最近世間を賑わせているドコモ口座の不正送金ですが、蓋を開けてみるとドコモ口座と紐づかれている銀行(主に地方銀行)にもセキュリティの脆弱性が判明し、長年のノウハウから元々セキュリティが強固だった「ネット銀行」や政府主導で利用促進したオンライン決済の是非にも飛び火している状態となってしまいましたね。
不正送金に利用されたドコモ口座のアカウントは、本人確認なしに簡単に作成できてしまうのはもちろん問題なのですが、それより怖いのは、「銀行で管理されているはずの顧客情報」が洩れている方でしょう。
顧客名や顧客の口座番号、そして暗証番号など送金できる情報を入手されてしまったために、セキュリティの甘い「ドコモ口座」を経由されてお金が引き出されてしまったわけですが、その情報漏れの原因の一つと考えられているのが、「フィッシング詐欺」となります。
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザーID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
総務省国民のための情報セキュリティサイト
「フィッシング詐欺」のパターンで一番多いのは、やはり「メール」となるでしょう。
メールに記載されたリンクをクリックさせ、偽サイトで個人情報を入力させる画面が表示され、入力した個人情報を言われたままに送信してしまうと・・・「ジ・エンド」となるわけです。
もちろん、銀行や決済手段のセキュリティレベルも甘いのですが、
インターネット環境を利用する利用者側の意識レベルも上げていかなければ、この手の問題はこれからまだまだ起きていきます。
サービス提供側のセキュリティシステムを上げれば、悪用しようと考える側も追随して突破口を探します。
そういったインターネットの利用レベルが上がっていく環境でも、実際にサービスを利用する側が、普段のインターネット生活の危険度や重要度、必要性などを「見極める力」を持つ必要があるわけですね。
先日、仕事に絡んだある年配の経営者の方とお話をしている際に、その方のスマホに1通のメールが届きました。
そのメールは、皆さんにも届いた経験があるかもしれませんが、ある大手の宅配業者を名乗るものでした。
「荷物を届けたが留守だったので、下のリンクから配達状況と再配達を依頼してほしい」という内容で、その方は、「お?!荷物??・・・頼んでたものってあったかなぁ・・・」と、少し考えこんでいました。
失礼ながら、メールを拝見すると、確かに誰でも分かる配送会社の名前が書いてありましたが、どうしても配送されるような荷物を頼んだ覚えがないと言います。
そこで、送信者のアドレスを確認すると、明らかにおかしいメールアドレスが記載されていました。
念のため奥さんにも確認してもらったところ、「何も頼んでいない」という回答をもらい、フィッシングメールと判断しそのまま削除してもらいました。
もちろん、今の時期だとお中元や暑中見舞いの品を贈ってくださる場合もあるでしょうから、自分が荷物を頼んでないからと言って一概にそのお知らせメールがフィッシングメールかどうかは分からないのですが、今回の場合は送信してきた相手のメールアドレスが配送会社のアドレスとは明らかに違っていたので事なきを得たのです。
これがもし、普段よく荷物の届くお宅であれば、あまり迷わずにリンクをクリックしてしまったかもしれません。
そして、その先の画面ではおそらく氏名や電話番号、クレジットカードの番号などの個人情報を入力させるような画面が表示されていたかもしれませんし、そのまま入力して送信してしまっていたかもしれません。
つまり、このメールが”何かおかしい”と気づくには、システムを利用する利用者側の正しい判断が必要となるわけです。
先程は、配送会社を騙るメールの一例を示しましたが、もちろん私宮嶋宛にも色々なフィッシングメールが届きます。
フィルターもかけているので、ほとんどは受信トレイに入らず処理されてしまうのですが、どういったフィッシングメールが届いているのかをこのページで少しご覧いただきたいと思います。
Amazon
このAmazonからのお知らせは色々な種類のメールがよくやって来ます。
その一例を以下に披露します。
ぱっと見ると、Amazonからメールが来ているように見えます。
なぜかと言うと、Amazonのロゴに本物のAmazonのロゴを使っているからです。
このメールを送信している輩が、Amazonのサイトから画像をコピーして、メール本文に貼り付けているだけなのですが、それらしく見えるし本当にAmazonから来たメールのように見えてしまいます。
ただ、赤く囲んだ送信者のアドレスを見てみると、「@の後ろ」のドメイン名が「amazon.com」や「amazon.co.jp」ではなく、怪しいドメイン名になっています。
そして、HTMLメールなので上の画像で言えば「マイストア?」や「タイムセール?」などのリンクにマウスを合わせると(スマホやタブレットの場合はリンクをロングタップ)、表示されるリンク先のURLを確認できるのですが、怪しいURLになっています。
上の画像には映っていませんが、このメールの一番下には、「支払方法の情報を更新する」というボタン型のリンクも用意されています。
同じように、このリンク先のURLを表示させてみると怪しいので、これはフィッシングメールだと判断できるわけです。
ここで怪しいと感じるために必要な最低限の知識は以下のようになります。
- 使っているメーラーにおいて「送信者のアドレス」を確認できる
- 「ドメイン名」がどういうものか分かる
- Amazonの正しいドメインが分かる。もしくは調べられる
- Amazonの正しいドメインと送信者のアドレスのドメインの正否の判断ができる
- メール内のリンク先のURLを調べられる
- パソコンでもスマホでも同じように上に挙げたようなメール内の調査ができる
いかがでしょうか。
大まかに上に挙げたような調査で、このメールが本当にAmazonから来ているメールなのかどうかを判断したいところですね。
これも同じAmazonを騙るフィッシングメールです。
送信者のアドレスやリンク先URLがおかしいのは同じで、さらにメール本文の最後が「永久ロック」で終わっています。
本文全体が何だか外国人が日本語を入力しているようにちぐはぐなので、これも怪しいと思う判断の一つとできるでしょう。
さて、最後にこちらのAmazonのフィッシングメールをご覧ください。
送信者アドレスが「@amazon.co.jp」になっています。
このドメイン名は、確かにamazonのドメイン名です。
実は、メールの送信者名や送信アドレスは、メールソフトによっては任意で変更できるものもあります。
したがって、メールアドレスのドメイン名がこのように合っているからと言って、安易に信じてはいけない場合もあるのです。
以下のAmazonのページ内には、「アカウントサービスで個人情報の開示は求めない」とあります。
つまり、メールで「アカウントの所有権の証明を確認したりはしない」というわけですから、メールでこのような情報確認を送ってくるのはフィッシングメールだと判断するしかないのです。
上のヘルプページ内には、「不審なメールを受信したらアマゾンまでそのメールを送って」と書いてあります。
自分で判断できなければ、正規のサービス(この場合はAmazon)に確認してもらうのも一つの手です。
三井住友カード
Amazonは、ショッピングサイトでワールドワイドですが、今度は日本国内の金融サービス系のフィッシングメールをご覧いただきましょう。
とは言っても、Amazonのフィッシングメールと何ら変わりはありません。
これもHTMLメールで来ているので、ロゴなどのデザインを本家のサイトからコピーして使っていますね。
同じように確認してみると、送信者アドレスのドメインがおかしいし、(上の画像ではお見せしていませんが)リンク先のURLも「~.shop」と表示されます。
本文に「第三者による不正使用うんぬん」と書いてありますが、そっくりそのままお返ししたいところですね・・
しかし、そうです。。。本当に返信してはいけません。
まだ、この程度だと”何だろう?”と考える余裕もありそうですが、次のようなメールは結構騙される可能性が高くなるのではないでしょうか。
「不正にログインされました」というお知らせメールを装ったフィッシングメールです。
実際に、普段からvpassにログインしている人にしてみたら、
”うわっ!やばっ!”
と慌てて「→VpassID情報紹介・変更」のリンクをクリックしてしまうかもしれません。
送信者のアドレスもそれっぽいですしね。
基本的に「~を確認するのに今すぐログインしてください」というメールは金融機関からはまず送られません。
個人宛に来る場合は「あなたは~をしたのでお知らせします」というメールがほとんどでしょう。
さらに言えば、個人宛の場合に本文に「(メールアドレス) 様」という書き方はせず、必ず名前が「フルネーム」で入ります。
顧客全体に送られているメールであれば本文は、特に「~様」や「各位」などの文言は入りません。
メールアドレスだけを何らかの方法で手に入れたので、それを元に”他の情報も釣ってやろう”とこのようなメールを不特定多数に送りつけているわけです。
正に、フィッシングですね。
総括
Amazonと三井住友カードを例に出しましたが、他によく来るメールは「楽天市場」を装ったフィッシングメールもやって来ます。
この場合、まずもって自分が楽天市場で何も買っていなければ、「クレジット決済で買い物をされている」という事実に驚いて慌ててしまうかもしれません。
当然、慌てさせて「楽天ログイン」をクリックさせるのが手なのですが、このメールの場合は本文中の日本語が既におかしいので、フィッシングメールだとすぐに分かります。
このメールも本文の宛名が「miyashima様」になっていますが、まず自分が楽天市場にこのように名前を登録しない限り表記されない形です。
それでも、普段使っているメールアドレス宛にこのメールのタイトルが送られてきたら、”何だろう・・?”と思って思わずメールを開いて見たくなりますよね。
開いても本文内のリンクには絶対手を触れないでください(笑)
さて、今回披露したフィッシングメールのあて先はすべて
「miyashima@officeonemanage.work」
になっていました。
このメールアドレスは、当サイトで記事を書くために使っている当サイト専用アドレスなので、そもそも私自身が金融機関やショッピングサイトにこのアドレスを登録するなど絶対にないので、この手のメールはすべて「怪しいメールだ」と判断できるのです。
では、フィッシングメールを送り付ける輩はこのメールアドレスをどうやって特定するのか・・。
それは、当サイトの記事内で「miyashima@officeonemanage.work」が文字列で記載されてからでしょう(←これも記事内に文字列で書かれています)。
というのも、サイトを作ってからしばらくは、メールアドレスを記事内の説明画像の中だけに留めていました。
画像であれば、画像のメールアドレス部分の特定は難しいので、こういったフィッシングメールは一切来なかったのですが、色々記事を作っていく内にそういうわけにもいかなくなり、本文中の説明に文字列でメールアドレスを記載するようになったら、たちまちフィッシングメールがたくさんやって来るようになりました。
サイトへのアクセス数が増えたのも原因の一つでしょうね。(いつもありがとうございます!)
ただ、前述のように当サイトの説明にしか使わないメールアドレスですから、どんなフィッシングメールが来ても構わないのですが(むしろネタとして使わせてもらう)、普段皆さんが買い物や金融決済などに使っているメールアドレスが何かしらで悪意ある相手に知れ渡ってしまったら・・・。
同じように、情報を釣ろうとするメールがやって来るとは思います。
しかし、まず身に覚えのないメールであれば冷静に「送信者」、「本文の内容(誤字脱字も含めて)」、「リンク先アドレス」などを確認してみてください。
決して、早まった操作はしないように・・
そういった利用者側の操作の積み重ねもインターネットの世界で起きる不正の対処方法にもなるのですから。
