詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策(1/2 ページ)

» 2022年06月26日 09時00分 公開
[渡辺まりかITmedia]

 スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。

 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。

 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。

個人情報をだまし取る

 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。

 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のサイトに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザーID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。

 「フィッシング詐欺を行うための電子メール」が、いわゆるフィッシングメールというわけです。

 フィッシングメールの目的は、本家を装った偽のサイト(フィッシングサイト)に誘導し、個人情報やユーザーID、クレジットカード番号、セキュリティコード、パスワードなど決済に関係する情報をだまし取ること。

 情報をだまし取った詐欺師は、クレジットカードの限度額いっぱいまでキャッシングでお金を引き出したり、決済情報とリンクしたECサイトの利用者住所を自分のものに変更した上で買い物をしたりするなど、情報を不正に使用します。買ったものは、フリマアプリなどを使い、転売して現金化することで利益を得ます。

 フィッシング詐欺に遭ってしまった人は、気づいたら身に覚えのない請求書が届くという悲惨な境遇に陥ってしまうのです。

緊急性の高さを装う

 「フィッシング詐欺に自分が引っ掛かるわけがない」とほとんどの人は考えることでしょう。筆者もそう考えていました。

 ところがあるとき、次のような文面のメールが届きました。

日頃より「えきねっと」をご利用いただきありがとうございます。

「えきねっと」は 2022年5月06日にサービスをリニューアルいたしました。これに伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算して2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウントは、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退会処理を、本規約に基づき、2022年5月20日より順次、実施させていただきます。

2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、2022 年6月20日よりも前に、一度ログイン操作をお願いいたします。

⇒ログインはこちら

※えきねっとトップページ右上のログインボタンよりログインしてください。

フィッシングメール 日本語が、だいぶうまくなってきています。もしかしたら、何かの方法で本物のメールを手に入れて、その本文をコピペしたのかもしれません

 「そういえば、最後に使ってから2年たったかも。コロナ禍も落ち着いて、大阪や名古屋方面の取材があるかもしれないから、早めにログインしておかなくちゃ」と危うくクリックしそうになりました。しかし、落ち着いて考えてみたら、登録しているものとは異なるメールアドレスに届いていますし、2年間利用していなかったため、2021年中に自動退会させられていたのです。

 フィッシング詐欺について知っていて、どちらかといえば啓もうする立場にある筆者でさえ焦ってしまったのです。

 ここからは、フィッシング詐欺にだまされないようにするいくつかの方法を紹介していきます。

送信者のメールアドレスをチェックする

 フィッシングメールでは、送信元を詐称します。例えば、上に挙げたメールは、送信者が「eki-net.com」となっていますが、送信者情報にはeki-net.comとは異なるドメインが表示されました。PCのメーラーであれば、送信者名とメールアドレスの両方を表示するので間違えることはありませんが、スマートフォンの場合は一見すると分かりにくいので注意が必要です。

フィッシングメール
フィッシングメール 送信者と送信者情報が異なる例。iPhone標準のメーラーでは送信者名をタップ(左)、青文字になったら再度タップ(中)すると、詳細が表示される(右)
フィッシングメール Gmailアプリは、iOS版とAndroid版で挙動が異なります。iOS版では頭文字のアイコンをタップ(左)で表示(中)しますが、Android版では送信者名を長押しで表示できます(右)。なお、画像はフィッシング詐欺メールではなく、正真正銘コストコから届いたものです
フィッシングメール Outlookは、どちらのOSでも送信者名をタップすれば(左)送信元メールアドレスが表示されます(右)

 SMSに届いたものでもチェック方法は基本的に同様ですが、電話番号が送信元になっていることもあります。

フィッシングメール 宅配業者を装ったSMS

 ドライバーの電話番号を連絡先に入れていない限り、見破るのが難しいと考えるかもしれません。しかし、電話番号で検索すれば、ほとんどの場合、フィッシングメールであるかどうかを判別できます。

フィッシングメール 電話番号検索したところ、「危険」な電話番号であること、宅配業者を装った文面のSMSが届いたという事例の報告がヒットしました

 ただし、送信元メールアドレスを偽装することもできるため、必ずしもチェックすればすべてOKというわけではありません。PCのメールアプリであれば、表示されているメールアドレスのドメインと実際の送信元ドメインが一致しているかを判別する「メールヘッダー情報」を確認できますが、ヘッダー情報も偽装できるため万全の対策ではありません。また、多くのスマホメーラーではメールヘッダー情報を閲覧できません。そのため、以下に記載した項目もチェックしてみてください。

【更新:2022年6月27日16時30分 送信元メールアドレスを偽装できる件について追記いたしました。】

【更新:2022年6月28日18時00分 ヘッダー情報も偽装できる件について追記いたしました。】

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

最新トピックスPR

過去記事カレンダー

2024年