今回はフィッシング詐欺についてお話ししたいと思います。
自分のメールアドレスにもフィッシング詐欺のメールは頻繁に送られてきており、見分け方を知っている人にとっても、非常に迷惑なものです。
フィッシング詐欺のメールが届く理由は、メールアドレスが攻撃者に何らかの方法で流出したか、攻撃者が存在するメールアドレスに無差別に送り付けているかのいずれかになるのですが、いずれにしても相手にするべきものではありません。
フィッシング詐欺は見分け方が分かればそこまで見分けるのが難しくありませんが、もし引っかかってしまうと大きな被害を負いかねません。
ですので、情報セキュリティの知識として手口と見分け方を理解しておく必要があります。
フィッシング詐欺とはどんな手口の攻撃か?
フィッシング詐欺のメールは銀行やECサイト、クレジットカードの会社を偽って警告を促す内容のメールとなっており、メールにはリンクが記載されています。
このリンクをクリックすると本物と見分けがつかない偽物のサイトに移動し、そこで個人情報の入力を求められます。
個人情報を入力して送信してしまうと、攻撃者のところにクレジットカードや住所、ログイン情報といった個人情報が漏洩してしまい、クレジットカードの情報の悪用や、ログイン情報の悪用が行われてしまいます。
最近ではSMS(ショートメッセージ)でもフィッシング詐欺のメッセージが来ることがあり、メールだけに注意するのではなく、SMSに添付しているリンクにも注意が必要となっています。
少し詳しく話をしていきましょう。
まずはこのブログの管理人のところに来たフィッシング詐欺のメールをご覧ください。
これは楽天カードを騙る差出人が自分に送り付けてきたメールです。
メール文内にhttpsから始まるリンクがあること、そして、差出人が楽天のはずなのにamz@<ドメイン名がランダムな文字列.com>となっていること(実在するアドレスである可能性があるため画像ではマスクしています)、そして「最近の取引に異常を検知しました」とおかしな文章が書かれていることから、正式に楽天が送ってきたメールではないことが確認できます。
楽天カードはおかしなクレジットカードの使い方をすると連絡なしで利用を一時停止するので、この内容のメールが来ることはあり得ません。
そして、事情を話してクレジットカード利用の停止を解除してもらう電話やチャットのやり取りをしたことが自分も何度かあります。
このフィッシングメールは騙し方が下手なので見分けが簡単につきますが、中には差出人からでは見分けがつかなかったり、本文も本物と同じような文面になっていたり、リンクの文字も実際に本物のURLになっていたりすることもあり、きちんとした見分け方を行わないと「うっかり騙されてしまった」では済まない事態になってしまうことがあります。
特に、個人宛のメールならともかく、会社宛のメールでフィッシング詐欺に引っかかってしまうと損失額が大きくなってしまい、会社に大きな被害を与えかねません。
そのため、見分け方をきちんと把握して、フィッシング詐欺に引っかからないようにする必要があります。
フィッシング詐欺を見破り、攻撃から防ぐ方法
では、フィッシング詐欺を見破る方法としてどんなものがあるでしょうか?
フィッシング詐欺であることを見破る方法として以下のものがあります。
- 題名が警告を促すものであれば疑う
- 差出人が本物であることを確認する
- 開封確認は送付しない
- 本文の宛名がメールアドレスになっているもの、宛名が書かれていないもので警告を促すものであれば、疑う
- リンク先が正しく本物のアドレスになっていることを確認する(リンクの文面だけを確認するだけではなく、リンクにカーソルを当てて出てくるURLが本物のアドレスになっていることを確認する)
- SMSであれば送信者の電話番号を調べ、正しい宛先になっていることを確認する(+81 90を090に変えて、電話番号をグーグルで検索して、本物の電話番号であるかを調べてみる)
- Amazonや楽天などのECサイトで買い物をした場合は、運送会社がSMSで不在連絡をすることがないので、この手の連絡が来たら全て詐欺だと思うこと
- そもそもアカウント停止などのメールは基本的に何もしなければ本物が来ることはない
- 銀行やECサイト、クレジットカード会社はメールから個人情報を直接入力させるリンクをメールに貼り付けないことを理解しておく
大体こんな感じでしょうか?
中には中国人が書いたような不自然な日本語のメールになっているものもあるので、そういうメールの場合はフィッシング詐欺のメールの特定が簡単にできますが、最近では手口が巧妙化しているため、きちんとした見分け方でフィッシングの詐欺のメールやSMSを見分ける必要があります。
一番大事なのはちょっとでもおかしいと思った時点でフィッシングメールを疑うことです。
添付ファイルがある場合はマルウェア(ウイルスなどの悪意のあるソフトウェアのこと)を送るメールである可能性があるので、添付ファイルの有無も気を付けたほうがいいでしょう。
特に見分けがつきにくいフィッシングメールの場合、リンク先のURLをよく見てください。
本物から少しだけ変えたようなアドレスになっていることがあり(例えばamazon.comがanazon.comになっているなど)、ここを見逃してしまい、クリックするとフィッシング詐欺のページに飛んで行ってしまいます。
もしここで引っかかっても、入力フォームが出てくる時点でおかしいと気がついたらブラウザのタブを閉じて入力しないようにすることで、フィッシング詐欺の被害を防ぐことが出来ます。
ここまで述べたことは、SEやPGなどのIT技術者であれば必ず知っておかなければなりません。
自分がフィッシング詐欺に引っかかってしまうのは論外であり、むしろ不審なメールが届いていることを会社や部署全体に知らせる側になる必要があります。
特に会社にくるメールの場合は、実際に取引があった人の名前が差出人になっていることもあるため、差出人の名前とメールアドレス、そして、メール本文の宛名がきちんと書かれていることをチェックする癖をつけた方がいいでしょう。
基本的に社内や社外にメールを送る場合はメール本文に会社名や部署名、名前などを入れて誰宛なのかを明記するはずです。
それがないということは、機械的に作られて送信されたメールであるということになります。
どんなにうまく作られたフィッシング詐欺のメールにもどこか見分けるポイントは必ず存在します。
そのポイントを見逃さず、偽物と見分ける目を持つことがSEやPGといったIT技術者には必須であると言えるでしょう。
今回の記事はここまでとなります。
また次の記事でお会いしましょう。
