フィッシング対策ガイド

年末調整を装うフィッシング詐欺：不審なメールや通知の見分け方と被害対処法

年末調整を装うフィッシング詐欺に注意が必要な理由

毎年、特定の時期になると増えるサイバー攻撃の一つに、年末調整を装ったフィッシング詐欺があります。年末調整は、ほとんどの給与所得者にとって身近な手続きであり、税金や還付金、個人情報が絡むため、攻撃者にとっては非常に魅力的な標的となります。

攻撃者は、税務署、勤務先、あるいは給与計算代行業者などを騙り、偽のメールやSMS、あるいはダイレクトメッセージを送付してきます。これらのメッセージは、本物の通知と見分けがつきにくいように巧妙に作られている場合が多く、多忙な時期に届くとつい確認してしまう心理を巧みに突いてきます。

偽の通知から偽サイトへ誘導し、個人情報、マイナンバー、銀行口座情報、クレジットカード情報などをだまし取ろうとします。また、マルウェアを含むファイルをダウンロードさせようとする手口も確認されています。被害に遭わないためには、手口を知り、見分け方のポイントを押さえることが重要です。

年末調整を装うフィッシング詐欺の手口とは

年末調整関連のフィッシング詐欺では、主に以下のような手口が用いられます。

• 情報更新や提出依頼を装う手口: 「年末調整に関する情報更新のお願い」「書類の提出漏れがあります」といった件名でメールが送られ、記載されたリンクから偽のサイトにアクセスさせ、ログイン情報や個人情報の入力を求めます。
• 還付金や追徴金を装う手口: 「税金の還付金があります」「年末調整の結果、追徴金が発生します」といった通知で、焦りや期待感を煽り、偽サイトで銀行口座情報やクレジットカード情報を入力させようとします。税務署を名乗ることが多い手口です。
• 添付ファイルによる手口: 「年末調整に関する重要書類」といった件名で、マルウェアを含むファイルを添付したメールを送付し、ファイルを開かせようとします。ファイルを開くと、PCがウイルスに感染したり、情報が抜き取られたりする危険があります。
• SMSやSNSを通じた手口: メールだけでなく、SMSやSNSのダイレクトメッセージで同様の通知を送りつけ、偽サイトへ誘導するケースも見られます（スミッシング）。

これらの手口に共通するのは、「年末調整」というキーワードを使って関心を引きつけ、偽の緊急性や重要性を演出して、冷静な判断力を奪おうとする点です。

年末調整フィッシング詐欺の具体的な見分け方

不審な年末調整関連の通知を受け取った際、フィッシング詐欺かどうかを見分けるための具体的なポイントを解説します。

1. 送信元のアドレスを確認する:

   • 最も基本的な確認ポイントです。公的機関や勤務先からの正式な通知であれば、ドメイン（@以降の部分）が公式サイトや社内で使われているものと一致するはずです。
   • 例えば、「@nta.go.jp」（国税庁）や、勤務先の正式なドメイン以外のアドレスから送られている場合は、詐欺の可能性が極めて高いです。よく似た文字列や、見慣れないドメインには十分注意してください。

2. メールやメッセージの日本語を確認する:

   • 不自然な言い回し、おかしな敬語、明らかな誤字脱字が多い場合は、フィッシング詐欺の可能性が高い兆候です。
   • ただし、最近ではAIなどを悪用して自然な日本語を作成する手口も増えていますので、これだけで判断せず、他のポイントと合わせて確認が必要です。

3. リンク先のURLを必ず確認する:

   • メール本文やメッセージに記載されたリンクの上にカーソルを合わせると、ブラウザの下部などに実際のリンク先URLが表示されます。
   • 表示されたURLが、本来アクセスすべき公式サイトやサービスのURLと異なる場合は、偽サイトへの誘導である可能性が高いです。短縮URLにも注意が必要です。安易にクリックせず、必ず正規のルート（公式サイトをブックマークから開く、検索エンジンで検索するなど）でアクセスしてください。

4. 情報の要求内容を確認する:

   • 年末調整の手続きで、マイナンバーや銀行口座情報、クレジットカード情報などをメールやSMSの返信で直接求められることは通常ありません。また、ログインパスワードや二段階認証コードを尋ねられることも絶対にありません。
   • もし、通知されたURLのリンク先で、通常必要ないと思われる情報の入力を求められた場合は、詐欺を強く疑ってください。

5. 緊急性や限定性を過度に煽る表現:

   • 「〇〇時間以内に対応しないと罰金が発生します」「今すぐ手続きしないと還付金が受け取れません」といった、過度に緊急性や不安を煽る表現は、冷静な判断を妨げるための常套手段です。正規の公的機関や企業は、このような一方的で強い調子の連絡はしません。

6. 正規の手続き方法と比較する:

   • 勤務先や税務署などが提供している年末調整の正式な手続き方法（Webサイト、専用システム、提出方法など）と、届いた通知の内容を比較してください。手続きの流れや情報の入力方法に違いがないか確認します。

これらのポイントを複数確認し、一つでも疑わしい点があれば、それはフィッシング詐欺である可能性が高いです。

万が一、フィッシング詐欺の被害に遭ってしまった場合の具体的な対処法

もし、フィッシング詐欺に騙されて個人情報や金融情報などを入力してしまったり、不審なファイルをダウンロードしてしまったりした場合は、速やかに以下の対応を取ることが重要です。

1. 冷静になること: パニックにならず、落ち着いて対処することが大切です。
2. 入力した情報に関連するサービスのパスワードを直ちに変更する:
   • 偽サイトでログイン情報（IDとパスワード）を入力してしまった場合は、その情報を使っている全てのサービスのパスワードを、別の安全な環境（別のPCやスマートフォンなど）からすぐに変更してください。
   • 特に、同じIDやパスワードを使い回している場合は、他のサービスにも被害が拡大する可能性があります。
3. クレジットカード情報や銀行口座情報を入力した場合は、関係機関に連絡する:
   • クレジットカード情報を入力してしまった場合は、直ちにカード会社に連絡し、カードの利用停止と不正利用がないか確認を依頼してください。
   • 銀行口座情報を入力してしまった場合は、金融機関に連絡し、不正送金などの被害が発生していないか確認し、必要に応じて口座の一時停止などを依頼してください。
4. 勤務先の関連部署に報告・相談する:
   • 勤務先を装ったフィッシングメールであった場合や、会社のシステムに関わる情報（社内システムID・パスワードなど）を入力してしまった場合は、速やかに社内のIT部門や経理部門などに報告してください。被害拡大を防ぐための措置を講じてもらえる可能性があります。
5. 証拠を保全する:
   • 受信した不審なメールやメッセージのヘッダー情報（送信元、受信日時などが詳細に記録されています）、偽サイトのURL、入力してしまった情報、画面のスクリーンショットなどを保存しておいてください。これらは警察への相談時などに役立ちます。
6. 警察に相談する:
   • 最寄りの警察署に相談するか、サイバー犯罪相談窓口に連絡してください。緊急性がない場合や、相談先に迷う場合は、警察相談専用電話「#9110」に電話することで、適切な相談窓口を案内してもらえます。
7. 消費者ホットラインに相談する:
   • 消費者庁の消費者ホットライン「188」に電話することで、専門の相談員に相談することができます。フィッシング詐欺を含む消費者トラブル全般についてアドバイスを受けられます。
8. インストールしてしまった不審なファイルを削除する:
   • 不審なファイルをダウンロードしてしまった場合は、直ちにインターネットから切断し、信頼できるセキュリティソフトでスキャンを行い、検出されたマルウェアを駆除・削除してください。不安な場合は、専門業者に相談することも検討してください。

被害の拡大を防ぐためには、迅速な行動が何よりも重要です。一人で抱え込まず、速やかに上記の関係各所に相談・連絡してください。

まとめ

年末調整の時期は、フィッシング詐欺の攻撃が増加する傾向にあります。税務署や勤務先などを装った不審なメールや通知には十分注意し、送信元アドレス、日本語の表現、リンク先URL、情報の要求内容、表現の調子などを冷静に確認する習慣をつけましょう。

万が一、フィッシング詐欺の被害に遭ってしまった場合は、慌てずにパスワードの変更や関係機関への連絡、証拠の保全といった適切な対処を速やかに行うことが重要です。日頃からセキュリティ意識を持ち、最新の情報を得ることで、フィッシング詐欺から身を守りましょう。