不審なメールはここで見破れ やってはいけない4カ条

日経PC21

詐欺メールへの対応は、やってはいけない事柄が4つある(写真はイメージ=PIXTA)
詐欺メールへの対応は、やってはいけない事柄が4つある(写真はイメージ=PIXTA)

前回の記事の通り、メールアドレスが漏れないように自分で気を付けていても、何らかの外的要因によりアドレスが漏洩してしまうことはある。つまり、誰でも詐欺メールの標的になり得るのだ。

クリック、返信はNG

もしも詐欺メールが届いたら、どうすればよいだろうか。答えはシンプル。「無視して捨てろ」である。詐欺メールへの対応は、「どうすべきか」よりも「やってはいけないこと」のほうが重要。具体的には、やってはいけない事柄が4つある。

不審なメールを受信したとき、やってはいけないことがある。返信するのは厳禁。添付ファイルやリンクを開くのも危険だ。HTMLメールの場合は、安易に画像を表示してはいけない

第一は、メールに返信すること。詐欺メールの多くは、アドレスが有効かどうかも確認せずに、不特定多数に宛てて機械的に送られている。しかし、一度返信してしまうと「このアドレスは使われていて、メールも読まれている」と相手にバレてしまい、次の攻撃につながる恐れがある。

疑わしいメールに返信すると、あなたのアドレスが実在し、メールを読んだことまで相手に伝えてしまう。その結果、さらなる攻撃にさらされるリスクが高まる

第二は、添付ファイルを開くこと。ウイルスに感染する危険があるからだ。特に、職場のアドレスに、業務関係の連絡に見せかけたメールが届いた場合は要注意。自社や取引先を狙った「標的型攻撃」かもしれない。

不審なメールの添付ファイルは、PDF やオフィス文書など見慣れた形式のファイルであっても、原則開いてはいけない。ウイルスかもしれないからだ。仕事のアドレス宛てに来たメールは、職場を狙った「標的型攻撃」の可能性もある

第三は、メール本文にあるリンクを開くこと。個人情報などを盗もうとする「フィッシング詐欺」では、メール本文のリンクをクリックさせて詐欺サイトに誘導する。本文に記載されたURLが正規のURLと一致していても油断は禁物。見た目のURLと実際のリンク先は異なる場合がある。

メール本文に書かれたリンクをクリックして開いてしまうと、フィッシングサイトに誘導されたり、ウイルスに感染したりするリスクがある。興味本位でクリックするのはやめよう

第四は、HTMLメールで非表示になっている画像を表示することだ。HTMLメールの画像には、メールに添付(埋め込み)されているものと、表示する際に外部のサーバーから読み込むものがある。後者は通常、メールソフトがブロックして非表示にするが、あえて表示させると、画像を要求する際にパソコンのIPアドレスが伝わるし、どのメールアドレスから開いたか、サーバー側で検出できる場合もある。「ウェブビーコン」と呼ばれる手法だ。マーケティング目的で、メルマガなどでも広く利用されているが、詐欺メールで悪用されることもある。

アウトルックなどのメールソフトには、HTMLメールの画像をブロックして表示しない機能がある。これは、ウェブサーバー上に置かれた画像を呼び出して表示するメールに対して働く。メールの送信者が信頼できない場合、これらの画像を表示してはいけない
画像を表示してしまうと、サーバーへのリクエストが発生する(1、2)。画像を要求するURLに識別番号が含まれていると、その情報が相手に伝わり、アドレスの実在とメールを開封したことがバレてしまう

実際の詐欺メールに引っかかってみた結果が次ページの通り。こんな手口にだまされないように注意したい。