テクノロジー・動画・写真・デザインとか

フィッシングメールとは?見分け方と対策

Gmailの迷惑メールフォルダを久々に開いたら何故かAppleやAmazonからのメールが紛れ込んでいることに気がついたが、よく見たらいずれもフィッシングメールであることが分かった。

関連 乗っ取り防止に。Googleの2段階認証の設定・解除の仕方

目次

フィッシングメールとは?

フィッシングメールとは、簡単に言ってしまえば詐欺メールを使ってパスワードやクレジットカード番号などを盗み取るメールの事を指す。

その手口として、AppleやAmazonなどの著名企業を装ってあたかもそれらの企業から送ったような内容の偽装メールを送り、それらの本物のサービスと見分けがつかないような文面でパスワードの確認やクレジットカードの更新を促してWebページに誘導する。

そして、それが詐欺メールだと気が付かずにWebページにアクセス、ログインし、クレジットカードを入力してしまうことで盗み取られてしまうのが一般的な手口となっている。

なお、同様に本物のサイトと同じような作りになっていて詐欺に使われるWebページのことをフィッシングサイトという。

なぜくる?

なぜフィッシングメールが来るかと言ったら、考えられるのは悪意ある人がプログラムによるメールアドレスを無作為に作成して送信しているか、あるいは何かのサービスに登録したものがハッキングされた可能性、あるいは悪意あるスタッフによってメールアドレスが漏洩するなどが考えられる。

通報

フィッシングメールを受け取って、通報したいならフィッシング110番 警視庁のページにアクセスして通報するといいだろう。イタチゴッコになるかもしれないが、何もしないよりは行動に移すことでそれらを減らすことへつなげられる。

見分け方

手軽に見分ける方法をいくつピックアップしてみた。

URLを確認

わりと分かりやすいのはメールに記載されているURLを確認するということだ。基本的にメールが届いても誘導先のサイトにアクセスしなければ詐欺にあうこともないからだ。

下記はゆうちょ銀行を装ったフィッシングメールだが、Googleで検索したゆうちょ銀行の正規のURLは「https://www.jp-bank.japanpost.jp/」となっているが、異なっているのが分かる。
ゆうちょ銀行を装ったフィッシングメール

ただし、上記のようにURLが記載されずに、ボタンクリックでサイトに誘導するHTMLメールというのがある。この場合には、ボタンのリンク先をコピーしてメモなどに貼り付けて確認する。スマホの場合にはボタンを長押し、PCの場合にはマウスオーバーでも確認できる。

送信者のアドレスを確認

下記はスマホのGmailの画面だが、送信者の詳細を情報を開くとFrom欄の送信元のアドレスが「appstore@applesjcc.jp」となっているのが分かる。Appleなら、「@apple.com」のドメインとなっているはずなのになっていない。微妙にスペルが違うという手のこんだこともしている。
Appleを装ったフィッシングメール

ただし、送信者情報が偽装されている場合があるので、ヘッダー情報を開いて確認する必要がある。

文面・日本語を確認

明らかに文面の日本語がおかしい場合があるが、年々これも改善されて見分けがしづらくなってきているケースもある。下記はAmazonを装ったフィッシングメールだが、詐欺メールだと分からない内容になっている。
Amazonを装ったフィッシングメール

Amazonについてはこちらもチェック。

その他の対策

上記のように見分ける方法もあるが、さらにセキュリティを高めるための対策もちょいと紹介。

疑う・確認する

基本的に何かしらの情報を更新するという案内メールが来たら、まずはフィッシングメールの存在があることを思い出して「疑うこと」を意識するのが重要だ。

そしてメール記載のURLにはアクセスせずに、下記の手段でアクセスしてURLを確認したり、サービスのお知らせを確認するという手順を踏めべ騙される可能性が減る。

Gmailを使う

もし、フィッシングメールを受け取って、それが自動で迷惑メールとして取り扱われていないのならば、使っているメールのサービスがフィッシング対策をしていないと言える。

自分はGmailの迷惑メールフォルダを久々に確認して初めてフィッシングメールを受け取ったことに気づいた。なので、フィッシングメール対策をしているGmailを使うことをお薦めする。

セキュリティ対策のソフトを使う

フィッシングメール対策をしているセキュリティソフトを使うのも手だ。自分はPCで長く愛用しているのがESET インターネット セキュリティだ。

ブックマークからアクセス

フィッシングメールは基本的にWebサイトに誘導することが目的なので、よく使うサイトは予めブックマークをしておくことをお薦めする。パスワードやクレジットカードの更新を促すメールが届いても、それらのメールからアクセスせずにブックマークからアクセスすればいいわけだ。

Google検索してアクセス

Googleはフィッシングサイトに対しても対策を行っているので、Googleで検索してアクセスすることでより偽のサイトにアクセスする可能性を小さくすることができる。