トピックス 2019.01.07 フィッシングメールとは？見破るポイントや対策について解説

フィッシングメールに記載されているURLをクリックすると、偽サイトが表示され、クレジットカードや個人情報の入力を求められるパターンが多いようです。
そのほか、ウイルスをダウンロードさせて、個人情報を盗み出そうとするケースもあります。

一昔前のフィッシングメールは、外国語やおかしな日本語で書かれていることが多く、簡単に偽のメールだと気づくことができました。しかし、最近は偽物か本物か判断できないくらい、メールの内容や手口が巧妙になってきています。
以下に、フィッシングメールを見破るポイントについてご紹介します。

有名企業からのメールであるかのように装い、メールに記載されているサイトへ誘導するケースです。メールに記載されたURLをクリックすると偽サイトにつながり、IDやパスワードの入力を促し、アカウント情報や個人情報を盗みとろうとするパターンです。

上記のような内容を記載し、「情報を変更する場合はこちら」「以下よりアカウント情報を確認してください」などという文章やボタンをクリックさせ、偽サイトへ誘導します。

実際にある（もしくはありそうな）銀行や郵便局、クレジットカード会社を詐称し、「●●からのお知らせ」という偽のメールを送り、口座番号やクレジットカードの番号・暗証番号を盗もうとするケースもあります。

受け取った人にメールを開かせるため、不安をあおり、対応を急がせるような言葉を多用しているケースが多くみられます。

たとえば、「緊急」「重要」「必須」「このアカウントはハッキングされています」など、受け取った人が「何かしなければいけない！」と慌ててしまうような言葉です。

メールアドレスは、「（例）info@aaa.bb.jp」　などのように、複数の英数字などと「@」（アットマーク）、「.」（ドット）で表現されます。@以降が、メールアドレスにおける「ドメイン」と呼ばれるものです。

ドメインは、ドメインの所有者（＝企業）しか使えないため、偽のメールではあたかも本物の企業のように思わせるよう、工夫が凝らされています。
ただし、表示させるだけならメールアドレスも偽装することが可能です。あくまでもフィッシングメールと判断する目安のひとつと考えてください。

利用したことがないサイトからメールが届けば、偽物だと見破りやすいかもしれません。ただし、これは裏を返せば「利用しているサイトに関するメールは信じやすい」ということでもあります。
そのため、最近は携帯キャリア、SNSの運営会社、大手通販サイト、宅配会社といったような、利用者が多い有名企業を詐称するケースが増えています。

フィッシングメールを見破るポイントをもとに、被害に遭わないようにする対策をご紹介します。

HTMLメールの場合、画面上に表示するURLと実際にアクセスするサイトのURLを、別々に設定することができます。メールに記載されたURLに見覚えがあっても、すぐにクリックしないようにしましょう。

「不正アクセスの可能性があります。今すぐ確認してください」「未納料金があります。以下のサイトから支払いを行わないと、法的手続きに移行します」などのような内容のメールを受け取ったら、慌てて行動せず、一度立ち止まって考えましょう。

金融機関や銀行は基本的にメールのみで重要な連絡を行うことはありません。商品やサービスの提供者も同様に、メールの連絡だけで法的手続きを行うことはありません。

検索サイトでメールの件名を入力し、検索してみましょう。検索するタイミングにもよりますが、インターネットセキュリティを専門に扱うサイトなどで、既に問題提起されている可能性があります。

自分が普段利用しているサイトからのメールだと思っても、何となく「怪しい」と感じたら、公式サイトで確認しましょう。このとき、メールに記載されたURLをクリックするのではなく、検索サイトやブラウザーのブックマーク、または直接URLを入力してアクセスしてください。

本当に不正アクセスなどの事例が発生している場合、公式サイトで注意喚起していることが多いようです。フィッシングメールの文面が詳しく公開されている場合もあります。

今回は、悪質なフィッシングメールを見破る方法や、不審なメールを見破るポイントについてご紹介しました。
フィッシングメールに限らず、このような手口に引っかからないようにするには、最新のセキュリティ情報を定期的に確認することも必要です。もちろん、パソコンやスマホのセキュリティ対策も忘れないようにしましょう。

TEXT：セキュリティ通信 編集部
PHOTO：Adobe Stock