「不正アクセスの疑い」「あなたのパッケージ配達」って詐欺なの!?被害急増中のフィッシングメール
前回は、二段階認証についてその特徴をご紹介しました。
今回はその記事の中でもとりあげた「フィッシングメール」について、概要や最近流行している手口や対策について詳しくご紹介したいと思います。
目次
- フィッシングメールの概要
1-1.フィッシングメールとは
1-2.フィッシング被害の増加
1-3.被害増加の背景 - 具体的なメール内容
2-1.Amazonをかたったメール
2-2.日本郵便をかたったメール - 具体的な対策
3-1.ショッピングサイトなどはブックマーク登録する
3-2.個人情報をメールで確認する内容に注意する
3-3.銀行からのメールは電子署名を確認する - 万が一個人情報を入れてしまったら
4-1.サイトの運営者に連絡する
4-2.各専門機関に連絡する - まとめ
フィッシングメールの概要
フィッシングメールとは
フィッシングメールとは「クレジットカード会社やネットショップなどの正規のサービスになりすまして、ユーザーから不正に情報を盗み出すメール」のことを指します。不正に盗み出した情報により、銀行口座やクレジットカードを勝手に利用される金銭的な被害に繋がる可能性が高いため特に注意が必要です。
フィッシング被害の増加
※フィッシング報告件数の推移(フィッシング対策協議会の発表資料より引用)
フィッシングメール自体はかなり前から存在する詐欺の手口であるため、注意喚起もさまざまな機関から行われています。しかし、上のグラフのようにその報告件数は特に2020年に入ってから増加傾向にあります。
被害増加の背景
総務省の調査によるとネットショッピングの利用世帯は、2019年6月の43.4%に対して2020年6月は50.8%と大きく増加しています。
こういった背景には、新型コロナウイルスによる影響が考えられます。
コロナによる自粛が増える中で、自宅でネットショッピングを利用するユーザーが増え、その結果、ECサイト(Amzon、楽天など)をかたるフィッシングや、宅配業者による不在通知をかたるフィッシングが増加したと言えます。
具体的なメール内容
フィッシング対策協議会によると、Amazon、LINE、楽天または楽天カードをかたるフィッシングメールが多く、これらの上位 4ブランドで報告数全体の約 92.6 % を占めているそうです。特にショッピングサイト大手のAmazonをかたったフィッシングの報告数が増加しており、報告数全体の約 67.3 % を占めていると報告されています。
Amazonをかたったメール
※上図はメール本文のイメージ画像
フィッシング対策協議会のAmazon をかたるフィッシング (2020/05/29)のより引用URL:https://www.antiphishing.jp/news/alert/amazon_20200529.html
Amazonは非常に認知度が高く、普段からよく利用してらっしゃる方も多いのではないでしょうか。
日頃から利用しているサービスだからこそ、「Amazonからのメール」というだけで、フィッシングメールかもしれないという危機感は薄れてしまいがちです。
特に、Amazonをかたったメールの特徴として「不正アクセスの疑い」「アカウント認証を行ってください」「アカウントのセキュリティ」といった件名が多く、「セキュリティに問題があるので、早く対応しないといけない」とメールの受信者を焦らせようとしてくるので、そういった件名のメールを受信した場合でも、落ち着いて対応することが重要です。
最終的に、下記のようなリンクをクリックし、ログインIDやパスワードなどの情報を入力するように誘導されているため、絶対に下記のようなURLが記載されている場合はクリックしないようにしてください。
メール内の URL
https://●●●●.click/
https://www.●●●●.com/
http://●●●●.com/
転送先の URL
https://amazon.co.jp.gb.signin.id-●●●●.●●●●.link/amazon/
https://amazon.co.jp.gb.signin.id-●●●●.●●●●.com/amazon/
日本郵便をかたったメール
※上図はメール本文のイメージ画像
フィッシング対策協議会の日本郵便をかたるフィッシング (2020/09/28)より引用
URL:https://www.antiphishing.jp/news/alert/japanpost_20200928.html
日本郵便をかたったフィッシングメールも非常に増えています。タイトルに「あなたのパッケージ配達」などが含まれているのが特徴で、そのメールの本文には「パッケージを入手するには税金を支払う必要がありま」(原文は「ま」が抜けているなど、やや不自然)などと記載されており、最終的に下記のようなリンクをクリックさせるように誘導する内容になっているのでクリックしないように注意が必要です。
https://paypay-●●●●.link/
https://paypay-●●●●.shop/ps/
具体的な対策
前述のように、報告されている事例ごとにメール内のURLはある程度決まっています。しかし、新たなURLに変えられたり、あたかも正規のサイトのURLのように偽装されてメールが来る可能性もあるため、URLでの判別というのは対策としては不十分であると言えます。
URLだけではありません。どのフィッシングメールにも共通して言える事ですが、現在は以前に比べ、メールの内容もより本物であるかのように、またメールに記載されているリンク先のページもより本物のページに似せて作ってあることが多く、メールの見た目でフィッシングかどうか見抜くのはなかなか難しくなってきていると言えます。
ショッピングサイトなどはブックマーク登録する
ショッピングサイト、銀行、クレジットカード会社など、詐欺被害にあった場合に金銭面に被害が及ぶ可能性の高いサービスのHPはブックマークに登録し、普段からブックマークを使ってそれらのサイトにアクセスするようにしておくのが有効です。
例えば「Amazonにて不正なログインがあった」というメールが来たら、そのメール内のURLからではなく、ブックマークからアクセスし、Amazonの公式HP内のアカウントサービスやお知らせなどの項目に、不正ログインについての記載があるかどうかを確認することで、偽のURLにアクセスしてしまうことを回避できる可能性が非常に高くなります。
個人情報をメールで確認する内容に注意する
セキュリティの観点から、銀行やクレジットカード会社は、メールによって顧客の口座番号、クレジットカード番号、その他IDやパスワードなどの情報を確認することはありません。このように本来送られるはずのないメールが来たら注意が必要です。
銀行からのメールは電子署名を確認する
電子署名とは、電子文書が正式なものであり、改ざんされていないことを証明するものです。電子署名は電子証明書とタイムスタンプを組み合わせることで非常にセキュリティ強度が上がります。
詳細は割愛しますが、銀行などの場合は電子署名を採用している場合も多く、メールに電子署名が付いていれば、正規のメールであると言えます。
万が一個人情報を入れてしまったら
サイトの運営者に連絡する
万が一個人情報を入れてしまったら、どの情報が盗まれてしまったのかを把握するのが大切です。
しかし、銀行口座やクレジットカード利用履歴などに身に覚えのない取引を見つけフィッシング詐欺被害に遭ったかもしれないと感じた場合には、どのような情報が盗まれたかまで詳しくは覚えていない可能性も考えられます。
このような場合、自分が情報を入力してしまったサイトの運営者に連絡をとって、アカウントや口座の停止措置を含めた、どのような行動を行えばいいか確認し、その指示に従うのが良いです。
各専門機関に連絡する
金銭的な被害など実害が発生している場合は、お住まいの都道府県警察のサイバー犯罪相談窓口へ連絡するのが好ましいです。また、国民生活センターや各地の消費生活センターに問い合わせるのも有効です。
まとめ
ここまで、フィッシングメールの概要、流行の手口、その対策についてご紹介してきました。
まとめると、
メール本文のURLや内容から詐欺メールだと判断する方法は完全に有効とは言えないため、
ネットショッピングサイトや銀行などはブックマークの登録を行い、「不正ログイン」などの緊急性が高いようなメールが来たとしても、落ち着いてブックマークからアクセスし状況を確認するのが非常に有効な対策だと言えます。
また、万が一被害に遭ってしまったと感じた場合でも、冷静にサイト管理者と、各種相談機関に連絡することが大切です。
当記事をご覧いただいた方の周りでも、フィッシングメールについて詳しく知らない方がいれば、この記事の内容を共有していただけると助かります。
少しでも多くの人がフィッシングメールについて深く理解し、その被害に遭わないように変わっていくと良いですね。
採用サイト制作 をお考えなら、ウェブサイにお任せください
株式会社WWG ウェブサイ
愛知県名古屋市中村区名駅5-16-17 花車ビル南館5F
ライター:井上
