実在する企業を装ったフィッシングメールに注意

サイバー犯罪において最も一般的かつ有効な手口の一つであるフィッシング詐欺。その手口は日々巧妙化しており、被害は拡大傾向にあります。[1]　今回は、フィッシングメールの事例とその見分け方についてご紹介します。

フィッシング詐欺とは

フィッシング詐欺とは、信用できる相手を装ったメールなどを不特定多数に送り、IDやパスワード、クレジットカード番号といった個人情報のほか、財産や企業情報などを騙し取ることです。電子メールやSMS、OSのダイアログ画面などを装って、個人情報を入力するよう言葉巧みに誘導します。

フィッシング詐欺の一般的な手口は以下の通りです。

実在する企業や金融機関などを装った攻撃者が、ユーザーに対してメールやSMSなどで連絡を取る。
ユーザーは信頼できる送信元からの連絡だと思い込み、メールやSMS内のリンクをクリックして、攻撃者が作成した偽装サイトにアクセスする。
その偽装サイトで、ユーザーがアカウント情報、クレジット番号などの個人情報を入力する。
攻撃者が入力された情報を獲得し、悪用する。

実在する企業を装ったフィッシングメール

先述の通り、フィッシングメールで攻撃者が装うのは、多くの場合実在する企業や金融機関などです。そして「本人確認」「アカウント情報の更新」などを理由に、IDやパスワードの入力フォームを設けた偽サイトまで誘導するのです。

それでは、実際にどのようなメールが届くのかを見てみましょう。以下は、11月23日に確認されたAppleをかたるフィッシングメールです。[2]

「異常な操作が検出されたためアカウントがロックされた」、つまり不正アクセスの疑いがあるとして、Appleの偽サイトへアクセスさせようとします。リンク先の偽サイトでは、個人情報、クレジットカード情報、セキュリティの質問・答えを入力するフォームが表示されます。[3]

このようにして誘導されるWebページには、本物とほとんど区別がつかないほど巧妙に作られているものもあります。最近は、AppleやAmazon、MUFGカードなどの有名な企業を装ったフィッシングメールが数多く確認されているため特に注意が必要です。[4]

フィッシングメールの見分け方

それでは、どのようにしてフィッシングメールを見分ければよいのでしょうか。
Appleが公開した動画「How to identify, avoid, and report phishing」では、フィッシングの見分け方や被害を防ぐ方法、フィッシングメールをAppleに通報する方法がまとめられています。

また、Appleのサポートページでは、フィッシングメールの特徴として以下の点が挙げられています。[5]

送信者のメールアドレスや電話番号が、正規の会社の名前と一致しない。
正規の会社に登録してあるメールアドレスや電話番号とは異なるメールアドレスや電話番号に連絡が来た。
「お客様各位」など、メッセージの挨拶部分が一般的な表現になっている。正規の会社の多くは、お客様個人宛てのメッセージにはお客様本人の名前を記載します。
一見正規のリンクに見えるが、正規の会社の Web サイトのアドレスとは異なるアドレスの Web サイトにジャンプする。
メッセージの見た目が、正規の会社から届いたほかのメッセージと大きく異なっている。
クレジットカードやアカウントのパスワードなどの個人情報を要求される。
思い当たるふしのないメールにファイルが添付されている。

このような特徴を持つメールが送られてきた場合は、焦ってリンクや添付ファイルを開かずに、内容をよく確認しましょう。
JC3やフィッシング対策協議会のWebサイトで、すでにフィッシング事例として報告されていないかどうかを確認するのも一つの手段です。同じような手口が報告されていれば、フィッシング詐欺である可能性が高いと考えられます。