フィッシングメール詐欺とは|見分け方と入力してしまった場合の対策

フィッシングメール詐欺とは|見分け方と入力してしまった場合の対策

「フィッシングメール詐欺」という言葉を耳にしたことがあっても、手口の詳細を理解している方は多くありません。フィッシングメール詐欺は身近に存在し、誰でも被害に遭う可能性があるサイバー攻撃です。本記事ではフィッシングメールの最新動向や、被害の実例、対処法について解説します。

フィッシングメールとは?

フィッシングメールとは送信者を詐称するなどした偽の電子メールを送信し、公式サイトに似せた偽サイトに誘導して、クレジット番号やユーザID、パスワードなどのアカウント情報などを盗み出す行為です。「フィッシング」という言葉は、諸説ありますが、Phishingというつづりになり、魚釣り(Fishing)と洗練(Sophisticated)を組み合わせた造語という説が日本国内では主流です。

フィッシングメールの最新動向

近年、フィッシングメールによる被害が急増しています。偽の電子メールや偽の公式サイトも本物とそっくりに作られており、外見だけでは区別がつきません。さらにパソコンだけでなくスマホからの被害も増えています。情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威2020」によれば、フィッシングサイト、フィッシングメール全般を含む「フィッシングによる個人情報の詐取」が個人部門で2位でした。昨年順位と変動なく依然、脅威として警戒されています。

セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大規模の統合型プラットフォームを提供するKnowBe4社の調査によれば、2020年4月~6月期において、新型コロナウイルス関連のフィッシング詐欺が大幅に増えているという結果が出ています。。

参考:最新フィッシングメール動向: 2020年第2四半期、コロナウイルス関連のフィッシングメールが継続的に急増

フィッシングメールとスパムメールの違い

フィッシングメールとスパムメールはどちらも「迷惑メール」にカテゴライズされますが、少し定義が異なります。スパムメールは無差別に送られてくる広告付きメールです。近年は、マルウェアが添付されているケースもあり、注意が必要です。

一方、フィッシングメールは先ほども述べたとおりメールを使った詐欺です。現在のところ、フィッシングメールとスパムメールは「別物」扱いですが、今後は両者が混ざった形で攻撃を仕掛けてくるかもしれません。

フィッシングメールでよくある手口

フィッシングメールには大きく4つの攻撃パターンがあります。

ID・パスワード変更の催促

最初に解説するのがID・パスワード変更の催促です。よく見られるパターンでは「サインインが行われました。心当たりがない場合はパスワードのリセットをしてください」と書かれたメールが送られてきます。メールにはリンクが記載されており、クリックすると本物そっくりのサービスページに遷移します。IDやパスワードなどを入力すると、それらの情報が攻撃者の手に渡ってしまい、アカウント乗っ取りやクレジットカードの不正利用などの被害に遭います。

購入の確認

ECサイトで商品を購入した際に送られてくる購入確認メールを装ったフィッシングメールです。「キャンセルはこちら」などと書かれた偽メールが送られてきます。「キャンセルはこちら」をクリックすると、クレジットカードやECサイトで利用するID・パスワードの入力を促すページが現れます。

宅配便の不在通知

宅配便の不在通知を装ったフィッシングメールはスマホのSMSでよく見られます。突然「荷物を届けましたが不在でした。リンクを確認してください」などというメッセージが届きます。リンクをクリックすると、金融機関などの偽サイトに遷移したり、不正アプリがダウンロードされたりして、個人情報が盗まれます。フィッシングメールはパソコンだけでなくスマホでも注意が必要です。このようなSMSを使ったフィッシング詐欺のことをフィッシングとSMSを組み合わせた造語で、スミッシング(Smishing)と言います。

不正サイトへの誘導

今まで見てきた攻撃パターンと重なりますが、金融機関やECサイト以外の偽サイトへ誘導する事例も報告されています。新型コロナに関する給付金もあってか、最近は地方自治体を装ったページに誘導する事例が増えています。

フィッシングメールの実例

次に、実際のフィッシングメールにはどのようなものがあるか見ていきましょう。フィッシングメールの事例として多いAmazon、メルカリ、宅配便の不在通知を装ったフィッシングメールを紹介します。

Amazonを装うフィッシング

Amazonを装うフィッシングは未納料金の請求、登録情報の更新依頼、Amazon.co.jpを装った偽サイトへのリンクの3種類があります。

未納料金の請求

未納料金の請求を装ってフィッシングメールが送られてきます。中には法的手続きをほのめかす詐欺メッセージもあります。メールにあるリンクをクリックしたり、記載されている連絡先に連絡したりすることはやめましょう。また、Amazonの「注文履歴」に記載されていない請求に応じる必要はありません。フィッシングかどうか判断できない場合には、公式Amazonページにある「注文履歴」を確認しましょう。

登録情報の更新依頼

「カードの有効期限が切れた」「請求先の住所が変更された」「不審な注文があった」といったメッセージから偽サイトへ誘導する場合があります。なお、Amazon Payでは支払方法の更新を促すメールは送信していません。

Amazon.co.jpを装った偽サイトへのリンク

アマゾンジャパンのamazon.co.jpサイトは、「https://●●●.amazon.co.jp/」または「https://amazon.co.jp/」で始まるURLになっています。もし、メールに記載されたURLのリンク先がそれ以外の場合は、偽サイトであり、フィッシングメールの可能性が高いので注意しましょう。

メルカリを装うフィッシング

メルカリでもフィッシングメールが報告されています。メールの差出人には「@mercari.jp」が使われ、メール本文に記載されたURLも正規の「https://mercari.com/jp/」となっています。しかし、実際にはURLとは別のリンク先となっており、偽サイトに誘導され、個人情報やクレジットカード情報の入力を要求されます。

宅配便の不在通知を装うフィッシング

宅配便の不在通知を装うフィッシングはSMSで送られてくるのが一般的です。「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください」というメッセージとリンクがありますが、リンクをクリックしてはいけません。宅配業者はSMSでメッセージを送信することはありません。

フィッシングメールの見分け方

巧妙なフィッシングメールにもいくつか不審な点は見られます。怪しいメールが届いた際は、以下で紹介する3つのポイントを参考にしましょう。

メールの送信元・ドメイン

まずはドメインに注目してみましょう。ドメインはWebサイトやEメールアドレスで必ず用いられる住所のようなものです。たとえばアマゾンジャパンであれば「amazon.co.jp」がドメインです。Eメールアドレスの場合は@以下がドメインとなります。国内の場合は「.co.jp」「.ne.jp」「.jp」などが一般的です。

フィッシングメールでは、無料で入手可能なフリーメールアドレスを用いるケースが多く、送信元の実際のアドレスや本文中にあるリンク先は正規のドメインとは異なります。例えば、「.xyz」や「.online」、また、「.pw」や「.tk」、「.to」など普段見かけることのない海外のトップレベルドメインの場合はフィッシングメールを疑ってください。また最近では「co.jp」を「.jp」にしたり、「o(オー)」を「0(ゼロ)」や「l(アイ)」を「1(イチ)」にしたりすることで誤読しやすいドメイン名にしているケースも多く見られます。

不自然な件名・本文

不自然な文字や文章が件名や本文に含まれている場合は、フィッシングメールの可能性が極めて高いです。具体的には、外国語から日本語へ直訳したような文章、不自然なピリオドやスペースが入った文章を指します。また、中国語の簡体字で使われる漢字や旧字体が含まれている場合もあります。

不審な添付ファイル

フィッシングの話からは少し逸れますが、添付ファイルが実行形式(.exe)の場合は、マルウェアに感染してしまう可能性が非常に高いです。また、「請求書」や「ドキュメント」といった件名で、ワードやエクセルファイルが添付されている場合も注意が必要です。ファイルを開き、マクロを実行するとマルウェアに感染してしまいます。添付ファイルのアイコンは詐称されていることも多く、アイコンだけで添付ファイルの種類を判断するのではなく、拡張子のチェックも行いましょう。

フィッシングメールの対策

それでは、フィッシングメールの被害に遭わないようにするにはどうすればよいのでしょうか。ここでは、被害を防ぐための対策と、メールを開いたり入力してしまったりした場合の対応方法をご紹介します。

被害に遭わないための対策

まずは被害に遭わないための対策からご紹介します。代表的なものに、以下の5つが挙げられます。

メール・SMS内のリンクや添付ファイルを開かない

普段からやり取りのある送信元から来たメールやSMSでも、リンクや添付ファイルはむやみに開かないようにしましょう。メールフィルタリング機能を過信せず、とにかくクリックしないことが重要です。不審に感じたら、正しい連絡先を確認の上、電話やメールで問い合わせる方法もありますが、まずは情報システム部門やセキュリティ担当部門に相談するのが得策です。

重要情報をメールで返送しない

フィッシングメール対策以前に、住所や電話番号、クレジットカード情報などの重要情報を安易にメールで返送してはいけません。関係者になりすまして、特定のターゲットから重要情報を聞き出すソーシャルエンジニアリングと呼ばれるサイバー攻撃も存在し、情報漏えいのリスクが非常に高いからです。

ソーシャルエンジニアリングについて詳しく知りたい方はこちらの記事をご覧ください。

人の脆弱性を狙ったソーシャルエンジニアリング|主な手口と対策
関連記事
人の脆弱性を狙ったソーシャルエンジニアリング|主な手口と対策

ソーシャルエンジニアリングと呼ばれるサイバー攻撃をご存知ですか?油断といった人の脆弱性につけ込み、機密情報などを詐取する攻撃のことで、......

二段階認証を利用する

二段階認証とは、IDやパスワードの入力(第一段階)のあとに、さらに別の手段を使って本人確認(第二段階)する認証方法です。二段階認証を利用していれば、万が一、IDやパスワードが漏洩してもログインできません。

メールセキュリティ製品の導入

フィッシングメールに対応したメールセキュリティ製品の導入を行いましょう。製品によっては、フィッシングメールの検知だけでなく、有害なリンクや添付ファイルの無害化や誤送信対策としての暗号化といった機能を実装しています。

常にOSやアプリケーションを最新版にする

OSやアプリケーションの脆弱性は、フィッシングメールに限らず、サイバー攻撃の格好の的です。日頃から脆弱性情報を確認し、ソフトウェアの最新版へのバージョンアップや、開発元が提供するセキュリティパッチの適用を行いましょう。

開いてしまった・入力してしまった場合

もし、うっかり開いてしまった場合や、個人情報を入力してしまった場合、どのように対処すればいいのでしょうか?

銀行口座の場合

攻撃者によって不正に引き出されたとしても、個人口座の場合は、預貯金者保護法に基づき、銀行が被害金額を補償します。まず、契約している銀行のヘルプデスク、相談ダイヤルに連絡します。次に、居住する地区の都道府県警察に連絡し、被害状況について相談します。

クレジットカードの場合

クレジットカード情報を誤って入力した場合、すぐにクレジットカード会社に連絡し、クレジットカードの利用を停止しましょう。なお、クレジットカード会社は不正利用分を補償しますが、不正利用日から61日を超えた分については補償の適用外になるので、注意しましょう。

SNSやWebサービスのID/パスワードの場合

利用中のSNSやWebサービスにアクセスし、パスワードを変更しましょう。Facebookのように、ログイン端末の管理ができるものはログイン状態を一度全て解除します。念のため、SNSに連携したアプリも解除しておくと安心です。

まとめ

フィッシングメールは、個人だけでなく企業にも甚大な被害をもたらすサイバー攻撃です。近年は、本物そっくりのメールやサイトを使う巧妙な手口が増えており、注意が必要です。リンクをクリックしない、添付ファイルを開かない、二段階認証を利用するなど、今一度、基本的なセキュリティ対策を見直してみましょう。

宮田 昌紀(みやた まさのり)
株式会社網屋
内部統制コンサルティング シニアマネージャー
宮田 昌紀(みやた まさのり)

網屋入社後、公認情報システム監査.(CISA)として、大手企業の情報セキュリティやITガバナンスのコンサルティング及び内部監査支援業務に携わる。近年は、サイバー対策や働き方改革など、様々な目的に応じたログの可視化や有効活用のためのソリューションコンサルティングにも従事。国内企業に限らず、外資系企業や自治体などへのコンサルティングも展開。

ホワイトペーパー

[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい

ページ先頭へ