No311　フィッシング詐欺に騙されないために

フィッシング詐欺というものがあります。
いわゆるオレオレ詐欺のメール版とでも言うべきものです。

フィッシング詐欺は年々報告件数が増えており、月に10万件を越える報告が寄せられる月も珍しくありません。

以前は、多少の知識があれば簡単に見抜くことができましたが、詐欺グループ側も改善（改悪？）を進めており、今や筆者でも絶対に大丈夫とは言い切れない状況です。

残念ながら、フィッシング詐欺を避けるには昔から言われている基本的な対応（リンクをクリックしない、添付ファイルを開けない）を取るのがが現実的です。

今回はフィッシング詐欺の仕組みと防衛策について解説をします。


1. フィッシングメール

フィッシングメール(phishing mail)というのは造語です。
もともとはfishing mail（獲物を釣り上げるためのメール）を、'f'と同じ発音の'ph'に入れ替えて隠語のように使い始めたもののようです。（語源には他にも諸説あります）

フィッシングメールでは、ついクリックしそうな文面のメールやショートメッセージを送り付け、相手の誤解を利用してIDやパスワードを盗み取ろうとします。
「アカウントの支払いに問題があります。」
「不在のため荷物を持ち帰りました。」

通常、フィッシングメールにはURLが付いていて、それをクリックすると本物そっくりのニセサイトに誘導されます。
ニセサイトと言ってもすぐにバレては意味がありませんので、ロゴや色、画面構成は本物と同じものを利用していますので、見た目ではニセと見抜くことはできないようになっています。

例えば、amazonのサイトの正しいURLは次の通りです。
　https://www.amazon.co.jp/

ですが、ニセモノではURLが違うものになります。
　https://www.amazon.co.jp.example.com/

これを見て「こんなん明らかにニセモノやん」とわかる方はURLの構造を理解している方ですし、そんな方は最初からURLを確認するクセが付いていますのでひっかかることはまずありません。
ですが、一般的にはURLなんて謎の呪文みたいなもんです。じっくり見たってサッパリわかりません。

補足：
　URLの構造が気になる方は以下をご参照ください。
　No289 ドメインの話ふたたび
　https://note.com/egao_it/n/n6788a35f60ab

人に誤解させて、何らかの行動を取らせるという点ではいわゆるオレオレ詐欺（特殊詐欺）と同じ、いわばインターネットを介した特殊詐欺といえます。

余談：
　誤解させて本人の意図に反した行動を取らせる手法を「ソーシャルエンジニアリング」と呼びます。
　ソーシャルエンジニアリングでは相手の誤解や誤認識を悪用して本人から情報を盗もうとします。
　なお、ソーシャルエンジニアリングはメールに限りません。
　訪問先のディスプレイに張ってある付箋紙のパスワードを盗み見る、電車内の会話を盗み聞く、といった手法も含まれます。


2. フィッシングメールの例

誤解させて、情報をうまく引き出すのが目的ですから、その文面はいかにもホンモノらしく書かれています。

例を示しましょう。（出典： https://www.antiphising.jp)

　Amazon お客様:
　Amazonをご利用いただき、誠にありがとうございます。
　このたび、お客様のお取引につきまして、第三者による不正利用の可能性を検知したため、以下へアクセスの上、Amazonアカウントのご利用確認にご協力をお願い致します。Amazonアカウントを引き続き使用する必要がある場合には、48時間以内に個人情報を確認してくださ。Amazonへのサポートに感謝します。

多少の誤字脱字がありますが、かなり自然な日本語です。ここ数年で文面が随分とこなれてきた印象です。（ほめるような話ではありませんが）

Amazonを使っていなければ「なんだこりゃ？」となり、詐欺メールであることに気付きますが、アカウントを持っている人の中には「これはマズい」と思ってメールに書かれたURLをクリックする方も出てきます。

メールを送付したうち1%がAmazonアカウントを持っていて、クリックしちゃう「うっかりさん」が百人に一人だとしても、百万通送れば百名がひっかかる計算です。


3. フィッシング詐欺の裏側

まず、お伝えしておきたいのは、フィッシング詐欺は組織犯罪の金儲けである点です。

フィッシング詐欺に愉快犯などはまず存在しません。
ほとんどは反社会勢力（暴力団やマフィアなど）によるビジネスです。

しかも、より効率良くだますために、得意分野による分業がかなり進んでいるという情報もあります。
例えば、メールアドレスを集めて売り出す組織、大量のメールを代理送信する組織、ニセサイトを準備する組織、フィッシングメールを作成する（企画を行う）組織といった具合です。

企画する組織はメールアドレスを別組織から購入し、メール送信を別組織に依頼し、ニセサイトの構築を別組織に依頼する、などとするわけです。

そして、ニセサイトでかき集めた個人情報の使い方も様々です。
カードを不正利用することで稼ぐケースもありますし、カード情報を他組織に転売するケースもあります。

あきれたものではありますが、面倒な時代になったことは間違いありません。


4. フィッシング？と思ったらググる

冒頭でも書きましたが、フィッシング詐欺を確実に見抜く方法はありません。

つまり「○○をチェックすればフィッシング詐欺100％防げる」という情報は、間違い（おそらくは情報が古い）です。

だからといって、どうしようもないというわけでもありません。

あまり新しさのない内容になりますが、次の点を守ればほぼ騙されることはありません。
　・メールに記載されたURLをクリックしない
　・メールに添付されたファイルを開かない

危ないのは、「知人からのメールだから大丈夫だろう」「実際に契約しているサービスからの連絡だからホンモノだろう」という思い込みです。

それでもクリックしたい場合（そもそも詐欺師はクリックしたくなる文面を送ってきます）は、メールのタイトルをググってみてください。

フィッシング詐欺の情報はフィッシング対策協議会をはじめとして、警察、消費者保護団体、本来のブランド保有会社などで出されています。
こういったサイトでは、具体的な文面を示して注意喚起をしています。

検索をすれば、こういった情報を簡単に見つけられます。

全くヒットしないようであれば、本当に不在通知のメールなのかもしれません。
その場合でもメールだけを信じるのではなく、発行元に電話やメールで確認してください。

念のために言っておきますが、来たメールに返信するのはNGですよ。
詐欺師に「あなたは詐欺師ですか？」と聞いて「そうですよ」と言うわけありませんから。


5. URLの検索は効果が薄い

メールに書かれたURLを検索することで、フィッシング詐欺を見破ることはできるのでしょうか？

これはあまり信頼度が高くありません。

というのは、多くのニセサイトは短時間で閉じます。２時間や３時間で閉じるケースも珍しくありません。
これは、フィッシングと気付いたホワイトハッカー達がそのドメインの管理元に連絡をしてくれるためです。
そのため、フィッシング詐欺のURLは短命で、検索しても見つからないケースが多いです。

検索で見つからない＝詐欺じゃない、というのは危険ですから、本文（割と長期間使い続ける）やタイトルを検索する方が確度は高いと言えます。


6. メール本文でフィッシング詐欺を見抜けるか？

ではメールの記載内容でフィッシング詐欺を見抜けるでしょうか？

以前であれば、いくつかのポイントが有効でした。

例えば、私はメールの１行目に着目することをオススメしていました。
（後で書きますが、これは既に過去の方法です。信じてはいけません）

日本国内ではビジネスメールの１行目に送付先のお名前を書くことが謎マナーとなっています。

○○様

△△株式会社の□□です。
：
：

といった感じですよね。

ですが上述の通りメールアドレスを束で購入した場合、本当の名前がわかりません。
そのため、１行目が空行だったり、xxxx@example.com様 だったりと通常のビジネスメールのフォーマットを満たしていないケースがほとんどでした。

ところが、本日（正にこの文章を書いている2023年6月11日)受け取ったメールに、フィッシングであるにも関わらず１行目に「清水様」と正しく筆者の名前が書いてあるものが届きました。

これは購入したメールアドレスの束に氏名の情報も付与されるようになったことを示しています。

つまり、以前に筆者が書いていた内容は既に過去の見抜き方であり、現在では通用しない方法となってしまったのです。

フィッシングメールが恐いのはこの点です。
犯罪者側も進歩していますので、知識のアップデートなしに「大丈夫」と判断するのは危険だということです。

最初に書いたように、メールに添付された書類やURLをクリックしないという基本的な行動さえ守っていれば、フィッシングメールにひっかかることはありません。
どうしても添付書類を開きたい場合は、送付元に電話などで確認を取ることが確実です。

メール文面でのフィッシング詐欺チェックという手法は2023年時点で既にリスキーであり、オススメできないと言わざるを得ません。


7. まとめ

何年も前からフィッシング詐欺と呼ばれる「にせメール」での詐欺が多発しています。

ウソのメールやショートメッセージを送付し、IDやパスワードを盗み取り、重要な個人情報を入手やカードの不正利用を行おうとするものです。

基本的な対策は非常にシンプルです。
　・メールに書かれたURLをクリックしない
　・添付されたファイルを開かない

送ってきた内容がフィッシングかどうかの判断は以下の二つを併用しましょう。

１）送信元の公式サイトにアクセス
　　→Google検索やブックマークを用いてアクセスする。
　　→フィッシング詐欺について公式サイトで言及がないか？
　　→本当にメールで書かれている事態が起きているか？

２）受信したメールのタイトルや本文をGoogle検索
　　→各種団体が警告していないか？
　　→twitterなどで誰かが警告していないか。

３）知人からの突然の（意図のわからない）メール
　　→「ホントに送った？」と電話などで連絡
　　→本人に問い合わせメールを送付（返信ではなく、新たにメールを作成）

筆者は今まで、本文のチェックでも（確実ではないが）ある程度判断できると思っていましたが、撤回します。
2023年現在では、メール本文の記載内容でフィッシングでないと判断する手法は非常に危険と言えます。

今回はフィッシングメールとその対策について解説をしました。

次回もお楽しみに。

（本稿は 2023年6月に作成しました）

"