詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策(1/2 ページ)
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。
ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。
「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。
個人情報をだまし取る
総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のサイトに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザーID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
「フィッシング詐欺を行うための電子メール」が、いわゆるフィッシングメールというわけです。
フィッシングメールの目的は、本家を装った偽のサイト(フィッシングサイト)に誘導し、個人情報やユーザーID、クレジットカード番号、セキュリティコード、パスワードなど決済に関係する情報をだまし取ること。
情報をだまし取った詐欺師は、クレジットカードの限度額いっぱいまでキャッシングでお金を引き出したり、決済情報とリンクしたECサイトの利用者住所を自分のものに変更した上で買い物をしたりするなど、情報を不正に使用します。買ったものは、フリマアプリなどを使い、転売して現金化することで利益を得ます。
フィッシング詐欺に遭ってしまった人は、気づいたら身に覚えのない請求書が届くという悲惨な境遇に陥ってしまうのです。
緊急性の高さを装う
「フィッシング詐欺に自分が引っ掛かるわけがない」とほとんどの人は考えることでしょう。筆者もそう考えていました。
ところがあるとき、次のような文面のメールが届きました。
日頃より「えきねっと」をご利用いただきありがとうございます。
「えきねっと」は 2022年5月06日にサービスをリニューアルいたしました。これに伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算して2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウントは、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退会処理を、本規約に基づき、2022年5月20日より順次、実施させていただきます。
2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、2022 年6月20日よりも前に、一度ログイン操作をお願いいたします。
⇒ログインはこちら
※えきねっとトップページ右上のログインボタンよりログインしてください。
「そういえば、最後に使ってから2年たったかも。コロナ禍も落ち着いて、大阪や名古屋方面の取材があるかもしれないから、早めにログインしておかなくちゃ」と危うくクリックしそうになりました。しかし、落ち着いて考えてみたら、登録しているものとは異なるメールアドレスに届いていますし、2年間利用していなかったため、2021年中に自動退会させられていたのです。
フィッシング詐欺について知っていて、どちらかといえば啓もうする立場にある筆者でさえ焦ってしまったのです。
ここからは、フィッシング詐欺にだまされないようにするいくつかの方法を紹介していきます。
送信者のメールアドレスをチェックする
フィッシングメールでは、送信元を詐称します。例えば、上に挙げたメールは、送信者が「eki-net.com」となっていますが、送信者情報にはeki-net.comとは異なるドメインが表示されました。PCのメーラーであれば、送信者名とメールアドレスの両方を表示するので間違えることはありませんが、スマートフォンの場合は一見すると分かりにくいので注意が必要です。
Gmailアプリは、iOS版とAndroid版で挙動が異なります。iOS版では頭文字のアイコンをタップ(左)で表示(中)しますが、Android版では送信者名を長押しで表示できます(右)。なお、画像はフィッシング詐欺メールではなく、正真正銘コストコから届いたものです
SMSに届いたものでもチェック方法は基本的に同様ですが、電話番号が送信元になっていることもあります。
ドライバーの電話番号を連絡先に入れていない限り、見破るのが難しいと考えるかもしれません。しかし、電話番号で検索すれば、ほとんどの場合、フィッシングメールであるかどうかを判別できます。
ただし、送信元メールアドレスを偽装することもできるため、必ずしもチェックすればすべてOKというわけではありません。PCのメールアプリであれば、表示されているメールアドレスのドメインと実際の送信元ドメインが一致しているかを判別する「メールヘッダー情報」を確認できますが、ヘッダー情報も偽装できるため万全の対策ではありません。また、多くのスマホメーラーではメールヘッダー情報を閲覧できません。そのため、以下に記載した項目もチェックしてみてください。
【更新:2022年6月27日16時30分 送信元メールアドレスを偽装できる件について追記いたしました。】
【更新:2022年6月28日18時00分 ヘッダー情報も偽装できる件について追記いたしました。】
関連記事
ドコモが「迷惑メール展」開催 フィッシング詐欺の手口や対策を共有
NTTドコモは、2月15日〜3月18日にオンライン上で「みんなでシェアして、みんなを救おう。#迷惑メール展」を開催。迷惑メールの事例や対策を紹介し、被害を未然に防ぐことを目的としている。
ドコモ、フィッシング詐欺対策で「危険SMS拒否設定」を3月中旬から提供
NTTドコモはSMSを悪用したフィッシング詐欺への対策を目的に、危険なサイトのURLなどが含まれるSMSを自動で拒否する「危険SMS拒否設定」を3月中旬から提供予定。ahamoを含めた全てのドコモユーザーが対象となる。
不正アプリをインストールしてしまったら? 携帯各社がフィッシング詐欺へ注意喚起
NTTドコモ、KDDI、ソフトバンク、楽天モバイルは、通信事業者などを装うフィッシング詐欺へ注意喚起。被害を防ぐためにユーザーが注意すべき点や、不正なサイトへのアクセスや不正アプリのダウンロード時の対応についても案内している。
2段階認証すら突破する場合も フィッシング詐欺から身を守るには? NTTドコモに聞く
携帯キャリアや宅配業者を装った、身に覚えのないSMSやメールが届いたことがある、という人は多いだろう。個人情報を盗まれてアカウントを乗っ取られたり、不正なアプリをインスールしたりする恐れがある。こうした「フィッシング詐欺」で被害に遭わないための対策をNTTドコモに聞いた。
Appleをかたるフィッシングメールが出回る
フィッシング対策協議会はAppleをかたるフィッシングメールについて報告を受け、1月23日の15時現在でフィッシングサイトが稼働中であると発表。JPCERT/CCにサイト閉鎖のための調査を依頼しており、Apple IDやパスワードなどを入力しないよう注意を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 「iPhone 17e」と「iPhone 17」は何が違う? 3万円の価格差をスペックから検証する (2026年03月10日)
- 「iPad Air(M4)」実機レビュー 「もうProじゃなくてもいい」と思えた性能、だからこそ欲しかったFace ID (2026年03月09日)
- 「iPhone 17e」を試して分かった“16eからの進化” ストレージ倍増と実質値下げで「10万円以下の決定版」に (2026年03月09日)
- 自分で修理できるスマホ「Fairphone(6th Gen.)」を見てきた わずか10分で画面交換、2033年まで長期サポート (2026年03月10日)
- 携帯キャリアの通信9サービス、総合満足度はpovoがトップ サブブランド勢が好調 MMDが調査 (2026年03月10日)
- 60ms未満の音声遅延速度で端末をワイヤレス化「UGREEN USBオーディオトランスミッター」が30%オフの2309円に (2026年03月09日)
- キーボード付きスマホ「Titan 2 Elite」がUnihertzから登場 実機に触れて分かった“絶妙なサイズ感” (2026年03月09日)
- Qualcommのウェアラブル新チップが「Elite」を冠する理由 最新モデム「X105」は衛星通信100Mbpsへ (2026年03月11日)
- 【無印良品】ウエストポーチもになる「スリングバッグ」が3990円に値下げ中 植物由来の原料を使用 (2026年03月11日)
- 「えっ、地震?」──LINEが安否確認テスト 1日限定で 「紛らわしい」との声も (2026年03月10日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。