見出し画像

No271 改めてフィッシングメール対策

えがおIT研究所

2022年に入って、IDやパスワードを盗むためのフィッシングメールが増え続けています。フィッシングメール対策協議会のレポートでは2022年7月には同協議会への報告件数が10万件(日に3千件以上!)を越えました。

フィッシングメールについては、このメールマガジンでもNo131~133(2019年10月配信)で書きましたが、もう3年も前になります。
当時からご愛読いただいている方は少数ですし、手法の変化もありますので、今回は改めてフィッシングメールの現状とその対策について解説をします。


1. フィッシングメール

フィッシングメール(phishing mail)というのは造語です。
もともとはfishing mail(獲物を釣り上げるためのメール)を、'f'と同じ発音の'ph'に入れ替えて隠語のように使い始めたもののようです。

これは、以下のような思わずクリックしたくなるような、ウソのメールやショートメッセージを送り付け、相手の誤解を利用してIDやパスワードを盗み取ろうというものです。
「アカウントの支払いに問題があります。」
「不在のため荷物を持ち帰りました。」

通常、フィッシングメールにはURLが付いていて、それをクリックすると本物そっくりのニセサイトに誘導されます。
ニセサイトと言ってもすぐにバレては意味がありません。なので、本物のサイトをコピペしたサイトが多くなっていて、見た目で見抜くことはまずできません。

人に誤解させて、何らかの行動を取らせるという点ではいわゆるオレオレ詐欺と同じ、いわばインターネットを介した特殊詐欺といえます。

余談:
 これは「ソーシャルエンジニアリング」と呼ばれる騙しのテクニックです。
 ソーシャルエンジニアリングでは相手の誤解を悪用して本人から情報を盗もうとします。
 なお、ソーシャルエンジニアリングはメールに限った方法ではありません。PC画面に張ってある付箋紙のパスワードを盗み見る、電車での会話を盗み聞く、などコンピュータやインターネットを使わない手法も含まれます。


2. フィッシングメールの例

誤解させて、情報をうまく引き出すのが目的ですから、その文面はいかにもホンモノらしく書かれています。

例を示しましょう。(出典: https://www.antiphising.jp)

 Amazon お客様:
 Amazonをご利用いただき、誠にありがとうございます。
 このたび、お客様のお取引につきまして、第三者による不正利用の可能性を検知したため、以下へアクセスの上、Amazonアカウントのご利用確認にご協力をお願い致します。Amazonアカウントを引き続き使用する必要がある場合には、48時間以内に個人情報を確認してくださ。Amazonへのサポートに感謝します。

多少の誤字脱字がありますが、かなり自然な日本語です。ここ数年で文面が随分とこなれてきた印象です。(ほめるような話ではありませんが)

Amazonを使っていなければ「なんだこりゃ?」となり、詐欺メールであることに気付きますが、アカウントを持っている人の中には「これはマズい」と思ってメールに書かれたURLをクリックする方も出てきます。

メールを送付したうち10%がAmazonアカウントを持っていて、千人に一人がクリックする「うっかりさん」だとしても、フィッシングメールを百万通送れば百名がひっかかる計算になります。


3. スミッシング(SMSフィッシング)

これもまた造語です。
SMS+フィッシング=スミッシング、です。

なお、SMSというのはショートメッセージサービスの略で、随分古く(開始は1996年。当時はショートメールと呼んでいた)からあるサービスです。

要は、Eメールではなく、SMSで送付するフィッシングメールのことです。

余談:
 ショートメッセージは、名前の通り数十文字程度のメッセージを送ることを目的とするサービスです。
 当初は同じキャリア間(ドコモ同士やボーダフォン同士)でしか送付できませんでした。そのため、ケータイが普及すると使いづらいサービスとなってしましました。
 2014年になってやっと異なるキャリア間でSMSが送れるようになりました。

なお、SMSはケータイやスマホで電話番号を送付先として指定するものですから、通常のEメールでは送れません。
インターネットからの送信には専用の連携サービスとの契約が必要で、1通当たり数円のコストがかかります。

犯罪者側としては身元バレは避けたいため、連携サービスとの契約など論外です。
また、大量のメールを出すには、かなりの資金が必要です。

最近は、犯罪者側がマルウェア(いわゆるウイルス。悪意のあるソフトウェアのこと)を侵入させ、スマホの所有者に気づかれないように勝手に発信する方式が出てきたため、犯罪者側でもSMSが利用されつつあります。


4. SMSではメッセージを見ても大丈夫

ショートメッセージが来た。
送り主は見知らぬ電話番号。

さて、あなたはどんな行動を取りますか?

1)とりあえずメッセージを見る
2)メッセージ自体を見ずに捨てる
3)その電話番号に電話する
4)その電話番号にメッセージを送る

正解は1です。

昔からパソコン(PC)を使っている方は「あれ?2じゃないの?」と思うかもしれませんね。
EメールではHTML形式の場合、それを見る(開く)だけでマルウェア(いわゆるウイルス)に感染する場合があります。
そのため「不審なメールはうかつに開かずに捨てましょう」というアドバイスがされていました。

最近はHTMLメールであっても最初はテキスト(文字)形式で表示することが一般化しましたので、以前ほどは言われなくなりました。
もっともテキスト形式で表示するかどうかはメールソフトの設定によりますので、マニュアルでご確認ください。

ショートメッセージは常にテキスト(文字)形式です。開くだけで感染することはありません。

だから開いても安全、なのですね。

なお、ショートメッセージの送り元への電話やメッセージの送付は決してしないでください。

上でも書きましたが、SMSを送付するマルウェアに侵入されている場合、送付元の電話の所有者は全くその事実に気付いていないと思われます。
その状態で(例え好意であっても)先方に連絡をしますと、先方が理解できずに話がこじれる可能性があります。

ですので、送付元に連絡をすることは避けることが賢明です。
気になる場合はスマホのサポート窓口に報告をしてあげてください。キャリア側で処理してだけることでしょう。


5. 内容が怪しいと思ったら、まずググる

さて、ショートメッセージは次のような内容だったとします。

【国税庁○月○日】未払い税金お支払いのお願い。ご確認ください。
https://cutt.ly/.....

上記は国税庁を騙ったフィッシング詐欺メールで、2022年8月に送付されたものです。
(出典: https://www.antiphishing.jp )

少々異和感のある日本語ですが、個人事業主や税務に携わっている方はそれよりも内容の方がよほど気になりますよね。

さて、ここでは何をすべきでしょうか?

1)待てないからURLをクリックする。
2)GoogleでURL(上記ならhttps://cutt.ly)を検索する
3)国税庁の公式サイトに行く
4)文面をコピー&ペーストしてgoogleで検索する

正解は3と4。

筆者のオススメは、4です。
googleのサイトで受け取った文面をコピー&ペーストして、検索
してみてください。

フィッシング詐欺の情報は上記の引用元であるフィッシング対策協議会をはじめとして、警察や消費者保護団体といった様々なサイトで取り上げられています。
こういったサイトでは、具体的な文面を示して詐欺に騙されないように注意喚起をしています。

twitterなどを通して「こんな詐欺メールが来ました。ご注意を」といった注意喚起をされている方も多くおられます。

検索をすれば、こういった情報を簡単に見つけられます。

検索しても、全くヒットしないようであれば、本当に不在通知のメールなのかもしれません。

その場合はメールだけでなく「不在連絡票」の投函を確認したり、公式サイトの荷物追跡サービスなどで本当に持ち帰られたことを確認するなどして、判断してください。


6. 短縮URLの確認はあまり価値がない

では、ショートメッセージに書かれたURLを検索することでも、フィッシング詐欺を見破ることはできるのでしょうか?

これはケースバイケースです。
短縮URLというのは簡単に次々と発行ができますし、実際に犯罪者側はたくさんの短縮URLを発行します。
ですから、あなたが受信したメールに書かれた短縮URLをgoogleで検索しても見つかるとは限らないのです。

また、多くのフィッシングサイトは短時間で閉じます。2時間や3時間で閉じるフィッシングサイトも珍しくありません。フィッシング詐欺のURLは短命なため、検索しても見つからないケースが多いのです。

検索で見つからない=詐欺じゃない、というのは危険ですから、本文(割と長期間使い続ける)を検索する方が確度は高いと言えます。


7. 公式サイトでは何を調べればいいのか?

仮に本文の検索でフィッシング詐欺だと分かった場合はよいのですが、ヒットしない場合は、公式サイトでも確認しましょう。

当然ですが、受け取ったメール本文のリンクはクリックしちゃダメですよ。
詐欺メールだとすれば、そのリンク先など信用できるわけないですからね。

さて、公式サイトで最初に確認すべきは、そのサービスがショートメッセージサービスを使っているかどうかです。

銀行や宅配便などのサービスではショートメッセージサービスを利用しないと公言している会社が多いようです。
一部では多要素認証(二段階認証など)のためにショートメッセージを使うケースもありますが、ショートメッセージを積極的に使うのは少数派です。

また、既にフィッシング詐欺の報告が上がっているようであれば、トップページなどに「不審なメールやショートメッセージにご注意ください」などといった注意喚起がされているはずです。

他にも、宅配便の不在通知なら荷物追跡サービスで真偽を確認できますし、アカウント停止、払い戻し、不正利用などのトラブルが発生しているのであれば、マイページなどにログインすれば確認できです。

このように公式サイトを確認すれば、フィシング詐欺かどうかは判断できます。

それでも不安であれば、公式サイトから問い合わせをしてください。


8. まとめ

何年も前からフィッシング詐欺と呼ばれる「にせメール」での詐欺が多発しています。

ウソのメールやショートメッセージを送付し、IDやパスワードを入力させて盗み取ることを目的としています。

2018年くらいまではEメールでのフィッシングメールが中心でしたが、2019年くらいからはSMS(ショートメッセージサービス)でのフィッシングメール(スミッシング)も多くなってきています。

基本的な対策は非常にシンプルで、メールに書かれたURLを決してクリックしないことです。

送ってきた内容がフィッシングかどうかの判断は以下の二つを併用しましょう。

1)公式サイトにアクセス
  →Google検索やブックマークを用いてアクセスする。
  →フィッシング詐欺について公式サイトで言及がないか?
  →本当にメールで書かれている事態が起きているか?

2)受信したメール本文をGoogle検索
  →各種団体が警告していないか?
  →twitterなどで誰かが警告していないか。

今回はフィッシングメールとその対策について解説をしました。

次回もお楽しみに。

本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。
当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、 難しいセキュリティ技術をやさしく語ります。
公式サイトは https://www.egao-it.com/ です。


この記事が気に入ったらサポートをしてみませんか?