ITmedia NEWS > 社会とIT >
インタビュー
» 2021年02月18日 08時00分 公開

大手ECなどかたるフィッシングメール、1年で5倍に 被害に遭わないためには?

大手ECサイトなどをかたるフィッシングメールが1年で5倍近く急増している。被害に遭わないためには何ができるのか、専門家に聞いた。

[山崎潤一郎,ITmedia]

 Amazonや楽天などをかたるフィッシングメールが急増している。フィッシング詐欺に関する情報を収集・発信している「フィッシング対策協議会」によると、報告数は2020年1月が6653件だったのに対し、12月には3万2171件と1年で5倍近く増加しているという。同協議会の吉岡道明さん(シニアアナリスト)は、原因としてコロナ禍に伴う在宅勤務の広まりやECサイトの利用増が考えられると話す。

photo フィッシングメールの報告件数

 「報告のあったメールはユーザー規模の多いAmazon.comやAmazon.co.jpをかたるものが最多。楽天も含めるとECサイト絡みの報告件数のほとんどを占める」

 フィッシングメールを送る側も、送信数を増やすために新たな手口を採用した可能性がある。吉岡さんはメールの報告件数が増えた背景をこう分析する。

 「フィッシングメールの種類はあまり増えていないが、(1種類あたりの)送信の頻度が以前よりも増えている。送信者たちの間でフィッシングサイトの制作やメール送信を自動化するツールが出回り、作業が効率化されている可能性がある」

 新たな手口で数を増やすフィッシングメール。では、被害にあわないためにはどんな点に注意すればいいのだろうか。

フィッシング詐欺に遭わないためには

 吉岡さんはまず、アドレスバーの「鍵マーク」に注意を配るべきと話す。通信の暗号化に対応し、サーバ証明書を取得しているサイトは、アドレスバーに鍵のマークを表示している。そのため、ネット上ではかつて「鍵マークがあれば安心」といわれていた。

 しかし、昨今はフィッシングサイトがサーバ証明書を取得している例もみられるという。つまり、鍵マークがあるからといって安全な保証はない。正規の組織が運営しているサイトかどうかを確認するためには、鍵マークを実際にクリックし、サーバ証明書の内容を確認する必要がある。

 吉岡さんは「個人情報やクレジットカード情報や口座番号等の入力を促すメールやサイトは疑ってほしい」とも話す。正規のECサイトや金融機関が、本人確認と称して個人情報の入力を促すことは基本的にないという。

 SMSを使ったフィッシング「スミッシング」にも注意が必要だ。「070」「080」「090」がついた見知らぬ電話番号から届く不在通知や料金請求などのメッセージは、プリペイド携帯電話や、不正なアプリをインストールして踏み台になった携帯から送られたメッセージの可能性があるという。

 ただし海外の携帯事業者の中には、SMSの送信者名に文字列を指定できるサービスを提供している企業もある。このサービスを悪用し、送信者名を「Amazon」などと偽るフィッシングメールもあるという。そういった場合は、文面を見て判断するしかないと吉岡さんは話す。

 一方でAmazon.comをかたるメールの真贋は、Amazonの公式サイトを使って確認できるという。Amazonは、ユーザーに送信したメールを公式サイト上でも提供する「メッセージセンター」というサービスを提供している。

 万が一Amazon.comをかたるメールを受信し、本物かどうか区別がつかない場合、メッセージセンターを確認することで見分けやすくなる。ただし少しでも不審な点があれば、油断せずメールを削除するなどの対応を取る必要がある。

 手を変え品を変え送り続けられるフィッシングメール。吉岡さんは「フィッシング詐欺は今後も行われ続ける。しかしどんな会社やブランドをかたるフィッシングが行われるかの予測は難しい」と話す。そのためフィッシングメールや偽サイトを見つけた場合は、正規の事業者やフィッシング対策協議会の窓口に連絡して欲しいとしている。

Copyright © ITmedia, Inc. All Rights Reserved.