フィッシングメール詐欺は、メールアドレスを持っている人であれば誰しもが被害者になる可能性のある、身近なサイバー攻撃です。
メールを利用しているのであれば、いつフィッシングメールの被害者になるかわかりません。
フィッシングメールとはなにか、どのような手口で詐欺をおこなっているのかを理解して、あらかじめ備えておきましょう。
フィッシングメールとは
フィッシングメールとは、送信している人間を偽装し、偽のメールアドレスから公式によく似たメールを送信することです。
あまりにも公式に似ているため、メールに記載されているURLへ誘導し、パスワードやユーザーID、銀行口座の番号など個人情報を盗み出す詐欺に使われています。
また、フィッシングメールによる詐欺や被害は増えつつあります。
情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威2022」を確認すると、「フィッシングによる個人情報等の詐取」が個人部門では1位の脅威となっています。
このことからも、フィッシングメールはインターネットが当たり前となったなかで、最も身近であり恐れるべき脅威でもあると言えるでしょう。
さらに、フィッシング対策協議会が発表した「フィッシングレポート2022」によると、2021年度のフィッシングメールの被害届の提出は526,504件と、2020年度の約2倍にもなっています。
このように、被害が増え続けているのがフィッシングメールの現状です。
フィッシングメールはスパムメールとは違う
フィッシングメールとスパムメールは、どちらも送られてくると迷惑をこうむるメールであることには違いがありません。
しかし、フィッシングメールとは個人情報を抜き出すための詐欺の手法としてつかわれるメールです。
一方、スパムメールは広告付きの無差別に送られてくるメールであり、メールにはウイルスつきのファイルが添付されていることもあります。
細かくわけるとこのような違いはありますが、フィッシングメール同様、スパムメールに関しても注意が必要であることに変わりはありません。
フィッシングメールの具体的な手口
フィッシングメールを使った詐欺の手口には、具体的にはどのような物があるのでしょうか。
いくつか具体例を挙げたので、確認してみましょう。
IDやパスワードを入力させる
主に大手の通販サイトであるAmazonや楽天などでそういったメールが送られてくることがあります。
公式HPを騙っているため、メール内の画像やメール本文も公式に似ていることがほとんどです。
しかし、思い当たる節がないのであれば、むやみにクリックをしてはいけません。
盗み出したログイン情報を使用し、勝手に商品を購入されることもあります。
クレジットカードの番号を入力させる
「お支払情報が確定していません」といった内容で、メールが送られてくることもあります。
一度クレジットカード番号を入力してしまうと、すぐに使われてしまう可能性が大きいです。
思い当たるものがある場合でも、クレジットカード番号を入力しなければいけない場合は、一度手を止めて確認しましょう。
クレジットカード番号は、一度盗まれてしまうとあとが大変ですので、慎重におこないましょう。
不正サイトへ誘導させる
メールの本文に記載されたURLをクリックさせ、不正サイトへ誘導させることもあります。
この場合は、不正サイトにあるウイルスを感染させることが目的であり、そうなった場合個人情報を盗まれるだけではなく知り合いの情報までもが盗まれる恐れがあります。
つまり、自分が被害者だったのに、加害者になる可能性もあるのです。
フィッシングメールに記載されているURLは、むやみにクリックしないようにしましょう。
フィッシングメールの実例
どのようなものがフィッシングメールというのか、わからない方のために具体例を紹介します。
実際に送られたことがある方もいるかもしれませんが、一度確認しておきましょう。
楽天を装ったフィッシングメール
楽天を語るフィッシングメールは、「楽天銀行」「楽天カード」など、様々なメールで「楽天」を装って送ってきます。
具体的に解説すると、件名に「楽天市場」と書かれてあるのに使われているロゴが別のサービスの場合は、フィッシングメールです。
実際に楽天の公式HPを確認すると、件名とロゴマークのサービスが異なった状態でメールを送ることはないと書かれています。
たとえば、件名に「楽天カード」と書かれてあり、本文に使われているロゴマークも「楽天カード」のものであれば、安心しても良いメールです。
このように、ほとんどの公式HPではフィッシングメール詐欺に合わないよう注意喚起をおこなっているので、疑問を感じた場合はすぐに確認するようにしましょう。
JRえきねっとを装ったフィッシングメール
JRえきねっとを騙った「自動退会」のフィッシングメールが、ここ数年で流行しています。
JRえきねっとはネット上で新幹線のチケットが安く買えるサイトであり、使っている方も多いでしょう。
このサイトは、2年以上ログインしていないと、自動的に退会処理されてしまうという機能が本当にあります。
この機能を巧妙に活用し、公式に偽装したメールを送信しフィッシングサイトへ誘導させているのです。
新型コロナウイルスの流行により、JRを使う機会が減りました。
その現状から、実際にずっとログインしていなかった方がここぞとばかりに不正URLをクリックしてしまうことが、立て続けに起きています。
さらに、本文も公式の本文と同じものを送ってくるため、騙される可能性も高いです。
JRえきねっとを使用した事がない方であれば気にしなくても大丈夫ですが、それ以外の方はまず送信してきたメールアドレスを確認しましょう。
JRえきねっとの公式HPでも注意喚起がされています。
フィッシングメールの詐欺が多い現代において、こういった情報は自らキャッチしておきましょう。
Amazonを装ったフィッシングメール
Amazonを語るフィッシングメールは、おそらくほとんどの人が受け取ったことがあるかもしれません。
Amazonは最大手の通販サイトなので、利用しているユーザー数も多いからです。
たとえばAmazonを騙ったフィッシングメールで多いのは、「Amazon Primeの支払いができませんでした」「アカウントの利用を停止しています」といったメールを送り、個人情報やクレジットカードの番号を盗み出す手口です。
Amazonは基本的に、普通に使用していればアカウントが停止されることはありません。
Amazonの公式HPでは、フィッシングメールへの対策を積極的におこなっていることが確認できます。
「本当にこのメールはAmazonからきたものなのか?」「これはAmazonを騙ったフィッシングメールだ」と思ったときは、問い合わせるようにしましょう。
フィッシングメールの被害に遭わないための対処法
フィッシングメールの被害に合わないための対処法は、どんなものがあるのでしょうか。
具体的なフィッシングメールの対処法を解説していきます。
差出人のアドレスを確認する
まず一番最初に、差出人のアドレスを確認しましょう。
たとえば@前が「info」などど書かれていたとしても、@以降は公式のメールアドレスと異なることが多いです。
例えばAmazonであれば@以降は「amazon.co.jp」と書かれています。
偽物のメールは「co.jp」ではない物であることが多く、すぐに偽物だとわかるでしょう。
Amazonだけではなく多くの公式サイトを確認すれば、本当の公式から送られてくるメールアドレスを確認することができます。
メールアドレスに不審な点が見つかった場合は、メールごと削除することがおすすめです。
すぐにURLを開かない
たとえ思い当たる節があった場合や、公式からきたメールのように感じた場合でも、すぐにはURLは開かないようにしましょう。
本当に送られてきたメールが正しいものなのかどうか、確認してから開くことをおすすめします。
怪しいメールは公式ホームページを確認する
怪しいと思ったメールがあった場合は、公式のホームページを確認しましょう。
公式のホームページには大体、フィッシングメールの事例や注意喚起が書かれてあります。
その中に、自分が受け取ったメールと同じものがあった場合は開かずにすぐに削除してください。
件名や本文の日本語がおかしくないか確認する
フィッシングメールは海外から送られてくることもあります。
そのため、件名や本文に書かれてある日本語に違和感を感じることもあるでしょう。
少しの違和感を感じた場合は、すぐにメールを削除してください。
公式から送られてくるメールは、丁寧な日本語が書かれてあるはずです。
そのため、このように文面から気づくこともできます。
セキュリティソフトの導入
メールセキュリティソフトを導入し、フィッシングメールを振り分けることもできます。
ソフトによってはメールだけではなく不審なファイルも検知して、削除してくれるものもあります。
一度メールアドレスが流出すると多くのフィッシングメールが送られてくるので、ソフトの導入を考えることも大切です。
二段階認証を採用する
近年二段階認証を採用したセキュリティ強化が増えました。
Amazonやgmailなどのサービスは、ログインしたあと登録した電話番号あてにショートメッセージが送られ、ログインを許可する旨のメッセージが送られてくることもあります。
電話番号は持っている本人のスマートフォンでしか使えないため、この二段階認証をすることで未然に詐欺を防ぐこともできるでしょう。
そのため、万が一間違えてログイン情報を入力してしまっても、不正にログインさせることを防ぐことができます。
フィッシングメールの被害に遭ったらどうすべき?
万が一フィッシングメールの被害にあってしまった場合、どうするべきなのでしょうか。
迅速に対応すべき点について、確認していきましょう。
銀行に連絡する
クレジットカードや銀行口座の番号を入力してしまった場合は、まず銀行に連絡しましょう。
口座をすぐに止めてもらうことができれば、お金が引き落とされる心配はありません。
口座を止めた後は口座番号の変更やキャッシュカードの変更など、手続きが発生してしまいますが、二次被害にあわないためにも最初の段階ですべて変えるようにしましょう。
クレジットカードを止める
クレジットカード番号を入力してしまった場合、すぐにクレジット会社へ連絡しカードの使用を止めてもらいましょう。
不正利用された後でも、クレジット会社によっては補償してもらえる可能性はあります。
また、不審な使い方をされているとすぐに連絡が来て、会社側の判断で止められることもありますが、入力してしまった後はすぐに自分から連絡した方が良いです。
クレジットカードの場合も、新しいカードへの変更やパスワードの再設定などに時間がかかります。
しかし、なるべく多額の被害にならないよう迅速に対応することが大切です。
パスワードをすべて変える
ログイン情報を入力してしまった場合、すぐにパスワードを変更しましょう。
パスワードが流出すると、ほかのサイトのパスワードも流出してしまう場合があります。
もしも使いまわしているのであれば、すべてのサイトのパスワードを変更した方が安全です。
また、二段階認証も利用しておきましょう。
万が一ログインされても、二段階認証は本人のみしかできないため、未然に防ぐことが可能だからです。
フィッシングメールに対する警戒心を持とう
フィッシングメールは身近にある詐欺です。
インターネットが普及し、メールが当たり前となっている現代、誰もが被害者になる可能性が高い詐欺となっています。
ここ数年でフィッシングメールの件数は減っておらず、むしろ増えている一方です。
こういった詐欺は消えることはほぼなく、自分で要望や対処をしていくしかありません。
ひょんなことからフィッシングメール詐欺に遭うことなく、適切な防止策を事前に自ら取り、安心して過ごしていきましょう。