Amazon、楽天になりすまし……巧妙すぎる最近のフィッシング詐欺、その実例と対策方法を紹介
実在の企業やサービスを装ったメールを送付し、偽サイトのログインページに誘導してアカウントを乗っ取る「フィッシング詐欺」。近年、その手口が巧妙化している。この記事では、情報セキュリティマネジメントの資格を持つ筆者の目線で、フィッシング詐欺の手口とリスク、偽メールの見分け方などの対策方法を紹介する。
フィッシング詐欺とは?
フィッシング詐欺とは、実在のサービスをかたるメールやメッセージから偽のログインページに誘導し、メールアドレスやパスワード、クレジットカード情報などの入力をさせることで個人情報を盗み出す詐欺の手口。
Amazonや楽天などの通販サイトや、Apple、Googleなどのプラットフォーム、ドコモやauなどの通信会社、銀行、宅配業者など、多くの人が日常的に利用する企業やサービスを装い、「アカウントが利用できなくなる」「料金の引き落としができなかった」「カードが不正利用されている」など、緊急性の高い内容のメールで偽のログインページに誘導する点が特徴だ。
かつてのフィッシングメールは、日本語が不自然だったり誤字脱字が多かったりと、文面に明らかにおかしい点があり、偽物であることを見抜けるものが多かったが、近年は巧妙化の一途をたどっている。
ロゴやメールのレイアウト、さらにリンクをクリックした先のログインページまで本物そっくりに作り込まれたものが増え、文章にも不自然さが少ないなど、すぐには偽物だと見抜けないものも多い。
また、これまではメールで送られてくるケースが多かったが、最近はスマホのSMS(メッセージアプリ/ショートメール)が利用されるケースも増えている。
実際に届いたフィッシングメールを紹介
では、実際に筆者の元に届いたフィッシング詐欺のメールやメッセージをいくつか紹介しよう。
まず、楽天カードを装ったもの。偽メール本物の楽天カードから届いたメールを比較してみると、左上に表示される楽天のロゴや、右上の「楽天カードアプリ」などのリンク文字など、かなりリアルに作られていることがわかる。
続いてAmazonを装ったフィッシングメール。「プライムの自動更新ができなかった」という内容で、実際にプライムサービスを利用している人なら思わずクリックしてしまいそうだ。
そしてSMSでiPhoneに届いたもの。荷物の不在連絡を装ったもので、リンクをクリックするとAppleアカウントの偽のログイン画面が表示される。なお、このメッセージが届いた際に自宅のポストに不在連絡票は入っていなかった。
まずはリンク先のURLへ飛ばないこと
フィッシング詐欺のメールを見分けるために、大前提としたいのは、メールやメッセージ内に挿入されているリンクのURLへ飛ばないことだ。
フィッシング詐欺のメールでは、メール内の「ログイン」ボタンや「ここをクリック」などの文字をクリックさせることで偽のログインページに誘導している。
このボタンやリンクの文字を、パソコンなら右クリック、スマホなら長押しして、表示されるメニューから「リンクをコピー」などを選んでコピー。その後、コピーしたURLをメモアプリなどに貼り付けておこう。このとき、誤ってクリックしないように注意が必要だ。
続いて、そのサービスの公式サイトのログイン画面にアクセスしてURLを確認。先ほどコピーしたものと比較すると、偽メールのURLは実際の楽天カードのものとはまったく異なっていることがわかる。
また、銀行やショッピングなどのサイトは、ブラウザの「お気に入り」(ブックマーク)に登録しておこう。ログインをうながすメールが届いた場合も、メール内のリンクではなく登録してある公式サイトからログインすれば、偽リンクを踏む可能性を回避できる。
なお、検索エンジンでサイト名を検索した際に、偽サイトが上位に表示されてしまうケースも存在する。そのため、アカウント登録時の確認メールや銀行からの郵便物など、確実に公式なものだと確認できるメールや書類に記載されているURLにアクセスしたうえで、お気に入り登録を行うとよい。
そのほかの方法としては、ショップや銀行などに直接問い合わせる方法もある。疑わしいメール内の電話番号は偽物の可能性があるので、公式サイトや郵便物などに記載されている電話番号を確認したうえで問い合わせよう。
また、ウイルス対策ソフトを販売するトレンドマイクロがが公開している「Site Safety Center」では、URLを入力するとそのサイトの安全性をチェックできる。疑わしいURLはここでチェックしてみるのもいいだろう。
▼Site Safety Center
https://global.sitesafety.trendmicro.com/?cc=jp