詐欺メール 悪徳業者がアドレス入手する6つの手口

日経PC21

サービスに登録したりプレゼントに応募したりする目的で、安易に住所やメールアドレスといった個人情報を入力するのも考えもの。そのような仕掛けで個人情報を収集している場合がある。また、登録しようとした内容から、趣味嗜好も把握されてしまう。

懸賞サイトやアダルトサイトの登録など、メールアドレスを入力させて情報を収集するサイトもある。プレゼントに当選したので送り先を入力してほしいなどと偽り、個人情報を盗むこともあるので要注意

防げない「総当たり攻撃」、ハッカーによる攻撃も

メールアドレスは、「@」の左側に書かれたユーザー名と、右側に書かれたドメイン名の文字列で構成されている。ユーザー名で利用できるのは、アルファベットと数字や一部の記号のみ。それゆえ、a、b、c、……と1文字ずつ組み替えて機械的に文字列を生成する「総当たり攻撃」を仕掛けることで、特定のユーザー名と一致させられる可能性がある。こうしてユーザー名を自動生成し、それに大手メールサービスのドメイン名を付加し、大量にメールを送信する業者もいる。

文字の組み合わせを1文字ずつ変えたり、文字を追加したりして機械的にメールアドレスを大量生成し、メールを送信する悪徳業者もある。この場合、そのアドレスが実在する場合のみメールが届く
総当たり攻撃で送られてきた詐欺メールの例。一番上のアドレスは実在するが、そのアドレスに文字列を追加した「存在するかわからないアドレス」宛てにも同報している

大手企業のサーバーがハッカーに攻撃され、大量の顧客情報が抜き取られてしまう事例も後を絶たない。そのデータが闇の市場を通じて悪徳業者に渡ることもある。

アプリの実行は要注意、簡単なアドレスの利用は避ける

悪徳業者がメールアドレスを手に入れる方法がわかれば、その対策もおのずと見えてくる。ここでは、アドレス漏洩を防ぐための基礎知識を押さえておきたい。

マルウエアを通じたアドレスの流出を防ぐには、OSやアプリのバージョン、ウイルス対策ソフトの定義ファイルなどを、常に最新の状態に保つことが必須だ。OSや主要なアプリは自動更新されるのが一般的だが、念のため確認しておきたい。

マルウエアに感染しないようにするには、ウィンドウズやアプリを常に最新の状態に保つこと。ウイルス対策ソフトの定義ファイルの更新も怠らないことだ

パソコンやスマホにアプリをインストールする前に、そのアプリが実行できる権限も確認しておくこと。メールとまったく関係ないのに、メールの履歴や連絡帳などにアクセスするアプリは真っ先に疑おう。

「マイクロソフトストア」や「グーグルプレイ」からアプリをインストールする前に、それが実行できる権限を必ず確認しておくこと。アドレス帳にアクセスするアプリには注意が必要だ

パソコンのデスクトップアプリは、提供元が不明のアプリを実行すると「ウィンドウズディフェンダー」によって止められる。その場合は、アプリを安易に起動しないほうがいい。

「ウィンドウズディフェンダー」の「スマートスクリーン」という機能により、実行が止められたアプリは避けるのが無難。もし、安心できるアプリだと確実にわかっているならば、「詳細情報」から実行することもできる

ウェブページにメールアドレスを掲載するときは、テキストでそのまま記載するのを避ける。文字列を画像にして貼り付けておけば、ロボットによる検出が難しくなり、収集を防ぎやすい。アドレスをひらがなやカタカナなど、日本語で表記するのも手だ。また、不特定多数が閲覧できるSNSなどにアドレスを投稿するのは避ける。

不用意なメールアドレスの登録も控えよう。例えば、自分のアドレス宛てに届いたメールに記載されたURLを開いたのにもかかわらず、再度メールアドレスを入力させるサイトは危険。最近は、SNSでプレゼント当選を装い、住所やメールアドレスを聞き出す手法もあるので注意する。

総当たり攻撃による詐欺メールや迷惑メールを防ぐには、メールアドレスを複雑にする。日常的に使われる英単語や、(名前)+(誕生日)といった推測されやすいものはなるべく避ける。また、文字列が長くなるほど、総当たり攻撃はされにくい。なかには複雑なメールアドレスを自動作成できるサイトもあるので活用するとよい。

文字数と、使用する文字の種類を選択するだけで、複雑なアドレスを作成できるサイトもある。記号を含めると、メールアドレスに利用できない文字まで含まれてしまうので注意する

[日経PC21 2019年11月号掲載記事を再構成]

注目記事
今こそ始める学び特集