【最新情報】キャリア決済を狙ったフィッシング詐欺に遭わないために

オンラインで簡単に決済することができるキャリア決済。

スマホ決済への残高チャージをおこなえば実店舗でも利用可能になるため、さまざまな利用用途が考えられます。

それだけに不正利用の標的として狙われる可能性も高く、最近ではキャリア決済をターゲットにしたフィッシング詐欺が多発しています。

各携帯電話会社では、利用者に「フィッシング詐欺多発。注意してください。」とのメールを送信しており、私たちも他人事ではいられません。

偽サイトから届くメールに記載された「不正利用の恐れがある」などの言葉に釣られてしまい、ID、パスワードを入力してしまうとあっという間に金銭被害に見舞われてしまう危険性があります。

フィッシング詐欺の概要を知り、正しく対処をおこなえば詐欺被害を防止することができますが、インターネット関連の職種に関わっていない人は、フィッシング詐欺の概要や正しい対処法なんて分かりませんよね？

そこで今回は、キャリア決済を狙ったフィッシング詐欺に遭わないためにも、今からできる効果的な対処法などを紹介していきます。

「最近キャリア決済のフィッシング詐欺が多発してる。自分も被害に遭わないか不安。」、「フィッシング詐欺に遭わないためにも事前に備えておきたい。」と考えている人はぜひこちらの記事をご覧ください。

キャリア決済を狙ったフィッシング詐欺とは？

キャリア決済はクレジットカードを持っていなくても簡単にキャッシュレスで決済ができる便利なサービス。

しかしログイン時のID、パスワード、そして利用時に使う暗証番号の3つを盗まれてしまうと、外部から不正利用されてしまう危険性があります。

もちろんキャリア決済のセキュリティ性は高く、ハッキングなどで情報が流出してしまう可能性は低いです。

しかし詐欺には技術的なセキュリティの高さは役に立ちません。

騙される側のネットリテラシー（インターネット上の良識）が低ければ、気づかないうちにID、パスワード、暗証番号をこちらから教えてしまうことになり、セキュリティなど関係なく個人情報を盗むことができてしまいます。

このような技術に頼らない機密情報取得方法を「ソーシャルエンジニアリング」と呼び、フィッシング詐欺もその一つに該当します。

今現在、キャリア決済のフィッシング詐欺でよく用いられているのがSMS（ショートメッセージサービス）。

SMSは電話番号だけで誰にでも簡単にメッセージを送信できる機能。

そして送信先の電話番号は名簿から入手したりシステムで自動生成すれば簡単に把握できます。

まず詐欺犯は騙したいユーザーに対し、「あなたのキャリア決済が不正に利用されている可能性があります。こちらからパスワードを変更してください。」などを謳い文句にURL付きのSMSを送信。

不安を煽られたユーザーは焦ってSMS内のURLをクリックしますよね？

アクセス先には本物のサイトと遜色ない各携帯電話会社のキャリア決済ログインページが表示されます。

ユーザーは疑問を覚えずにID、パスワード、暗証番号を入力してしまいます。

しかし表示されたページは本物のサイトに似せて作られた偽サイト。

入力したデータは詐欺犯に送られてしまうのです。

詐欺犯はこのような流れで必要なデータを奪い、すぐにネットショッピングや実店舗などで利用します。

その後ユーザーに決済履歴のメールが届き、ここでようやくユーザーは自分がフィッシング詐欺に遭ったことを理解するのです。

最近のフィッシング詐欺はとにかく巧妙で、インターネットに詳しくない人は簡単に騙されてしまうケースも少なくありません。

しかしユーザーの不安を突こうとするフィッシング詐欺にはある一定のパターンがあることをご存知ですか？

そのパターンを覚えてリテラシーを身につければ、フィッシング詐欺を未然に防ぐことができます。

他にもフィッシング詐欺を防ぐいくつかの方法があるので具体的な内容はこのあと順番に紹介していきます。

大手携帯キャリアの詐欺被害補償について

大手携帯電話会社のキャリア決済に対するフィッシング詐欺の補償は、これまでとてもユーザー目線のものとは言えない内容でした。

しかしフィッシング詐欺の被害が増えてきた状況を踏まえ、各携帯電話会社がキャリア決済の補償に対する内容を変更しました。

詳しい内容については下記をご覧ください。

ドコモの詐欺被害補償について

ドコモでは「d払い・ドコモ払い」をキャリア決済として提供しています。

ドコモは当初、d払い・ドコモ払いの利用規約で「不正利用された場合、規約上ではユーザーの責任となり料金を支払ってもらう」と明言しており、規約だけ見ればフィッシング詐欺にあったユーザーは泣き寝入りするしかありませんでした。

ただし今までもフィッシング詐欺の被害報告があったときは個別に対応してきたそうです。

そんな中、2019年8月28日から「不正利用よりお客さまに生じた損害の額に相当する金額を補てんする」として、損害額を全額補償する体制へと全面的に変更しました。

これまで文面上では補償がないと明言していただけに、この変更はユーザー目線に沿ったもので好感を抱きます。

ただし早い段階で被害を申し出ないと補償対象外になる可能性もあるので注意してください。

auの詐欺被害補償について

auでは「auかんたん決済」をキャリア決済として提供しています。

しかしフィッシング詐欺による被害の補償をおこなっていませんでした。

ですが補償がない点について不服を申し立てるユーザーが増加し、メディアでも取り上げられるようになったことから、キャリア決済を提供する側としてこのような状況を無視するわけにはいかなくなりました。

そこで規約を改訂し、フィッシング詐欺に遭ったユーザーに対して補償を提供する方針に変更する予定です。

ただし2019年9月17日時点ではまだ補償に関する規約が追加されておらず、補償の対象外になってしまう可能性があるので注意してください。

年内中には補償を提供してもらいたいですね。

ソフトバンクの詐欺被害補償について

ソフトバンクでは「ソフトバンクまとめて支払い」をキャリア決済として提供しています。

その利用規約の中では、「お客様がアカウントを不正利用されても、当社は一切責任を負わない」とし、補償はしない方針でした。

しかしauと同じく、最近のフィッシング詐欺による被害状況などを考慮し、補償をおこなう方針に転換する意向です。

ただしauと同じく、2019年9月17日時点でまだ規約は改定されていません。

こちらも改定前に起きたフィッシング詐欺による被害に対しては、補償してもらえない可能性があるので注意してください。

auと同じく年内中には補償を提供してもらいたいですね。

キャリア決済を守るためのセキュリティ設定

ここからはキャリア決済を守るため、ユーザー側でどのようなセキュリティ設定ができるのかを解説していきます。

こちらのセキュリティ設定はすぐにおこなえますので、まだ設定していない人は早めにセキュリティ設定をおこないましょう。

ドコモのセキュリティ設定について

ドコモが提供するキャリア決済「d払い・ドコモ払い」は「dアカウント」を使って利用します。

利用する際はドコモ回線経由で暗証番号を入力する必要がありますが、その前に二段階認証の設定をおこないましょう。

ただし二段階認証にはレベルがあり、「弱」に設定していると認証なしでもログインできる可能性があるので危険です。

念のためにまずdアカウントの二段階認証を「強」設定してください。

まず「2段階認証とは」のページにアクセスし、「今すぐ2段階認証の設定をする」をクリックします。

次にdアカウントでログインした後、2段階認証設定欄の「設定する」をクリックします。

表示されたページの「設定を変更する場合は、下記からお手続きを行ってください。」という文面の「2段階認証の設定」欄にある「強（推奨）」項目にチェックを入れ、「2段階認証の確認方法 」に自分の好きな認証方法をチェックしていきます。

最後に「上記内容に変更する」をクリックすれば完了です。

またキャリア決済を不正利用された場合のことを考え、使う予定のないときはキャリア決済自体の利用限度額を少なめに設定しておきましょう。

d払いアプリを起動し「三本線メニュー」をタップします。

「ご利用履歴/限度額設定変更」を選択し、dアカウントでログインした後、「限度額設定変更」をタップして利用限度額を設定します。

月10,000円などに利用限度額を減らしておくと被害を最小限に食い止められるかもしれません。

ただしID、パスワードなどを盗まれた時点で利用限度額も変更される可能性があるため、安心とは言い切れないことも覚えておいてください。

auのセキュリティ設定について

auが提供するキャリア決済「auかんたん決済」は、au回線経由でキャリア決済を利用する際に使う「au ID」のワンタイムURLによる二段階設定が有効になっています。

そのため本来は安全なはずなのですが、万が一、ワンタイムURLまで突破されてしまうと対処のしようがありません。

ユーザー側にできるその他の対処方としては、被害を最小限に食い止めるために利用限度額を設定しておくくらいです。

「au ID」から「利用限度額設定ページ」へアクセスし、月10,000円など被害を最小限に抑えられる金額に限度額を変更します。

ただしいくら利用限度額を少額に設定したとしても詐欺犯に変更されてしまうかもしれません。

被害に遭った場合はすぐにauサポートなどに連絡するようにしましょう。

ソフトバンクのセキュリティ設定について

ソフトバンクが提供するキャリア決済「ソフトバンクまとめて支払い」では、初期設定でワンタイムパスワードによる二段階設定が有効になっています。

しかし文字数が3桁しかないため、ごり押しで突破されてしまう可能性も十分考えられます。

そのためauと同じように利用限度額を少額に設定して被害を食い止められるようにしましょう。

「My Softbank」にアクセスし、スマホの場合は「画面右上のメニューを選択 → 安心・便利を選択」します（パソコンの場合は「安心・便利サービス」を選択します）。

その後「ソフトバンクまとめて支払い 安心設定」から「ご利用可能額の設定」の「設定する」を選択します。

1円単位で希望する利用可能額を設定してください。

セキュリティ設定の他の対処法について

正直なところフィッシング詐欺対策としては、上記に加えアカウント情報を定期的に変更するくらいしか有効な手段がありません。

しかしセキュリティが高い状態で不正に使われてしまうケースもあり、いくら対策していても安全とは言い切れないのが残念です。

そもそもこちらから個人情報を教えてしまうという特性がある以上、フィッシング詐欺において一度でも情報を盗まれてしまうと、いくら対策を講じても不正利用されるリスクが常に付きまといます。

そのため下記にて紹介するフィッシング詐欺のパターンや見分け方を把握した方が得策だと言えます。

キャリア決済を守るためにできる対策

フィッシング詐欺からキャリア決済を守るために自分自身でできる対策について紹介していきます。

フィッシング詐欺のパターンや見分け方についてですね。

この点が一番重要になるとも言えますので、必ず目を通すようにしてください。

怪しいメールパターンを覚えておく

一昔前はSMSの内容が「お前のアカウントが不正利用されている可能性があります」などのおかしな日本語のため、フィッシング詐欺だと一発で見抜くことができました。

しかし最近では、正しい日本語のSMSが増えており、表現や言い回しだけでフィッシング詐欺を見抜くのは難しくなっています。

ですが「ユーザー側を不安にさせて情報を盗み取ろう」という根本的な性質は変わっていません。

例えば「第三者による不正アクセスを確認しました」、「あなたのID、パスワードが漏洩したので変更手続きをしてほしい」などの通知は、フィッシング詐欺の可能性が高いので必ず疑いから入りましょう。

また「ホームページにアクセスして検証してください」など、露骨にホームページのアクセスを誘うフレーズにも注意してください。

偽サイトの見分け方を知る

怪しいメールパターンに加えて覚えて欲しいのが偽サイトの見分け方。

怪しいと思った上で偽サイトを見分けられれば、確実にフィッシング詐欺を防げます。

ホームページはサーバーにデータが保存されており、それぞれのサイトには「ネットワーク上のこのサーバーにあるこのフォルダの中にこのページがある」ということが分かるよう、「URL」が付与されています（https://~）。

このURLの仕組みを知ることで、SMSのサイトが本物か偽物かを一発で見分けられるのです。

キャリア決済を提供している携帯電話会社のURLは、必ず冒頭が「https://」で始まります。

これはインターネット上での通信が安全に暗号化されているのを意味する接頭語のようなものになり、大手企業のホームページはほとんど「https://」でユーザーと通信しています。

「https://」となっている場合、接続が暗号化されていないため危険なサイトである可能性が高くなるのです。

そもそも「https://」でリンクが送られている時点で、フィッシング詐欺用の通知である可能性が極めて高いですね。

しかし場合によっては「https://」と書かれたフィッシング詐欺通知が届く可能性も考えられます。

これは「https://」による通信は詐欺犯でも実装しようと思えば実装できてしまうからです。

そのため完全に偽URLかそうでないかを見極めるには、URLの見方を理解する必要があります。

URLは「https://www.yahoo.co.jp/」というように、「https://」の直後に「www.yahoo.co.jp/」と文字列が並んでいます。

「ドメイン」と呼ばれるものですね。

携帯電話会社大手3社のドコモ、au、ソフトバンクでは、ドメインのパターンが既に決まっているので、これに適合しないURLは全て詐欺サイトになります。

一部を紹介すると下記の通りです。

例えば「www.docomo-pay.com」と記載してあれば、ドコモ公式サイトから届いた通知だと思うかもしれません。

ですが実際に調べてみると、ドコモの管理しているURLに「www.docomo-pay.com」は存在していないことが分かります。

分からない人は、各携帯電話会社のサポートセンターにSMSで届いたURLが本物なのか確認すれば間違いありません。

間違ってサイトにアクセスしてしまうと精巧に作られたホームページに騙されてしまうかもしれないため、URLで確実に詐欺サイトを見分けましょう。

個人情報をメールで聞かれることは一切ない

そもそもの話ですが、各携帯電話会社から個人情報をメールで聞かれることは一切ありません。

個人情報をメールで聞いてくるような通知は無視した方が無難です。

その上で判断がつかない場合は、上記で紹介した方法で確実に詐欺通知を見分けましょう。

まとめ

今回はキャリア決済を狙ったフィッシング詐欺に遭わないための方法やフィッシング詐欺のパターン、見分け方について紹介してきました。

SMSでキャリア決済の個人情報を抜き出すなど手口は年々巧妙さを増しています。

不正利用されないためにも日ごろから注意を怠らず、URLを見抜くなどのネットリテラシーを身につけ、万全の体制でフィッシング詐欺に引っかからないようにしましょう。

また今後はフィッシング詐欺に遭ってしまった場合でも、迅速に対応することで被害額が戻ってくる可能性が高くなります。

もしフィッシング詐欺の被害に遭ったときは、慌てず冷静に各携帯電話会社のサポートセンターに連絡し対応をお願いしましょう。