メールで獲物を釣り上げるphishing詐欺、大物狙いの“捕鯨”も：IT基礎英語

[鈴木聖子，ITmedia]

　「お客様のアカウントが停止されています」「あなたが接触した友人が新型コロナウイルスに感染しました」――。そんな内容で不安をあおり、相手をだまそうとする「phishing」詐欺メールが増えているという。

　phishingは、「fishing（魚釣り）」の"f"を"ph"に置き替えてつくられた造語。餌で魚をだまして釣り上げるように、電子メールで相手をだまして不正なリンクや添付ファイルをクリックさせ、パスワードなどの情報を盗もうとする。「phish」という動詞や名詞として使われることもある。

　"f"が"ph"になったのは、洗練された手口の巧妙さを表す「sophisticated」に由来するという説や、1970年代の無料通話を目的とした電話ハッキング「phone phreak」に由来するという説が有力らしい。

　phishingに利用されるのが電子メールばかりとは限らない。SNSのメッセージング機能を悪用する手口や、スマートフォンのSMSを使った「smishing（スミッシング）」なども横行するようになった。

　不特定多数を狙うfishingは、その時々のニュースや話題に便乗したり、大手企業の名をかたったりしてリンクをクリックさせようとするのが常套手段。今年は新型コロナウイルスに便乗する詐欺メールが世界中で出回った。

Received a strange email or text about COVID-19? Think twice before clicking on any links and attachments. They could be trying to phish or smish you, which is how criminals use social engineering to access your personal information. （Europol）

COVID-19（新型コロナウイルス）に関する不審な電子メールやSMSを受信しましたか？　リンクや添付ファイルをクリックする前に、よく考えてください。フィッシングやスミッシングかもしれません。これは犯罪者がソーシャルエンジニアリングを使ってあなたの個人情報にアクセスする手口です。

Europolからの警告

　こうした詐欺師たちは国際展開しているらしいので、メールの文面はネイティブが書いているとは限らない。けれど外国人が頑張って書いた文章は日本語や英語に不自然な部分があって、よく読めば比較的簡単に見破れる。私も何年か前に“三菱東京UFJ銀行”から、「貴様のアカウントの利用中止を避けるために云々」というメールを受け取ったことがある。貴様、って確かに漢字だけ見ると丁寧な言葉に見えるかも（笑）と、日本語学習者の苦労に思いをはせたりした。

　しかしそんな呑気なことを言っていられる時代ではなくなりつつある。だましの手口はどんどん進化していて、特に企業を狙うビジネスメール詐欺は巧妙化の一途をたどる。

　そうした大物狙いが仕掛けるのが「spear phishing（スピアフィッシング）」という攻撃。spearは槍や銛のような先のとがった道具のことで、spear phishingは槍で獲物を突くように、特定の標的を狙いすまして詐欺メールを送り付ける。この手の詐欺は、ネットやSNSで公開されている情報などをもとに、狙った相手の社名から肩書、交友関係、取引先まで事前に詳しく調べ上げたうえで展開される。

　獲物の大きさでいえば、CEOやCFOなど経営陣に照準を絞ったphishingが横行して、捕鯨を意味する「whaling（ホエーリング）」と呼ばれたこともあった。

　phishing詐欺で盗まれた情報は、本人の知らないうちに闇サイトで売買されていたりする。特定の標的を狙うspear phishingやwhalingは、ソーシャルエンジニアリングやマルウェア、不正侵入などあらゆる手口を組み合わせて仕掛けられることも多い。従業員が1人でもだまされれば、個人情報や社外秘情報が流出するなどの重大な被害を招きかねない。