フィッシングメールとは、企業を装ったなりすましメールをユーザーに送信し、URLに個人情報を入力させて情報を盗み取る詐欺の手口です。
近年、フィッシングメールは増加傾向にあり、手口は多様化かつ巧妙になっています。
そのため、フィッシングメールの実例と見分け方を知り、詐欺にあわないように対策しておくことが重要です。
また、自社がフィッシングメールに悪用されるという可能性もあります。悪用された場合の対処法を知っておき、迅速に対処することが必要です。
この記事では、フィッシングメールについて以下の項目を解説します。
- フィッシングメールの最新動向
- フィッシングメールの事例、見分け方
- 自社が悪用された場合の対処法
ぜひこの記事を参考に、フィッシングメール詐欺対策を検討してみてください。
フィッシングメールとは
フィッシングメールとは、企業を装ってユーザーにメールを送信し、個人情報を抜き取ることを目的とした詐欺メールのことです。フィッシングメールに記載のURLに誘導し、IDやパスワード、クレジットカード番号、個人情報などを入力させ情報を盗み取ります。
フィッシングメールについての理解を深めるため、以下の2つの項目を解説します。
- フィッシングメールの最新動向
- フィッシングメールとスパムメールの違い
フィッシングメールの最新動向
フィッシングメールは、近年増加傾向にあります。
フィッシング対策協議会が発表した「2022年版フィッシング報告状況と対策」では、フィッシング報告件数の推移は以下のようになっています。
上記の結果によると、フィッシングの報告数は2022年3月より急増しています。
急増の背景には、従来の対策が効かなくなっていることが挙げられます。
従来では、フィッシング対策として、URLフィルタリングを使用していました。URLフィルタリングとは、有害と思われるWebサイトのURLにアクセスできなくする技術です。
しかし、同調査のデータによると、フィッシングサイトのURL数が2022年より急増していることがわかります。ドメインやサブドメインを組み合わせて大量にURLを作り出しているために、URLフィルタリングが追いつかなくなっていることが原因だと考えられます。
つまり、今まで主流だった対策が効きづらくなっていると言えるので、他の対策も検討することが必要です。
フィッシングメールとスパムメールの違い
フィッシングメールと似たものに、スパムメールがあります。フィッシングメールとスパムメールには、どのような違いがあるのでしょうか。
フィッシングメールは、詐欺メールです。ECサイトやネットバンクからのメールを装いフィッシングサイトに誘導し、ユーザーにIDとパスワードを入力させて盗み取ることが目的です。
スパムメールは、無差別に送りつけられる広告メールのことで、「迷惑メール」とも呼ばれます。宣伝目的のメールもあれば、フィッシングやウイルスの拡散、個人情報の抜き取りを目的としたスパムメールもあります。
フィッシングメールのよくある4つの手口と実例
フィッシングメールの手口には、さまざまなものが存在します。
フィッシングメールに引っかからないためには、実例を知っておくことが重要です。
代表的なフィッシングメールの4つの手口について、1つずつ解説します。
- 宅配便を装う手口
- アカウント情報の更新や保護を促す手口
- キャンペーン当選を語る手口
- 購入の確認を装う手口
宅配便を装う手口
1つ目は、宅配便のメールを装う手口です。
実在する宅配便会社を装い、荷物投函のお知らせや不在通知のメール(なりすましメール)をユーザーに送ります。
メールに記載されているURLにアクセスすると、フィッシングサイトに遷移します。内容の確認や問い合わせのために、ユーザーにIDとパスワードを入力させて盗み取る手口です。
ヤマト運輸では、フィッシングメールの注意喚起となりすましメールの見分け方を公開しています。
対策として、宅配便を装ったメールが届いても、不審な点があればURLにアクセスしない、ID・パスワードを入力しないといったことが必要です。
アカウント情報の更新や保護を促す手口
2つ目が、アカウント情報の更新や保護を促す手口です。
実在するECサイトを装い、不正ログインのアラートやアカウント停止のお知らせをメールで送付します。メールに記載のURLでログインさせ、IDやパスワード、個人情報を抜き取るという手口です。
上記は、楽天市場の公式サイトで公開されている、フィッシングメールの例です。
フィッシングメールの実例を知っておき、不審なメールが届いたらURLにアクセスしないようにすることが重要です。
楽天市場ではフィッシングメールの実例を公開していますので、参考にしてみてください。
キャンペーン当選を騙る手口
3つ目の代表的な手口が、キャンペーン当選を騙るものです。
Webサイトを閲覧していると、「おめでとうございます!」というタイトルとともに、プレゼントに当選したと記載されたポップアップが表示されることがあります。
URLにアクセスさせ、個人情報やメールアドレス、クレジットカード番号の入力などが求められますが、詐欺の可能性があるので入力しないようにしましょう。
なかにはGoogleのロゴを記載して、本物のように見せている手口もあります。
有名企業のロゴが表示されているからといって過信せず、突然プレゼント当選のポップアップが表示されてもすぐに閉じるようにしましょう。何度もポップアップが表示される場合は、ブラウザのキャッシュを削除することで表示されなくなる場合があります。
当選を装ったフィッシングメールが届くこともありますので、少しでも不審な点があればURLにアクセスしない、個人情報を入力しないようにすることが重要です。
購入の確認を装う手口
4つ目が、商品の購入確認を装う手口です。
実在するECサイトを装い、商品の購入や発送を知らせるメールを送り、クレジットカード番号やパスワードを抜き取ります。
上記は、楽天市場の商品発送メールを装って送信された、フィッシングメールの例です。
記載のURLでID・パスワードを入力させ、盗み取る手口です。
身に覚えのない購入情報が送信された場合は、フィッシングメールを疑い、安易にID・パスワードを入力しないようにしましょう。
フィッシングメールを見分ける方法
フィッシングメールの手口は巧妙になっており、一見して詐欺だと気づかないような工夫がされているものもあります。
フィッシングメール詐欺に引っかからないようにするため、フィッシングメールを見分ける方法について知っておくことが重要です。
以下の3つの見分け方について、それぞれ解説します。
- 送信元のメールアドレスが正しいのかを確認する
- 違和感のある懸命や文章をしようしていないかを確認する
- 添付ファイルやURLに違和感がないかを確認する
送信元のメールアドレスが正しいのかを確認する
1つ目の見分け方は、送信元のメールアドレスが正しいものかどうかを確認することです。
発信元のメールアドレスと、企業のメールアドレスと見比べてみて、ドメインが異なっていたり不審な文字列を使用している場合はフィッシングメールの可能性があります。
また、フィッシングメールは無料のフリーメールアドレスを利用している場合が多いです。「.online」や「.biz」などの海外ドメインを使用しているケースもありますので、注意しましょう。
違和感のある件名や文章を使用していないかを確認する
2つ目は、違和感のある件名や文章を使用していないか確認することです。
フィッシングメールは、メールの文面がGoogle翻訳を使ったような不自然な日本語で書かれていたり、無駄なスペースが入っていたりする場合があります。
企業が送るメールにしては文面が不自然だと思われる場合は、フィッシングメールの可能性があるので注意が必要です。
添付ファイルやURLに違和感がないかを確認する
3つ目の見分け方は、添付ファイルやURLに違和感がないかを確認することです。
企業からの公式メールが、一般の消費者に対し添付ファイルを送信することはほとんどありません。ファイルが添付されている時点でフィッシングメールを疑い、開封しないようにしましょう。
また、メールに記載されているURLにも注意が必要です。不自然な文字列など、不審なURLの場合はアクセスしないようにしましょう。数字の「0」を英字の「O」に変えるなどして、誤読を誘うようなURLもあるので、念入りに確認することをおすすめします。
自社がフィッシングメール詐欺に悪用された時の対処法
自社がフィッシングメール詐欺に悪用されてしまうと、ユーザーの被害や、企業のイメージダウンにつながります。
自社がフィッシングメール詐欺に利用されたと判明したら、すぐに以下の対策を取ることが重要です。
- 被害状況を所管警察のサイバー犯罪相談窓口に届け出る
- 注意喚起をおこなう
- フィッシングサイトのテイクダウン依頼をおこなう
被害状況を所管警察のサイバー犯罪相談窓口に届け出る
1つ目は、被害を警察に届けることです。
まずは状況を把握し、被害が出ている場合は所管警察のサイバー犯罪相談窓口に届けましょう。
注意喚起をおこなう
2つ目は、自社のユーザーに対して注意喚起をおこなうことです。
被害が拡大しないよう、迅速にユーザーに知らせて注意を呼びかけることが重要です。
自社のメールやWebサイトを活用して、フィッシングメール詐欺の注意喚起と事例を公開します。
フィッシングサイトのテイクダウン依頼をおこなう
3つ目は、フィッシングサイトのテイクダウン依頼をおこなうことです。
テイクダウン依頼とは、フィッシングサイトの閉鎖を依頼することです。
テイクダウン依頼を依頼するには、以下の3つの方法があります。
- 自社で依頼する
- 専門機関に依頼をする
- フィッシング対策サービスに依頼する
自社で依頼する場合は、フィッシングサイトが使用しているISPに連絡し、Webサイト閉鎖を依頼します。
専門機関に依頼する場合は、JPCERT コーディネーションセンターの「インシデントの報告(Webフォーム)」というフォームから依頼が可能です。
民間のフィッシング対策サービスに依頼をするという方法もあります。テイクダウン対応全般を対応してくれるサービスに依頼すれば、企業は社内やユーザーへの対応に集中できます。
まとめ
フィッシングメールの事例と、自社が悪用された場合の対処法について解説しました。
フィッシングメールの手口は多様化しており、一見して詐欺だと見分けがつかないよう巧妙な工夫をしているものもあります。フィッシングメールの実例や見分け方を知り、不審な点があれば安易に添付ファイルを開いたり個人情報を入力したりしないことが重要です。
また、自社がフィッシングメールに悪用された場合は、ユーザーの被害や企業のイメージダウンが懸念されます。迅速に対処し、警察への届出とユーザーへの注意喚起、テイクダウン依頼をおこなうことが重要です。
この記事を参考に、フィッシングメール詐欺に遭わないための注意喚起や、悪用された場合の対策強化を検討してみてはいかがでしょうか。