フィッシングメールとは?見分け方と対策方法を紹介!【Amazon・楽天・銀行】

今回は詐欺であろうメールの紹介だ。Yahoo!メールやGmailいろんなメールを使っている人がいるだろうけど、使ったことのある人なら経験があるはず、そうフィッシング詐欺メールの受信を。この詐欺メールは厄介なもので見抜くのが面倒だし、どんどん溜まっていく。そして何よりひっかかってしまったら不当な請求なんかをされてしまうのがきつい。

自分もショッピングサイトや銀行などを装ったところから日々メールを送られてくる日常を送っています。今回はそんなメールの紹介とフィッシングにひっかからないようにするための対策を紹介したい。

フィッシング詐欺とは

そもそもフィッシング詐欺とは何なのだろうか?総務省のページにこんな風に書かれている。

  フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザIDパスワードなど)といった重要な個人情報を盗み出す行為のことを言います。

フィッシング詐欺に注意

あーあのメールそうだったのかもなあ・・・と頭をよぎる人もいるのではないだろうか。こういうフィッシング詐欺のメールは中には本物と区別しづらいものがあったり、リンク先のホームページを見に行ってもデザインがそっくりだったりして判別するのが厄介なんですよね。

そして表示されるフォームなんかに自分のクレジットカード番号やアカウント情報を入力してしまうと、それを悪用されてしまうというわけだ。身に覚えのない請求が来るのは、クレジットカードなどの個人情報を使われるからですね。

じゃあどんなフィッシング詐欺メールがあるのか?っていうのが気になってくるでしょう。次はどんなフィッシングメールが送られてくるのか見てみよう。Yahoo!メールを見ていくよ!

フィッシング詐欺メール例

ここでは自分が受信したフィッシングメールであろうものを見ていきたいと思う。今回は例としてメールの中身やリンク先を見てみたりするけど、君は開いたりリンク先にアクセスはしないようにしよう

Amazonを装ったメール

まずはAmazonっぽいメールから見てみよう。メールのタイトルに[Amazonプライムの自動更新設定を解除いたしました]ってあるけど、これは来たことある人も多そうなイメージがある、自分はめちゃくちゃ来る。Amazonプライム入っている人なら自動更新設定解除されたのか―、メールを開いてしまっても不思議じゃない。

メールの中身を見てみるとこんな感じでam,azonのロゴとそれっぽい文章が書かれている。ただちょっと日本語がおかしい部分もありますね。

アカウントを>引き続き使用するには、24時間前に情報を更新することをお勧めします。それ以外の場合、あなたのアカウントは永久ロック。

永久ロックなんて強い言葉を使われると、ちょっと身構えてしまいますよね。本当に大丈夫なのかなあ・・・という不安に意識を持っていかれそうになります。このメールの中にはボタンがあるので要素の検証からそのリンク先を見てるとURLがおかしいですね。

アマゾンのURLってamazon.comだけど、amazou-jpとかなっています。ドメインも.vipとなっていて怪しさがある。このサイトを見てみるとこんな感じでブロックされますね。ブロックしてくれてありがたい。

アクセスするのはだめだけど、どうしようもなく気になってしまったらURLを確認してからの方がまだましですね。もう一個ぐらいAmazon系のメール見てみますか。次は[Amazon.co.jp]あなたのはセキュリティ上の理由でロックされていますというタイトルですね。うーん、タイトルからして日本語おかしいな。

なにやらAmazonのアカウントを更新できませんでした。ということでのメールらしい。ボタンの中身を見てみるとやはりリンク先はおかしいですね。

これはYahoo!メールなんだけど認証情報を見てみると、SPFやDMARCでエラーです。

Yahoo!メールでは、なりすましメール対策として、送信元のドメインを認証する技術である「SPF」「DKIM」「DMARC」「DomainKeys」を利用しています。これらの記述は送信元を偽装した迷惑メールやフィッシング詐欺を防ぐことに役立てられています。

Yahoo!メールヘルプ

詳しくはYahoo!メールヘルプを見ることをおすすめするけど、認証の結果によってこの部分の表示は変わる。

ちなみに本物のAmazonのメールを見てみるとこんな風に表示された。

このメールが本物かどうか?っていう時に確認してみるといいかもしれない。また、より詳しく見たい場合には詳細ヘッダーを見るといろんな情報が出てくる。

Return-PathやX-Originating-IPなんかが載っているけど、メールの仕組みに詳しくないと何のことか分からん。詳しい人は確認してみると面白いかもしれないぞ。

楽天を装ったメール

楽天っぽいメールを見てみるとこんなメールがありますね。[楽天]アカウントが制限されています。支払情報の復旧を確認すですって。

なんかIPアドレスとかデバイスとかメールアドレスとか自分の情報っぽいものを載せてこられると、ちょっと不安に飲まれそうになりますよね。メールに載っているボタンのリンク先を見てみると、やっぱりリンクはおかしい。アクセスしてみると凄い赤い画面だ。

このメールの認証情報確認してみたけど、これはちゃんと表示されますね。ただドメインがroueikin.netってなんだ・・・

ちなみに本物の楽天メールだと思われるメールを確認してみると[このメールは楽天グループ(外部サイト)より送信されていることが保証されています。]と表示されていました。

銀行を装ったメール

銀行を装ったメールも来ますよね。【三井住友】カードご利用確認のお願いということで見てみるとなんかよくわからん金額が書かれていて、利用確認を促すようなメールになっている。

メールを素直に見ると、49700円!?おかしいな・・利用確認しよう・・・と思ってリンク先をクリックしてしまいそうになります。ただそれがでリンク先を見てみるとURLが何やらおかしい。

アクセスしようとすると、良い感じの警告が出てくれるけどこの警告がなかったらつい情報入力してしまう人もいるかもしれない。

なんかこの自分のお金が不当に請求されたんじゃないか?っていう不安を煽ってリンクをクリックさせようっていう導線がうまいですよね。不安が大きくなるほど早く確認しないと・・・!ってなってしまって、リンクをクリックして個人情報を入力してしまいそうです。

もう一つ見ると、三菱UFJニコスを装ったメールなんてものもきている。[重要]三菱UFJニコス銀行ご利用確認というタイトル。

三菱カードなんて使っていないんだけどなあ・・・ご利用確認のリンクがあるから見てみるとこんな感じで謎のURLになっている。

cr.mufgまでは良さそうだけどそのあとにhotceleb・・・なんて続いていますね。本物のサイトを見てみるとURLはこれかな。

メールに記載されているURLのテキストはhttps://www.cr.mufg.jp/select/login.htmlで良さそう(実際に存在する)だけど、そこにリンクされているURLがおかしいですね。URLのテキストに騙されずにそのテキストにどんなリンクがついているのかまで見たほうがよさそうです。

フィッシングメール詐欺を見抜く方法

今回フィッシング詐欺であろうメールを見抜くのに使った方法は以下の2つ。

  • URLリンクの確認
  • メールの認証情報を確認

メールの詳細ヘッダーも確認することができるから、確認するのもいいかもしれん。ただ偽装できる部分もあるから100%信用するのはやめよう。ちなみにYahoo!メールの詳細ヘッダーはここから確認することができる。

URLリンクを確認する

URLリンクを確認するのは該当箇所にマウスを合わせると左下にそのURLが表示されたりするけど、右クリックの検証から確認することもできる。

出てきた画面の左端にあるボタンをクリックしてから、調べたい個所をクリックするとそのhtmlが表示されて見ることができる。hrefがリンクを表しているものだから、そこのURLを見てみればそのリンク先が分かる。

そもそも詐欺メールは開かない方がいいから、開いてどうしても確認したいっていうときにやってみるといいかもしれない。ちなみにメールトラッカーを使えば、相手がメールを開封したかどうかなんかは分かってしまう。

認証情報を確認する

今回はYahoo!メールでの確認方法だけど、[このメールの認証情報]をクリックするとSPFとDMARCっていうのを見ることができる。

認証に成功した場合は、送信元のIPアドレスやドメインが表示される。だけど、ここがちゃんと表示されていたとしてもOKとはならない。こういうちゃんと表示されるフィッシング詐欺だろうメールもあるからね。

どちらも表示されているけど、おそらく詐欺メールでした。Yahoo!メールを普段から使っている人は、Yahoo!メールヘルプを一度読んでおくといいと思います。

認証が成功していても、悪質なメールの可能性はあります。送信ドメイン認証は、認証が成功したドメイン自体の安全性、送信者やメールの内容、添付ファイルの内容を保証している訳ではありません。

Yahoo!メールヘルプ

フィッシングを見抜く力を鍛える

jigsawっていうGoogleの管理下にある企業がやってるサイトで、フィッシングを見破るっていうサイトがある。いくつか問題が出題されて、それがフィッシング詐欺かどうかっていうのを判断していく。

やってみると割と引っかかってしまう人も多いんじゃないかなと思う。フィッシングを見抜くのは簡単なことじゃない。

フィッシング詐欺の対策

フィッシングメールはいっぱい来る。いつの日か自分も引っかかってしまうときもくるかもしれない。そうならないための対策としてどんなことができるのだろうか。少し考えたい。

焦るな

とにかくこれだと思う。フィッシングメールの文章は人の不安を煽るようなもので、どうしても焦りを感じてしまう。「5万円の支払いがあったから、ログインして情報確認してね!」とか「アカウント停止するからアカウント確認してね!」とか言われると、じゃあすぐ確認しよう!って思ってしまいます。

そんなメールの文章を見ても、一度立ち止まってこれは本当のことなのか?と冷静に分析することが大事だ。不安を持った勢いのまま個人情報を入力してしまう気持ちを持ってしまうし難しいかもしれんが、不安商法なんていう言葉もあるぐらいだしね。

不安商法(ふあんしょうほう)とは消費者への不安を煽る事により高額な商品を購入させる悪徳商法。

特に多く行われている不安商法としてはリフォーム工事業者の営業マンが各家庭を訪問し、巧みなセールストークや専門用語を駆使して地震への不安を煽り、高額な耐震工事を行わせる手法が存在する。工事内容は無意味な道具をつけただけであったり、工事を行った結果以前よりも住み心地が悪くなったという例が存在する。

Wikipedia

そういうやり方があることを認識しているのと認識していないのとでは結構違う気がする。

二段階認証

二段階認証なんて当たり前のようにやっているっていう人がほとんどだと思うけど、やっていない人はできるものはやっておくのがいいと思います。二段階認証はよくあるフォームのID/パスワードの入力後に別の方法でも認証しないといけないやつ。

2段階認証とは、ID/パスワード入力の他に、アプリでのログイン可否の選択や、セキュリティコードの入力を追加することで、お客様以外が不正に情報にアクセスすることを防止する仕組みです。

dアカウント - 二段階認証とは

単純にIDとパスワードだけでログインすることができなくなるから面倒だけど、逆に言えばIDとパスワードを盗まれてもログインさせないというわけだからいいと思う。

自分が良く使っているサイトなんかで二段階認証できないかどうか確かめてみるといいです。ちなみにAmazonでは、アカウントサービスのログインとセキュリティからせっていすることができる。

二段階認証突破の手口

二段階認証を設定しておけばOKっていう安心感もなくはないけど、安心ではない。その2段階の認証を突破する手口もある。急増するフィッシング被害 二要素認証突破の手口と対策の二段階認証を破る手口が分かりやすい。こういう図が掲載されているんだけど、説明とともに見ると何となくイメージできるだろうから見ておくのがおすすめです。

急増するフィッシング被害 二要素認証突破の手口と対策

 

2019年になって海外のセキュリティ研究者が、多要素認証をかいくぐるツール「Modlishka」(モディスカ)を公開したりと、攻撃方法もどんどん適応しているように感じる。

セキュリティソフトの導入

セキュリティソフトを入れてしまうっていう方法もありますよね。セキュリティソフトはメールをフィルタリングしてフィッシングメールを検知してくれたり、アクセス時に警告を出し、フィッシング詐欺の疑いがあるページへのアクセスを遮断したりしてくれる。
カスペルスキー セキュリティ

フィッシング詐欺に引っかかってしまったら

フィッシング詐欺があるとわかっていても引っかかってしまうこともあるだろう。自分は幸いなことにおそらく今まで引っかかって何か請求されて引き落とされてしまった・・・なんてことはないけど、いつか来るかもしれないときのためにできるだろうことを書いておく。

カードの停止手続きをする

フィッシング詐欺サイトに自分のカード番号や個人情報を入力してしまった場合、不正利用を防ぐためにカードの停止をしたい。これは自分が使っているカード会社のサイトのよくある質問なんかに、どうすればいいのか?っていうのが書かれている。

自分の使っているカード会社のサイトを訪れてその時どんな行動をとればいいのかイメージしておこう。

ID・パスワードの変更

漏洩してしまったIDやパスワードは変更しておくといいでしょう、漏洩したものそのまま使えないですから。それと漏洩したIDやパスワードと同じものを設定しているサイトの情報も変更しておくのがいいと思います。総当たり攻撃で他のサイトも同じように突破されてしまう可能性があります。

総当たり攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読法。

人間による操作では、とても気が遠くなるほどの時間と、肉体的・精神的な負荷がかかるような回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為がコンピュータセキュリティ分野で良く知られている。時間的制約が無い限りは、確実にパスワードをクラックする方法である。

Wikipedia - 総当たり攻撃

ブルートフォースアタックとかとも呼ばれたりしますよね。ちなみにブルートフォースアタックは特定のIDに対してパスワードを総当たりで入力していく方法だけど、逆にパスワードを固定してIDを変更して攻撃するリバースブルートフォースアタックっていうものもある。

どうでもいいけど、ブルートフォースって言葉なんかかっこいいですよね。

報告・情報提供

フィッシング詐欺があったことの報告です。例えばAmazonならフィッシングまたはなりすましメールを報告するに報告方法が書かれていますね。

Amazonではフィッシングやなりすまし行為に対して真剣に取り組んでいます。Amazonからではないと思われるEメールを受信した場合は、stop-spoofing@amazon.com に報告してください。

また警視庁のサイトにフィッシング110番というページがあるので、情報提供するのもいいでしょう。

まとめ

どんなフィッシングメールがあるのかの紹介と、引っかからないようにするための対策を少し見てみたけど、どうだっただろう。

  • 安易に詐欺っぽいメールを開かない
  • メールに記載されているリンクを気軽にクリックしない
  • URLが正しいか確認する

フィッシングに引っかからないポイントはとりあえず疑いの目を持つしかない・・・一度立ち止まって本当にこれは本物なのか?といったことを考える。ただ、こういうメールがあるとすべてのメールを疑いの目で見なくてはいけなくなってしまいますね。なんというか、本当なのかを疑わって生きていかないと損をする可能性があるなんて悲しい世界だ。

おすすめの記事