サービス一覧 »  セキュリティ通信

セキュリティ通信

インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。

開くと危ない「怪しいメール」の見分け方――フィッシング詐欺や不正送金被害にあわないために

実在の企業をかたる詐欺メールが大量に出回っています。メールや添付ファイルを開いてしまうと、フィッシングサイトに誘導されたり、不正送金を引き起こすマルウェア(ウイルス)に感染したりしてしまうおそれがあります。セキュリティ上の注意や小包配達の連絡など、もっともらしい理由で送りつけられるため、うっかり開いてしまう人が後を絶ちません。これら詐欺メールに騙されないために、「見分け方」のチェックポイントを知っておきましょう。

重要だが難しい?「怪しいメールは開くな」という注意

インターネットを安全に利用するうえでの重要な心構えのひとつとして、「怪しいメールは開くな」という注意がある。怪しいメールを開き、本文に記載されているURLをクリックしたり、添付ファイルを開いたりすると、マルウェア(ウイルス)感染やフィッシング詐欺被害につながるおそれがあるため、「怪しいメールは開くな」は、基本的かつ重要なポイントであることは間違いない。しかし、これは「詐欺に騙されるな」という忠告にも等しく、実際にどうすればいいか、具体的な参考にはならない。

受け取ったメールが「怪しいメール」かどうかの判断は、それがどんな特徴をもっているのかという知識や、ネット上の常識やリテラシーによってはじめて可能となる。その見分け方は、詐欺メールやフィッシングメールの被害にあわないための基本的なスキルでもある。では、どんなメールや状況が「怪しい」のか? いくつかの事例を参考に、「怪しい」を判断するための特徴、チェックポイントをみていこう。

事例1 アップルをかたり「IDをロックする」という詐欺メール

最初の事例は、昨年あたりから国内で確認され、被害なども報告されたフィッシングメールだ。アップルからのメールを装い、リンクをクリックさせ、アカウント情報を盗もうとしている(図1)。

図1 アップルをかたったフィッシングメール(注1)

見ての通り、これは日本語が変なので比較的わかりやすい事例だ。冒頭の「こんにちは クライアント」という奇妙な呼びかけ、本文の主語と述語の係り受けのちぐはぐさ。いくら外資系のアップルとはいえ、こんな文書を正式には送ってこないことは容易に想像がつく。この手のメールで注意すべきポイントは以下のとおりだ。

  • ・日本語に違和感がある
  • ・外部サイトへのリンクがある

他にも細かいチェックポイントはあるが(下に挙げた「表1」参照)、まずは見逃してはならないポイントと思ってほしい。ただ、近年、グローバル展開をするベンチャー企業やスタートアップ企業など、日本語に違和感のある正規サービスのメールというのも見かける。また、正規のサポートメールやメルマガなどでも外部リンクを含むメールは珍しいものではない。絶対的な指標ではないが、まず外部リンクは疑ってかかること。そしてリンク先のURLが正しいものかどうかを確認する癖をつけてほしい。

事例2 日本郵政をかたり「小包の配達」を伝える詐欺メール

宅配便の荷物の確認を装った詐欺メールが、たびたび確認されている。昨年12月には、日本郵政やUPS、DHLなどの名前で不在配達通知を装った攻撃メールが確認された(図2:日本郵政の例)。今年に入ってからも、2月には楽天や郵便局などを装った同様のメールが確認された。6月には、日本郵便を装う「集荷申し込み完了のお知らせ」や、ヤマト運輸を装う「宅急便お届けのお知らせ」などが確認されているほか、「年休申請」「請負契約書」「年次運用報告書」「算定届出書」「状況一覧表」「作業日報」「契約書」「請求文書」「修繕依頼」「保安検査」と、さまざまな件名で添付ファイル付きのメールが送られている。いずれも、不特定多数に送られており、メールを開封してしまった、誤って添付ファイルを開いてしまった、という声が後を絶たない。

図2 日本郵政をかたった攻撃メール(注2)

この事例での注意ポイントは以下である。

  • ・荷物に心当たりがあるか
  • ・不在連絡としての不備、エラー
  • ・添付ファイルの存在

他の不審メールでもそうだが、まず、送り主やメールそのものに心当たりや必然があるかどうかを確認したい。宅配や郵便物は誰もが受け取る可能性はあるが、注文もしていない、定期的なものでもない、など「なんの荷物だろう?」と思ったら要注意だ。それに、このメールには注文番号の記載はあるが、番号でトラッキングするサイトの情報もない。送り主の情報や最寄りの郵便局など受け取った側が確認できる情報が存在しない。こういった不備に気が付くリテラシーを身につけたい。なお、トラッキングするサイトのURLがフィッシングサイトや攻撃サイトでないことの注意も忘れないでいただきたい。

さらに添付ファイルの存在は、最も注意すべきポイントだ。この攻撃は、添付ファイルを開かせることによってマルウェアに感染させ、銀行や信用金庫に関するアカウント情報を奪うことを狙ったものだ。添付ファイルをクリックした時点で、攻撃者の目的の半分以上が達成された状態になる。感染したマルウェアは、ユーザーがこの後、狙った金融機関のURLにアクセスしたときに、偽画面を表示させるなどして、アカウント情報を盗むように仕組まれている。

もし、不正な添付ファイルをクリックしてしまっても、OSやアプリケーションが最新のものであれば、ここで被害を止めることもできる。セキュリティの基本中の基本として、「OSやアプリケーションを最新状態に保つ(アップデートする)」ことの重要さを、改めて強調しておきたい。OSとアプリケーションのアップデート方法については、文末に挙げた【「関連記事:セキュリティトピックス】を参照されたい。

事例3 「ブラウザの警告メッセージ」を利用した攻撃

普段はLINEやSNSを使っているので、詐欺メールの心配はないと考える人もいるかもしれない。しかし、サイバー攻撃の脅威はメールだけではない。ブラウザを利用した攻撃にも注意が必要だ。正規サイトが改ざんされ、攻撃サイトに誘導されたりマルウェアをダウンロードしてしまったりすることもある。

IPAは、今年に入ってから増えているという、ブラウザの警告メッセージを利用した攻撃の注意喚起を行っている。サイトを閲覧していると、突然「あなたのPCはウイルスに感染しています」という音声メッセージや、ポップアップ画面などが現れ、指定した番号に電話をかけさせたり、駆除ソフトのインストールをさせたりするというものだ。

一般的に、ブラウザにこのような機能(とくに音声での警告)はなく、電話をかけさせようとしたり、対策のためのソフトのインストールを促したりする時点で、警告は偽物と判断してよい。不安に駆られて電話をすると、駆除すると偽って遠隔操作ソフトをインストールさせようとする。

サイト閲覧中にこのような警告が現れたら、あわてずにブラウザを終了させればよい。ポップアップが繰り返し表示されて終了できない場合は、タスクマネージャを利用して強制終了させるか、ポップアップ画面に表示されている「これ以上ダイアログを生成しない(これ以上メッセージを表示させない)」といったチェックボックスをチェックして終了させる。その手順については、IPAが図入りで詳しく解説している(注3)ので、当該ページを参照していただきたい。

詐欺被害にあわないための重要ポイント

表1は、IPAが公開している資料(注4)をベースに作成した「怪しいメール/サイトを見分けるポイント」である。典型的かつ主だったものを整理したので、どんなメールが「怪しい」のかを見極める参考になるだろう。

表1 怪しいメール/サイトを見分けるポイント

内容 見分けるポイント
文字・文章表現 日本以外の漢字・記号、違和感のある文章、仮名遣い。
差出人・送付元 知っている人・企業でも送付される心当たりがあるか。知らない人・企業の場合は、まず詐欺メールを疑う。
メールアドレス フリーメールのアカウント、見慣れない・正しくないドメイン名(役所からなのに、co.jp、.comなど)
Subject、本文 請求書、注文確認、予約確認、不在配達通知、アンケート、当選通知、ゴシップネタ、ウイルス感染やPC等の故障通知、寄付。
添付ファイル 添付ファイル付きのメールは疑う。
本文中のURL、リンク 本文中のリンクは疑う(アカウント登録、購読メルマガなど自分で把握しているもの以外)
URL URLのスペルミス、ドットやハイフンの入り方、ドメイン名と企業名の整合、鍵マーク(HTTPS)の表示、アドレスバーの緑色表示(EV SSL)などをチェック。

表1で示したポイントは実際の場面でも有効であり、最低限押さえておいてほしいポイントだが、本当に重要な点は、これらのポイントを知識として知っているだけ、覚えているだけでは不十分であることだ。

怪しいメールのパターンや基本的な特徴を把握しておくことは必須だが、これらの特徴は時とともに変わってくる可能性がある。ただ覚えているだけで安心していると、新しい攻撃パターン、詐欺パターンへの対応ができない可能性がある。そもそも、怪しいメールに騙されて被害にあうのは、結局その時点で「怪しい」とは思わなかったからである。

怪しいかどうかの判断は、メールのやりとりの文脈にもよるし、メール単体での判別が難しいこともある。また、なまじパターンを暗記しているだけだと、そのパターンの攻撃には反応できても、ちょっと条件が変わると気が付かないこともある。これは、経験や知識があっても起こりうるミスであり、「自分は騙されるかも」という認識を持てるかどうかのほうが被害を防ぐ意味では効果が期待できる。

リテラシーの高さは単に知識や情報量の多さでは決まらない。自分は経験も知識もあるから大丈夫だなどと思わず、日々進化する攻撃に備えてほしい。

(執筆:現代フォーラム/中尾)

【関連記事:セキュリティ通信】

【関連記事:セキュリティトピックス】



お知らせ