フィッシングメールによる詐欺｜実例を元に手口と見分け方を紹介

年々増加するフィッシングメールを使った詐欺は、その数もさることながら巧妙さも増してきています。

さらに厄介なことに、フィッシングメールのクオリティ次第では目視だけでは難しくケースもあるため、より高度な対策が必要とされています。

この記事ではそんなフィッシングメールでの詐欺の種類や、実例を元に手口や見分け方についてご紹介します。

フィッシングメールとは

まずは、フィッシングメールがそもそも明確に把握できていないという方に向けて、簡単に解説をしたいと思います。

フィッシングメールとは、正規の組織やサービス提供者を装い、受信者に個人情報や金融情報を盗み取ることを目的として送信する偽の電子メールのことを指します。

フィッシングメールには、メール本文に記載しているリンクを受信者にクリックさせて偽のウェブサイトにログインするように促す手口が多く、その偽サイトで入力してしまった情報がそのまま詐欺グループなど悪意のある人間の元に渡ってしまう仕組みとなっています。

なりすましメールとの違い

フィッシングメールとよく混同される詐欺メールに「なりすましメール」があります。

このフィッシングメールはなりすましメールの一種となっており、なりすましメールの方がより広い手口で詐欺行為が展開されます。

この2つはどちらも不正なメールを使って個人情報を抜き取ったりウイルスが仕組まれたファイルをダウンロードさせるという点では共通していますが、その中でもフィッシングメールはフィッシングサイトへの誘導を行い、そこを起点に情報漏洩やウイルスやマルウェア感染を目的としたものとなります。

対して、なりすましメールは上記のフィッシングサイトへの誘導以外にも、取引先や上司を装って返信によって内部情報を盗んだり、振込先情報を詐欺用の口座に勝手に変更するなど、より多くの詐欺行為を行う不正メールを含んだものとなります。

どのような詐欺被害に遭う？

続いては、フィッシングメールによる詐欺行為にあうと、具体的にどのような被害を受けるのか。

その種類や詳細についてご紹介します。

ログイン情報や個人情報の流出

フィッシングメールによる被害には実在する会員サイトへのログイン情報や氏名や住所、電話番号といった個人情報が抜き取られるケースがあります。

こういった情報が抜き取られてしまうと、勝手に会員サイトのアカウントへログインされて情報の改ざんや入金口座の変更、勝手にネットショッピングをされるなどの被害に発展します。

また、個人情報に関してもその情報を元にスパムメールの配信先として登録されたり、着払いで高額商品を送り付けられる、その他オレオレ詐欺などに発展する場合もあるため、1回の流出だけであっても大量の詐欺行為の標的にされることになります。

クレジットカード情報の流出

フィッシングメールが発端となり、クレジットカード情報が抜き取られるケースがあります。

フィッシングメールによる詐欺の中でも、早急に対応が必要になる被害の一つでもあるクレジットカード情報の流出ですが、もしこの被害に遭遇した場合は深刻なクレジットカードの不正利用が起こる可能性があります。

また、反対にクレジットカード情報が流出、不正利用を察知されないようにするために一度に高額な利用をするのではなく少額を定期的に不正利用するという使われ方もします。少し前であればAirbnbが架空の宿泊施設の登録、即日引き出しが可能であったことから、クレジットカードの不正利用を行うプラットフォームとして多用されることもありました。

もちろん、この手の詐欺は気付くことさえできればクレジットカード会社から返金はありますが、新しくカードの作り直し、支払カード情報の更新など非常に面倒な作業が発生しますので、どちらにせよ絶対に防ぎたい詐欺の一つではあります。

ウイルス感染

フィッシングメールに添付されているファイルやダウンロードリンクからダウンロードできるデータをインストールすることで、ウイルスやマルウェアに感染するケースがあります。

この手の被害は個人だけではなく法人もターゲットにされる頻度が高いフィッシングメール詐欺の一種で、ウイルス対策を万全でない状態でこの攻撃を受けてしまうと、感染に気付かずに中～長期間そのまま内部情報が漏れ続けてしまう事態になる場合もあります。

そうなれば流出した情報次第では企業は世間にそのことを公表する必要があり、その後の対応次第では社名に傷がついてしまう恐れもあるため、個人情報の取り扱いがある企業の場合は特に注意が必要な詐欺となります。

具体的な詐欺の手口や特徴

フィッシングメールで行われる詐欺についてですが、詐欺の種類によってよくある手口や特徴があります。

この記事を作成している間にも、迷惑メールボックスにそういったフィッシングメールが届いてますので、実例として実際のキャプチャ画像も交えてご紹介したいと思います。

企業向けに送られるフィッシングメール

まずは、企業向けに送信されることがあるフィッシングメールの手口についてご紹介します。

攻撃のターゲットが企業になっているフィッシングメールには、取引だったり事業継続に関連があるような文言で誘導する手口が多い傾向にあります。

メール関連のエラー

企業向けのフィッシングメールには、メール関連のエラーをお知らせするものが多く含まれています。

こちらは弊社KAGOYAを装ったなりすましのフィッシングメールです。

もちろん、差出人にある情報は偽の情報ですので、ヘッダー情報を表示させることでそれを見破ることが可能です。

この手口としては、メール配信のエラーが発生しているとうその情報を流し、その解決策として添付しているファイルをダウンロードする必要があると謳うものです。当然、添付ファイルにはウイルスやマルウェアが仕込まれていますので、ダウンロードは絶対に避けるべきです。

なお、この実例で紹介しているメールの場合は日本語が下手な文面から直ぐに詐欺メールだと気付けますが、中にはかなり精巧に作られたメール本文の場合もありますので、添付ファイルがある場合は要注意です。

支払い関連や銀行からの連絡

続いての手口としては、支払関連だったり銀行からのお知らせを装ってフィッシング詐欺を行う手口のご紹介です。

以下のメール画像は実際に迷惑メールボックスに振り分けたフィッシングメールですが、文面からも本物の銀行から送られてきたメールかと勘違いしそうになる内容となっています。

この手口の場合、メール本文にあるリンクが本物のサイトではなくフィッシングサイトになっていますので、そこで情報を入力してしまうと、その情報を丸々盗まれてしまいます。

幸い、このフィッシングメールの場合はメールアドレスを確認する限り、明らかにApple関連の詐欺に使われていたであろうドメインの使いまわしだと推測できますので、メールアドレスをチェックされる方は事前にフィッシングメールだと気付けるでしょう。

領収書のダウンロード

企業の場合、取引先とのやり取りの中に、メールでの領収書のやり取りもあります。

このフィッシングメールは、そんな領収書の添付といった状況を利用したものとなります。

上記は実際に領収書という名目でウイルスやマルウェア感染のダウンロードを目的としたフィッシングメールですが、このメールに関してはメールアドレスや、本文の日本語の違和感から引っかかる人は少ないでしょう。

ただ、この手口はかなり精巧に作られたメール本文に加えて、差出人情報も実在する取引先などに扮してメールを作成しているケースもありますので、目視だけでは判断が難しくメールセキュリティによる対策が推奨されます。

パスワードの期限切れや更新のお知らせ

個人向けに送信されるフィッシングメールにもありますが、何かしらの会員サイトのログイン情報の更新やパスワードの有効期限切れを謳ってフィッシングサイトに誘導し、そこで本来の会員サイトに使用しているログイン情報を入力させて情報を盗み取る手口があります。

以下のメールが実際にパスワードの有効期限が切れると謳い、受信者に焦ってログイン情報を入力させようとするフィッシングメールとなります。

このメールに関しても、ネットリテラシーがある方であればログイン先のURLがhttpsではなくhttp表記になっている時点で詐欺だと見抜けますが、詳しくない方であったり偶然にも心当たりがある方の場合は騙されてしまう可能性があります。

その他

ここまでに紹介してきたフィッシングメール詐欺の手口以外にも、以下のように多種多様な手口が存在します。

・セキュリティ関連の警告

・サービス変更による確認を促す

・サービスやアカウントの停止

・ボイスメールのメッセージ確認

以上が企業をターゲットとするフィッシングメールの実例と手口となります。

この辺りの手口は、今後の法律や新サービスの登場次第でいくらでも新しい手口が登場する可能性がありますので、「これ以外は大丈夫」と思わずに、常にセキュリティ意識をもってメールに対応する必要があります。

個人向けに送られるフィッシングメール

ご紹介の通り、フィッシングメールは企業だけではなく個人のメールアドレスにも大量に送信されます。

個人のメールをターゲットとするフィッシングメールの場合は。そのほとんどがBtoC企業からのメールを装ったメールで送信されてきます。

特に利用者の多いAmazonは攻撃者にとって無差別に送信するには都合が良いなりすまし先となりますので、数年前から定期的にフィッシングメールが送信されています。

ちなみに、この画像は私の個人利用のスマホで受信したフィッシングメールですが、From情報が「Amazon」に見えるだけで実際のメールアドレスは全く違うアドレスとなっています。

メール本文にあるURLも一見AmazonのURLに見えますが、目視で見えるURLがAmazonになっているだけで実際のリンク先は謎のサイトへのURLに飛ぶように設定されています。

ただ、この辺りもGmailやYahoo!メールのようなSPFやDKIM、DMARCなどが揃っているメールを利用している場合は自動的に迷惑メールに振り分けられます。

認証情報を確認しても、上記の通りAmazonではないドメインであることをしっかり確認できますので、メールのセキュリティ対策に関する知識が乏しい個人であっても、このような巧妙な手口からいつの間にか守られている状況にあります。

＞SPFやDKIM、DMARCなどが揃っている法人向けのメールサーバー

フィッシングメールの見分け方

ここからは、実際に受信したメールがフィッシングメールかどうかを見分ける方法についてご紹介します。

アドレスを確認する

前述の実例にもあるように、フィッシングメールの中には送信メールアドレスの偽装にまで気が回らずに、全く関係のない文字列のアドレスから送信されている詐欺メールもあります。

こういったフィッシングメールの場合、初めてメールを使用したリする方でもない限りは騙されることはないので、脅威度は割と低めです。

ただし、引っかかりにくいとは言っても、仮によく確認せずに添付ファイルのダウンロードや個人情報の入力などをしてしまった場合の被害は決して優しいものではありませんので、油断せずに注意を払う必要はあります。

メール本文やリンクを確認する

次に、メール本文や記載されているURLからフィッシングメールかどうかを判断するという方法もあります。

こちらも前述でご紹介のフィッシングメールの実例の一部に、明らかに日本が不自然だったり、URLに違和感を感じるものに関しては、比較的フィッシングメールだと判断しやすい要素となっています。

ただし、本文やリンクに問題が無ければフィッシングメールではないとは言い切れず、中には記載されているURLと実際のリンク先が異なるフィッシングメールもありますので、あくまでも「不自然ならフィッシングメールの可能性が高い」程度の認識に留める必要があります。

ヘッダーや認証情報を確認する

受信したメールアドレスや差出人の情報が一見問題なく見えるが、どうも違和感を感じるという場合には、そのメールのヘッダー情報を確認することで本物かフィッシングメールかを判別できます。

詳細な確認方法については以下の記事でご紹介しています。

ただし、この方法でしか見破れないフィッシングメールの場合、そもそもヘッダー情報を確認してまで本物かどうかをチェックしようとは考えないため、迷惑メールボックスではなく受信ボックスに入ってしまうと高確率でフィッシング詐欺に引っかかります。

そのため、その前段階としてそういった差出人や偽装アドレスでも自動的に検知してくれるメールセキュリティの導入が必要になります。

公式サイトや担当者に電話で確認する

どう見ても本物のメールのように見えるけれど自分ではフィッシングメールではないという確信が持てない場合には、そのメール送信者が語っているサービスの公式サイトや担当者、問合せ窓口に確認する方法が最も確実に判断することができます。

中には不正ログインやパスワードの変更期日など急ぎで対応が必要と記載されている場合もありますが、もしそれがフィッシングメールだった場合、そこから対応することで情報流出が発生するため慎重に行動する必要があります。

仮に、深夜帯などサポート窓口の営業が閉まっている時間帯である場合は、そのメールのリンク先から手続きを行うのではなく、自分で公式サイトに飛び必要とされる手続きをすることで、リスクを回避しつつ変更を実践するという手段も可能です。

もちろん、これは最終手段であるため、問合先が営業時間内であれば電話で確認する方法が簡単に実行できますので、こちらの方法を優先すると良いでしょう。

有効なフィッシングメール対策

上記でフィッシングメールかどうかの見分け方をご紹介しましたが、そもそもの問題としてフィッシングメールを受信箱に入れないようにして、見分ける作業自体を不要にしていく必要があります。

仮に自分で100％見分けられるようになったとしても、受信する全てのメールに対して手動で見分けていくとなるとあまりにも非効率ですので、その必要すらなくなるよう対策を講じる必要があります。

ブロック、迷惑メールに振り分ける

多くのメールソフトやメールサーバーにはブロック機能やメールフィルター機能が搭載されています。

これらの機能を活用すれば、何度もフィッシングメールを送ってくるアドレスや共通する条件が当てはまるメール全てを自動的に迷惑メールボックスに振り分けられるように設定することが可能です。

特定のメールアドレスのブロックやフィルターの設定は手動で行う必要がありますが、迷惑メール判定を付ける抱ければワンクリックで行うこともできますので、同じ手口を何度も繰り返し仕掛けてくるメールがある場合は有効な手段となります。

メールセキュリティを導入する

2つ目のフィッシングメール対策としては、この記事中でもご紹介しているメールセキュリティを導入するという方法です。

この対策の注意点としては、「SPFだけ」や「DKIMだけ」にするのではなく、SPF・DKIM・DMARCの3つ全てが揃っていて、なおかつ手動でメールフィルター設定が可能なメール環境を整える必要があります。

これら全ての条件をクリアできているメールサービスやメールサーバーは多くはありませんが、条件を満たしているサービスは存在していますので、そういったメールサーバ―の導入を進めることは非常に有効な対策となります。

まとめ

フィッシングメールは差出人の名称やメールアドレスの偽装など、年々その精度が向上してきていますが、それでも受信したメールのヘッダー情報などを確認することで見破ることは可能です。

ただし、そこまでしないと見破れないフィッシングメールとなると、全ての受信メールに対して実行するには現実的に時間が足りなくなりますので、それを解決するためにもメールセキュリティの導入は必要不可欠になりました。

もちろん個人で利用しているGmailやYahoo!メールに関してはアプリ側でSPF・DKIM・DMARCといったセキュリティを実装し、何もしなくても自動的にフィッシングメールを迷惑メールに振り分け、被害を未然に防ぐことができます。

しかし、企業など自社で管理しているメールの場合は自社で何かしらの対策を行う必要がありますので、未実施の場合は優先度高めで検討する必要があるでしょう。