

一括作成の場合、既存チケットのあるホストのみ警告が表示されます。

これでフィッシングチケットの作成が完了です! \o/

ご不明な点がございましたら、[email protected] までお気軽にお問い合わせください 😊

関連記事
偽モバイルアプリ
ブランドの不正使用
偽のソーシャルメディアプロフィール
偽造品または不正販売
手動でのチケット追加
こちらの回答で解決しましたか?