高度化する詐欺メール 見分け困難、クリックは厳禁
ネット社会の歩き方
「フィッシング詐欺」とは、銀行やクレジットカード会社などを装った偽の電子メールから本物ソックリの偽サイトに誘導し、ID/パスワード/口座番号などの情報を詐取すること。メールで相手を釣ることから、魚釣りの「フィッシング(fishing)」が転じてフィッシング(phishing)と呼ばれるようになった。こころさんに届いたメールには、フィッシング詐欺で使われる詐欺メールの疑いが……。
◇ ◇ ◇
メールを見ただけでは見抜けない
こころ 博士! Apple IDサポートセンターから「あなたのApple IDのセキュリティー質問を再設定してください。」という題名のメールが届きました。乗っ取り犯かしら。急いで再設定したほうがいいですよね。
博士 こころさん、ちょっと待って! そのメールは「フィッシング詐欺」かもしれません。本物ソックリのウェブサイトに誘導して、ログインIDやパスワードなどの情報を窃取しようとしている可能性があります。2017年秋ごろからアップルをかたったフィッシング詐欺がものすごく増えていて、セキュリティ対策推進協議会などから警告も出ているのですよ。
こころ えっ!? このメール、ニセモノなんですか? でも、差出人もAppleですし、内容もおかしくないですよ。サイトもApple IDのアカウントを設定するサイトそのものです。前にも設定したことがあるので、見間違えることはありません。
博士 差出人は偽装できますし、フィッシングサイトは本物と見分けがつかないくらいソックリに作られています。また、フィッシング詐欺のメールもかなり工夫されていて、疑わしい部分はほとんどありません。そのため、メールを見ただけでフィッシング詐欺だと見抜くことはとても難しいのです。
こころ 博士はどうしてこのメールがあやしいとおもったんですか?
博士 ユーザーIDやパスワード、クレジットカード番号、口座番号などの確認や再登録してほしいというメールが届いた場合には、そのメールの真偽を疑う必要があります。また、「緊急」「重要」「セキュリティー」など、危機をあおる内容の場合にも注意が必要です。人間は焦ると判断力が鈍りますからね。今回のメールは、その両方の条件を満たしていますからね。
こころ でも本当に再設定が必要なのかもしれないじゃないですか。やっぱり心配です。どうしたらいいんでしょう。
博士 まず、本当のアップルのApple IDのログインページを見てみましょう。ここで一番大事なのは画面の上にある「アドレスバー」のところです。ブラウザーがChromeの場合「https://~」というURLの左のところを見ると、鍵マークがあって「Apple Inc. [US]」と書かれてますよね。これはアップルのサイトであるということの証明なのです。
偽サイトの場合だと、ここの情報が違っているので、偽物だとわかります。
ただ、アップルみたいに社名が書かれていない場合もあります。その場合は調べるのがちょっと手間です。例えばグーグルのサイトでは「保護された通信」となってます。これだけだとグーグルかどうかわからないので「保護された通信」の文字をクリックして、「証明書」を開いてみます。証明書の発行先が「*.google.com」となっているので、これでグーグルのサイトだとわかります。
かなりややこしいですが、このようにサイトのアドレスバーから偽物のサイトと本物のサイトを区別できるので、覚えておきましょう。
こころ 私が開いたのはやっぱり偽サイトだったんですね。でもやっぱり本当にApple IDの再設定が要らないのかどうかも気になってしまいます。
博士 偽サイトであることがわかったので、これ以上は調べなくていいと思いますが、こころさんの気持ちもわかります。そういうときでも、絶対にメールのリンクをクリックしないでください。URLをブラウザーから直接入力したり、公式サイトからリンクをたどったりして該当のサイトを開くようにします。よく使うサイトについてはブラウザーのブックマーク機能を使うといいでしょう。
ではApple IDでログインしてみましょう。本当に再設定が必要であれば、そのときに再設定について書かれているはずです。
こころ はい、やってみます。あ、普通にログインできました。
博士 これで大丈夫ですね。
IDやパスワードが盗まれてしまう
こころ あの、もしフィッシングサイトでログインしようとしたらどうなるんですか?
博士 まず、Apple IDのメールアドレスやパスワードが相手に知られてしまいます。Apple IDが乗っ取られて個人情報が取られたり、クレジットカードの情報が使われてしまったりする可能性があります。また、同じパスワードをほかのサービスでも使っていると、それを使って他のサービスでもアカウントが乗っ取られてしまいます。
銀行やクレジットカード会社を装ったフィッシング詐欺の場合、クレジットカード番号や口座番号、暗証番号などを搾取したあと、不正出金や不正利用をしようとします。オンラインショッピングサイトやインターネットオークションを装ったフィッシング詐欺では、なりすましやアカウントの乗っ取りなどに使われたり、詐取した個人情報自体が売買されたりすることも少なくありません。窃取した情報を使ってさまざまな詐欺行為が行われる、というわけです。
こころ こ、こわいですね。フィッシング詐欺にあっているか確認する方法はありますか?
博士 利用者がフィッシングにあっていること自体に気がついていないケースが多いと思います。
最近、IDやパスワードの再設定を促されたり、口座番号やクレジット番号を入力した、という場合には、明細を確認し、不正な引き出しや不正なショッピングがないかなどを確認したり、SNSやインターネットサービスのログイン情報を調べ、なりすましやアカウントの乗っ取りなどが行われていないかを確認する必要があるでしょう。
こころ 怖くなってきました。もしフィッシング詐欺にあってしまったら、どうすればいいですか?
博士 銀行やクレジットカード会社、サービス事業者などに連絡し、状況に応じて対応することになります。銀行やクレジットカードの場合、暗証番号の変更やカードの再発行も必要でしょう。
トラブルに巻き込まれた場合には、各都道府県の警察(サイバー犯罪相談窓口)や、国民生活センターや消費生活センターなどが相談にのってくれます。もし法的トラブルに巻き込まれた場合には法テラスなどへの相談も必要になるかもしれません。
こころ 被害にあわないための注意点をもっと教えてください。
博士 ポイントは3つあります。(1)メールに気をつける、(2)ブラウザーの証明書を確認する、(3)フィッシング対策アプリやスパムメール対策アプリを導入する、などです。
(1)と(2)については既に説明しましたね。フィッシング詐欺はメールを使ってフィッシングサイトに誘い込むケースが多いため、メールが届いた時点で「あやしい」と判断できれば、被害にあわずにすみます。
これも繰り返しですが、とにかくメール本文中にあるリンクをクリックして開かないことが大事です。
ブラウザーの証明書についても前に説明した通りです。最近はフィッシングサイトでも証明書を使っているところがあるので、どのサイトを証明しているのかよく注意しないといけません。
また、高度な知識が必要になりますが、メールのヘッダ情報を確認してメールが配信されたサーバーを確認し、フィッシングメールかどうか判別することもできます。
具体的には、メールソフトからヘッダ情報を開き(Gmailの場合「メッセージソースの表示」、Outlookの場合、メールの「プロパティ」→「詳細」をクリック)し、Receivedフィールドを確認。メールの送信元情報を確認します。送信元情報のIPアドレスを「Whois」などのサービスを使って調べることで、誰がそのメールを送ってきたのかを確認できるのです。
最後に、フィッシング対策アプリやスパムメール対策アプリを導入しましょう。これらのアプリをインストールしておくと、あやしいメールを受信したときに警告が表示されたり、危険なサイトに接続しようとすると警告を表示したりしてくれます。フィッシング詐欺対策の最終防衛ラインともいえるでしょう。
しかし、これらのアプリをインストールしたからといって安心せず、定期的に定義ファイルを更新するのはもちろん、パソコンのOSやブラウザー、アプリなどを最新にしておくことも重要です。脆弱性を悪用され、ウイルスをインストールされる危険もありますからね。
こころ フィッシング詐欺から防衛するのはかなり大変。二重三重と防衛することで、被害にあうリスクは減らしていくんですね。自分自身で気をつけるのはもちろん、ソフトウエアなどの助けも借りて、セキュリティーを確保していきます。
博士 インターネットは便利な半面、危険なリスクも少なくありません。自分は安心と思わず、セキュリティーを高めていくようにしましょう。
(ライター 秋葉けんた、イラスト 三井俊之)
ワークスタイルや暮らし・家計管理に役立つノウハウなどをまとめています。
※ NIKKEI STYLE は2023年にリニューアルしました。これまでに公開したコンテンツのほとんどは日経電子版などで引き続きご覧いただけます。