ML weekly
バックナンバー

特集:アカウントやパスワードを狙うフィッシング詐欺メールの見抜き方

Yahoo!ブックマークに登録 このエントリーをはてなブックマークに追加 mixiチェック Clip to Evernote twitterに投稿
 銀行やネットサービス会社を装い、パスワードの変更を要請する詐欺メールが頻繁に出回っています。中身を見ると、アカウントが不正使用されたので記載のアドレスから変更手続きをするようにと書いてあります。内容を信じて指示されたサイトヘアクセスしてしまうと、ウイルスに感染したり本物そっくりの偽サイトに誘導され、大切なアカウントやパスワード情報を盗み取られます。このような手口をフィッシング詐欺と言います。

 インターネット上にはさまざまなオンラインサービスがあふれています。こうしたサービスを利用する際、多くの人は同一のアカウント名とパスワードを使いまわしています。そのため、フィッシング詐欺でアカウント情報を盗まれてしまうと、複数のサービスで不正ログインあれ、盗難被害を受けます。

 フィッシング詐欺に遭わないためには、不審なメールが届いても冷静に内容を判断するのが大切です。そこで、最近のフィッシング詐欺メールの特徴と見抜き方について取りあげます。

● 金銭だけでなくあなたの分身も奪うフィッシング詐欺

 フィッシング詐欺と言えば、インターネットバンキングのアカウントとパスワードを狙うのが主流でした。今ではネットゲームやポイントサイトにまで広がっています。これらのアカウントとパスワードを盗み出すと、犯人はすぐさまサービスにログインします。そして、手間暇かけて手に入れたゲームアイテムや獲得したポイントを残らず盗み取ります。盗み取ったアイテム類はゲーム内で他のプレイヤーに売り払い、それで得た専用の仮想通貨を現金化できるサイトで換金します。また、ポイントサイトで獲得したポイントは電子マネーなどに交換した後、何らかの手段で売却します。

 LINEなどSNSでも使い回しのアカウントを使っているとさらに深刻な問題を引き起こします。詐欺の犯人は、盗み出したアカウントでSNSにログインして本人になりすまし、友人に電子マネーの購入を肩代わりするメッセージを送ります。そして、金銭に相当するコード番号を聞き出してだまし取ります。身近な知り合いからの依頼とばかりに疑うことなく信用してしまい、被害に遭うケースが増えています。

 フィッシング詐欺に遭ってしまうと、財産も知り合いの信用も短時間のうちに失います。日頃から危機意識を持つことが必要です。

● 最近のフィッシング詐欺メールの特徴

 一部脚色していますが、フィッシング詐欺は次のようなメールを送りつけてきます。なお、社名やサービスは架空のものです。

    送信者:abc銀行
    件名:パスワードを変えてください

    お世話になっています。あなたのアカウントが誰かに不正アクセスされました。パスワードの変更をしてください。

    (変更手続き用のURL)

    ====================
    abc銀行

 最初は動揺しそうな内容ですが、疑わしい箇所が数多く見つかり、出所も怪しいメールであることがわかります。

 最近のフィッシング詐欺メールには次のような特徴があります。

・ 送信者に中途半端な会社名で記述

 受信者を信用させようと、送信者の欄には銀行名やサービス会社名が日本語で書いてあります。しかし、銀行であれば「○○銀行株式会社」と正式名称を用いるところを「○○銀行」と簡易表記になっています。公式案内には正式名称を記述するのが基本であるため、偽物であることがすぐにわかります。

・ 件名が簡素

 重要な告知であるのに、「パスワードを変えてください」や「アカウント変更のお願い」のように事務連絡で使うような件名をつけています。会社が公式に出す告知メールはもっと形式的な書き方をします。

・ 本文が数行で稚拙

 メール本文を見ると、いかにも公式文書とは思えない文章を書き連ねています。たとえば、冒頭で「お世話になっています。」と書いてあるのはその典型です。顧客宛の重要な案内であれば、「サービスをご利用のみなさまへ」や「〜各位」など、かしこまった書き出しをするのが普通です。

 さらに、事態の説明もなしに、「パスワードの変更をしてください。」や、「あなたのパスワードが盗み出されました」など、相手を動揺させる文句を並べるのはぶしつけで不自然です。これでは「このメールは詐欺です。」と自ら提示しているようなものです。

・ 署名が会社名のみ

 詐欺メールの署名は、会社名とフィッシングサイトへの誘導先しか書いてありません。公式メールの署名であれば、会社の正式名称と担当部署、所在地、問い合わせ先の電話番号が必ず明記されています。これらは、メールの信用を高めるだけでなく、ネット以外の方法で問い合わせができるように配慮しているためです。連絡先が一切書いてないのは詐欺メールの典型です。

・ ぎこちない日本語文章

 詐欺を意図したメールには、日本人であれば絶対にしないようなでたらめな文法を用いている箇所がたくさん見つかります。重要なメールほど文面は厳格です。公式文書としてあり得ないような日本語表現を含んでいれば確実に詐欺メールです。

● フィッシング詐欺の見抜き方

 これまで説明した詐欺メールの特徴をふまえ、フィッシング詐欺の見抜き方をまとめます。

{フィッシング詐欺メールを見抜くためのチェックリスト}

  1. メールの送信先は自分が登録しているサービスか
  2. (登録してないサービス会社からであれば明らかに詐欺)
  3. 送信メールのアドレスは会社のドメインを使用しているか。
    (GmailやYahoo!メールのアドレスを使っていれば確実に偽物)
  4. 送信者名に会社の正式名称が記述されているか。
  5. 件名は公式文書に使うような形式的な表記をしているか
    (「不正アクセスによる顧客情報流出に関するお知らせ」など)
  6. ・ 本文の書き出しは適切な表記をしているか
    (「お世話になっています」のような書き出しは公式文書で絶対にしません。)
  7. 本文に、事態の経緯や社内での対策について具体的な説明が書いてあるか。
  8. パスワードの変更を求めるときは詳細な手順が書いてあるか。
    (URLだけ書いて、単にクリックするだけの指示は絶対にしません。)
  9. サポート窓口や電話での問い合わせ先が記載されているか。
    (パスワードの変更を求める緊急事態のときは、社内に専門部署が必ず設置されています。)
  10. 本文にお詫びの一文が含まれているか。
    (顧客に不便をかけた事態へのお詫びを述べるのは儀礼です。)
  11. 署名には、会社の正式名称のほか電話番号などの連絡先がきちんと書いてあるか。
    (公式メールに不可欠な情報です。)

 ネット銀行の口座をねらった対策については、次の記事でも解説しています。あわせてご覧ください。

 くれぐれも、内容を鵜呑みにして、メールに記載のアドレスをクリックしないようにだけは注意してください。

● 公式サイトや他の情報源で確かめる習慣をつけよう

 パスワードの変更や不正アクセスにより外部への情報流出が起きたときは、サービスを運営する会社が公式サイトで必ず告知します。また、銀行や大手ネットサービスであれば新聞やテレビでも取りあげます。

 サービス会社を名乗ってパスワードの変更を求めるメールが届いたときは、公式サイトで真偽を確かめてください。その際、メールに記載のサイトのURLではなく、検索サイトで会社名を入力して表示されたものをクリックしてください。詐欺メールに記載のURLはフィッシングサイトへの誘導先と思ってまず間違いありません。検索サイトなど、信用できる情報源を通じて該当先へアクセスするようにしてください。

 最近は、詐欺メールに記載のURLが巧妙で、対象の会社に酷似したドメイン名を使用しています。たとえば、abc-service.comが正式であった場合、詐欺メールにはabcservice.comのようにハイフン(-)のないドメインを用いています。このドメインは詐欺の首謀者が所有しており、該当する会社とは一切関係ありません。

 悪質なフィッシング詐欺は日に日に増え、手口も巧妙になってきています。ネットで管理している大事な資産を守るためにも、フィッシング詐欺には十分注意してください。


★★ 感想をお聞かせください ★★
1. 役に立った 2. まあよかった 3. いまひとつだった 4. 興味がなかった
クリックはひとつのみでお願いします。集計結果は表示されません。


前の記事   記事一覧   次の記事
全バックナンバー

MLweeklyトップページ



「メーリングリスト週刊情報誌MLweekly」
「メーリングリストインフォメーションストリート」
(C) 1998-2018 by A. SATO, All rights reserved.
当サイトの内容を無断転載することを禁じます。