最新フィッシングメール図鑑 引っかからないための4つのポイント
主なフィシングの手口はこうだ。
1.銀行や通販などの有名企業を装ってメールをターゲットに送る
2.メール内に仕込んだ偽装URLのリンクをクリックさせて偽のホームページへ誘導
3.クレジットカード番号やID・パスワードなどを入力させて、不正に個人情報を入手する
個人情報を入手した犯罪者たちは、他人になりすまして買い物をしたり、銀行口座からお金を引き出したりするなど、その被害は深刻だ。
実は筆者のところにも、毎日のようにフィッシングメールが届いている。
最近は、Amazon、Apple、ゆうちょ銀行などを騙ったメールがたけなわのようだ。
しかし、これまで幸いにして一度もクリックしたことはない。というのも、フィッシングメールは、ポイントさえ押さえれば見分けることができるからだ。
今回は筆者が実践しているフィッシングメールを見分けるための4つポイントをご紹介しよう。
■見分け方のポイント1:リンクが偽装されている
フィッシングメールの目的は、相手を偽サイトに誘導すること。なので、メール内に貼られているリンクは当然のことながら偽装されている。リンクの文字列と、実際のリンク先が異なっており、相手に誤認させるようになっているのだ。
偽装リンクは、以下の方法で簡単に確認できる。
1.リンクをマウスオーバーする(スマホの場合はリンクをロングタッチ)
2.表示されたリンク先URLが文字列と異なっているか確認する
これで文字列とリンク先が異なっていれば、そのメールはほぼ確実にフィッシングメールと断定できる。
筆者の場合、最近やたらと受信するのがゆうちょ銀行を騙ったフィッシングメールだ。日本語も自然でよくできてはいるものの、リンクをマウスオーバーすると、実際のリンク先が異なる偽装リンクであるため簡単に見破れる。
■見分け方のポイント2:リンク先URLが本物と似せてある
フィッシングメールの中には、リンク自体はあえて偽装せず、本物と似たドメインで作成した偽サイトのURLを貼り付けているものがある。
この場合、文字列とリンク先が同じだからとうっかりクリックしてしまわないように注意しよう。
たとえば、Amazonを騙ったメールの例では、「support-amazon.com」のように、いかにも関係がありそうなドメインになっていることがある。本物サイトのURLと比較して、怪しいものはクリックしないようにしよう。
筆者が受信したAmazonを騙ったフィッシングメール。リンクをマウスオーバーすると、Amazonに似てはいるものの、実際には無関係なURLがリンク先になっていた。
■見分け方のポイント3:複数のアドレスに一斉送信されている
通販会社や銀行から届く本物のメールなら、一人ずつメールが送信されるのが普通だ。しかし、フィッシングメールの中には、なぜか一斉送信されていて、宛先に大量のメールアドレスが記載されているものが多い。
一般の企業が利用者の複数のアドレスを晒して一斉送信することはありえない。このようなメールを受け取ったら、フィッシングメールであることが濃厚だ。見分け方のポイント1および2で解説した方法でリンク先を確認しよう。
宛先欄に複数のメールアドレスが記載されて一斉送信されているものが多いのもフィッシングメールのよくあるパターンだ。
■見分け方のポイント4:日本語が不自然、文字化けがある
メールの文章が不自然なのもフィッシングメールによくあるパターンだ。
・文章が機械翻訳したようにぎこちない
・一般的に使われないような言い回しがある
・文末のコピーライト表記などが文字化けしている
これらの特徴があれば、フィッシングメールである可能性が高いので要注意。見分け方のポイント1および2で解説した方法でリンク先を確認しよう。
こちらもAmazonを騙ったフィッシングメール。日本語ではあまり使われない大げさな表現や芝居じみたセリフなどが目立つ。文字化けがあることも多い。
■ふだんから情報収集して防衛しよう
フィッシングメールは手を変え、品を変えやって来る。ふだんからできる対策としては、専門機関が発信する情報をマメにチェックすることをおすすめしたい。
特に国内のサイバーセキュリティ企業などが参加している「フィッシング対策協議会」のサイトは必見だ。手口や動向をすばやく解析し、最新の情報を提供してくれる。また、Twitterアカウントもあるのでフォローしておくといいだろう。
「フィッシング対策協議会」(https://www.antiphishing.jp/)はフィッシング対策に特化した専門機関だ。国内の名だたるセキュリティ企業が参加しており、フィッシング詐欺被害の抑制を目的として最新の情報を発信している。
執筆:しぶちん(ITライター)
