ここからはフィッシング詐欺の防ぎ方を見ていこう。詐欺メールを自力で見抜く目を養うことが被害者にならないための最善策だ。
フィッシング詐欺で狙われるのは主にクレジットカード情報とネットサービスのアカウント(図3)。クレカは有効期限なども含めて盗まれると好き放題使われてしまう。ネットのアカウントも盗まれると、そのアカウントに登録したデジタルマネーで買い物をされたりする。クレカやアカウントの情報は「ダークウェブ」と呼ばれる匿名闇サイトで売買されることもある。そこに出回ってしまうと消去は難しい。
図3 詐欺メールのリンクをうっかりクリックし、詐欺サイトで入力したカード情報が詐欺師の手に渡ってしまうと、買い物に使われて金銭的な被害を受けるほか、カード情報がダークウェブ(TORなどを利用した匿名闇サイト)で取引されることもある。ネットサービスのアカウントを盗むのも、アカウントに登録されたデジタルマネーの悪用が主な狙いだ
詐欺メールは実在の有名企業を装って送られてくる。国内ではショッピングサイトとクレカの発行元を装うことが多い(図4)。利用していないサイトから明細などが届いたら詐欺の可能性が高い。なお、装う企業の傾向は海外と国内ではやや異なる。
図4 詐欺メールはクレジットカード会社やショッピングサイトなどを装うことが多い。2021年は新型コロナワクチン接種やオリンピックのチケットから誘導する詐欺メールもあった。全世界を対象にするとDHLなど物流業を装う詐欺メールが多い(全世界のデータは米Check Point Researchの調査)
本物か詐欺かわからない場合は具体的な対応策へと進もう。メールを開封してもリンクなどをクリックしなければ危険性はない。ステップバイステップで総合的に詐欺かを判断する。
まずは件名をチェック。詐欺メールは「アカウントが停止されました」などと受信者の不安をあおる件名が非常に多い(図5)。これらは基本的に詐欺と見なし、心配ならサービス企業のサポートに別途問い合わせるのが得策だ(ただしメール本文にある連絡先は使わない)。また「当選しました」などとお得感を匂わせて開封を促すメールもある。懸賞などに応募していなければ、まず詐欺だと思って間違いない。
図5 詐欺メールの疑いがある怪しいメールはまず件名で判断しよう。「アカウントが停止されました」「クレジットカードの利用期限が切れています」などと不安をあおってくる件名は詐欺メールだと疑ったほうがよい。「懸賞に当選しました」「ポイントを獲得できます」といったお得感で押してくる詐欺メールもある
「差出人(送信者)」のメールアドレスにも注目。正規サービスとは無関係な名前やメルアドならまず詐欺だ(図6)。メルアドを偽装している可能性もあるので、「@」より後ろのドメインをよく確認。この方法で大半の詐欺メールは見抜ける。ただし、正規と同じドメインを使う巧妙な手口もある。メルアドだけでは判断できないので別の方法も試そう。
図6 差出人のメールアドレスは、Outlookアプリなら「表示名<メールアドレス>」という形で表示される。「@」より後ろのドメインが表示名の企業と無関係なら詐欺メールの可能性が高い。ただ、ドメインを偽装する巧妙な詐欺メールもあり、その場合はメルアドからは判別できない。別の方法と併せて総合的に判断しよう
本文内に詐欺を見破る手がかりがある。Outlookアプリならリンクにポインターを合わせると、開くサイトのURLがポップアップ表示される(図7)。明らかに正規と違うドメインなら詐欺濃厚だ。なお、Gmailは独自の対策機能があり、不審なリンクをクリックすると警告画面が出る(図8)。
図7 メール本文のリンクにマウスポインターを合わせると、実際に開かれるサイトのURLなどがポップアップ表示される。そのドメイン(左図では「ikjd.p8wxzsh.cn」「tdflije.cn」、右では「rwasdher.xyz」の部分)が正規と違っていたら詐欺サイトの疑いが強い。メール内のリンクをクリックして何も反応がないときも怪しい。海外からの詐欺メールは、日本語の本文に不自然な言い回しがあったり誤字脱字が目立つことも多い
図8 Gmailのメールで不審なURLのリンクをクリックすると警告が出る。警告が出たURLは詐欺サイトの可能性が高いので「×」を押して警告画面を閉じ、メールを削除しよう
