フィッシングメールとは？

フィッシングメールとは、信頼できる送信元（知り合いの会社など）からのメールを装って、実際には悪質な業者が送信した偽のメールです。これらのメッセージの目的は、個人情報を盗むことであり、その情報は、なりすまし犯罪や、盗んだクレジットカード情報を使ったカードスキミングなどの詐欺に使われます。 この種の詐欺の背後にいる詐欺師は、後で他の詐欺を行うために、あなたの個人情報を入手する方法を常に探しているのです。
 

人々がオンラインで過ごす時間が増え、物理的な郵便物を読む時間が減っていることから、電子メールによるフィッシングはますます一般的になっています。このため、詐欺師たちは電子メールで被害者に接触しやすくなっています。

フィッシング詐欺の兆候とは？

それでは、フィッシング詐欺の最も一般的な兆候について説明しましょう。

1. 文法とスペルの誤り

フィッシングの兆候としてよく見られるのは、メールの内容に文法やスペルミスがあることです。その理由は、信頼できない送信元から発信されるメールのほとんどは、専門家によって書かれたものではないからです。つまり、彼らのサーバにはスペルチェック機能がなく、適切な校正や編集プロセスもありません。
 

これとは対照的に、プロフェッショナルなビジネスでは、社外へのEメール・コミュニケーションにおいて、スペルには細心の注意を払っています。さらに、プロのコピーライターを雇い、Eメールマーケティングメッセージを作成しています。
 

フィッシングメールによくある文法やスペルの間違いは以下の通りです。
 

➜ 引用符(')、ピリオド(.)、カンマ(,)、コロン(:)の入力漏れ
 

➜ 単語やフレーズの大文字小文字の間違い（例："i am Bob"）
 

➜ "you"の代わりに "u"を使うようなインフォーマルな短縮形

2. 馴染みのない口調
 

見慣れない口調のメールは、フィッシングの兆候のひとつです。 これを見抜くにはいくつかの方法があるので、見慣れない口調の種類に注意することが重要です。
 

馴染みのない口調を見分ける一つの方法は、そのメールがあなたのことをよく知らない人が作成したように感じられることに気づく、ということです。例えば、そのメールの口調が、通常自社や他の連絡先から受け取るメールとは異なっていると感じるかもしれません。
 

別の方法は、そのメールが自分の生活と関連していないように感じられることに気づくことです。 例えば、請求書が届くとは思っていなかったのに、突然銀行からであるかのようなメールが届いたら赤信号です。

3. いつもと違う時間にメールを受け取る

いつもと違う時間帯に送信者からメールが届いたら、それも一つの目安になります。
 

例えば……
 

通常の営業時間内に仕事関連のメールを受信するのが普通なのに、午後11時過ぎに突然上司からメールが届くようなら、あなたの受信トレイがフィッシングの被害に遭っているサインかもしれません。あるいは、土日の真夜中に誰かがメールを送ってきたとしても、それはおそらく正常ではないでしょう。

4. 切迫感
 

悪意のあるメールであることを示すもう一つのサインは、あなたを脅したり、すぐに行動しなければならないと感じさせたりする場合です。
 

例えば、アカウントが一時停止されるという警告であったり、24時間以内に対応しないとセキュリティが損なわれるという重圧であったりします。早く反応しないと何か悪いことが起こるように感じさせるメッセージなら、フィッシングの可能性があります。例えば、詳細を確認しないとアカウントが停止されるというメッセージは、悪意のあるサインかもしれません。

5. 不審な添付ファイル
 

フィッシングの一般的な兆候は、不審な添付ファイルです。悪意のある者たちは、フィッシングメールを使ってこのような添付ファイルを送りつけてくることが多いのですが、それは、多くの人が好奇心旺盛で、その添付ファイルを開いて、リンクやボタンをクリックしてしまうことがわかっているからです。
 

これらの添付ファイルは、たとえばWord文書やzipファイルです。しかし、もし添付ファイルを開いてしまい、それが悪意のあるものだった場合、あなたのコンピュータをマルウェアに感染させ、ログイン認証情報を盗み出す可能性があります。不審な添付ファイル付きのメールを受け取ったら、クリックしないことです！
 

添付ファイルを開く前にウイルススキャンをするのがベストですが、GmailやYahooなど、一部のメールプロバイダは高度なチェックフィルタを導入しており、疑わしいと判断された場合、問題の添付ファイルは自動的に「ブロックされた添付ファイル」として表示されます。

6. 受信者がやりとりを始めなかった

フィッシング詐欺は、詐欺師やハッカーが無作為にメールを送りつけ、そのメールに引っかかる人がいることを狙って行われることが多いです。もし、あなたがやりとりを開始していないのにメールが届いた場合、それはフィッシング詐欺かもしれません。
 

受信者を誘惑するために、多くのコールドメール（事前にコンタクトなく送られてくるメール）では、懸賞に当選した、すぐに返信すれば懸賞に応募できる、返信がなければ応募資格がない等と書いてあります。したがって、受信者が現在の顧客や元の顧客ではない場合、そのメールがスパムである可能性が高くなります。

7. メールアドレス、ハイパーリンク、ドメイン名の異常
 

フィッシングメールは、なりすまされている組織のドメイン名やWebサイトとは一致しないアドレスから送信されることがよくあります。例えば、マイクロソフトからのメッセージと偽って、@gmail.comや@yahoo.comで終わる電子メールアドレスから送信されたメッセージを受け取った場合、これは赤信号です。
 

また、送信元のEメールアドレスが以前のメールのやりとりと一致していることを確認するのも良い方法です。メールにハイパーリンクがある場合は、それぞれのリンクにカーソルを合わせて、どのURLに飛ぶか確認してください。AmazonからのEメールと思われるが、ハイパーリンクからまったく別のウェブサイト（freeamazongifts.caなど）に誘導されている場合は、おそらく詐欺の証拠です。

8. 全体がハイパーリンクとしてコーディングされたメール
 

メールのコーディングは、詐欺師やスキャマーの新しい手法です。彼らは人々が賢くなり、メールに記載されたリンクをクリックしないことを知っています。そのため、これらの詐欺師はメール全体を<HTML>形式でハイパーリンクとしてコーディングします。メールが完全にハイパーリンクとしてコーディングされると、メール全体がクリック可能になります。つまり、ユーザがメールメッセージ内のどこをクリックしても、詐欺者のページに誘導されてしまうということです。

9. 非現実的な要求
 

フィッシング詐欺は通常、行動を起こすよう求めるメールや他のコミュニケーションから始まります。その要求は合理的なものかもしれません。例えば、個人情報の確認や更新を求めるものです。しかし、一部のフィッシング詐欺は、非現実的な行動を取らせるように設計されていることがあります。例えば、新しい支払い方法で請求書を支払ったり、ログイン情報を第三者に提供して検証させたりするようなものです。

10. 簡単な説明付きメール
 

すべてのフィッシング・メールが長くて詳細なものであるとは限りませんが、中には短いもので、本物であるかのように思わせてしまうものもあります。この種の短いメールは通常簡潔で要点を押さえており、しばしば「リクエストされた情報をお送りします」というような内容で始まり、直ちにマルウェアファイルを添付します。例えば、詐欺師は信頼できるベンダーやサプライヤーを装った「XYZ社のPeter」からといったスプーフィング（偽装）されたメールを作成します。これらのメッセージは「追加情報」という題名の添付ファイルとともに曖昧な情報を求めるもので、被害者を誘惑し、ファイルをクリックさせてコンピュータのセキュリティを危険にさらそうとします。

一般的なフィッシング用語

メールによるフィッシングとは別に、一般的なフィッシング攻撃をいくつか紹介します。

 
1. スピアフィッシング 
 

スピアフィッシングは、特定の個人情報を利用して受信者に特定の行動を取らせる標的型フィッシングの一種です。スピアフィッシング攻撃の目的は、ユーザー名、パスワード、クレジットカード番号、社会保障番号（米国におけるマイナンバーのようなもの）などの機密情報や重要情報にアクセスすることです。 
 

スピアフィッシング攻撃は通常、銀行やその他の金融機関、給与計算部門、オンライン小売業者など、合法的な送信元から来たように見えるメールメッセージを使用します。

2. クローンフィッシング
 

クローンフィッシングは、信頼できる企業からの警告メールを模倣し、消費者を騙してユーザー名やパスワードなどの個人情報を開示させます。

3. ウェーリングとCEO詐欺
 

ウェーリング攻撃はCEO詐欺と同義であり、サイバー犯罪者が企業を詐取するために使用する一般的な手口です。 ウェーリング攻撃では、攻撃者は組織内で権威主義的または意思決定的な立場にある個人を標的にします。 これは標的型フィッシング攻撃の強力な形態であり、情報や認証情報を盗んだり、電子送金を実行したりすることを目的としています。

4. ビジネスメール詐欺（BEC） 
 

ビジネスメール詐欺（BEC）は、企業にとって甚大な被害をもたらすサイバー犯罪の一形態です。この種のサイバー攻撃は、メール詐欺を利用して組織のドメインに影響を与え、機密データの漏洩や盗難を引き起こす詐欺行為に加担させるものです。

5. アングラー・フィッシング
 

アングラーフィッシングとは、ソーシャルメディアを通じて不満を持つ顧客に接触し、企業の一員であるかのように装う行為です。アングラーフィッシング詐欺は、ソーシャルメディア上の気軽なユーザを騙して、企業が彼らの問題を改善しようとしていると思わせるために使われる単純な策略です。

6. フィッシング・アズ・ア・サービス (PhaaS) 
 

フィッシング・アズ・ア・サービス（PhaaS）とは、ウェブ上の犯罪者が金銭と引き換えにフィッシング・サービスを提供する組織的なサイバー犯罪の一種です。PhaaSのプロバイダは、しばしば本物に見える偽のウェブサイトやランディングページを作成し、人々が詐欺を見破るのをさらに難しくしています。

フィッシング攻撃を防ぐには?

1. ウイルス対策ソフトを常に最新の状態に保つ

ウイルス対策ソフトを常に最新の状態に保ち、新たな脅威の出現を検知することが重要です。市販の製品を使用している場合は、定期的に更新され、最新のブラウザバージョンに対応していることを確認してください。オープンソースのソリューションを使用している場合は、最近更新されたことを確認してください。また、ツールが正しく動作し、マルウェアやその他の問題によって侵害されていないことを確認するために、定期的にスキャンを実行する必要があります。

2. 二要素認証
 

二要素認証は、フィッシングの試みからユーザを守るために、ログインアクセスにパスワードや暗証番号とは異なるものを使用します。二要素認証は通常、従来のパスワードに頼るのではなく、パスワードやPINを入力した後に入力しなければならないワンタイムコードを含み、ハッカーがアカウントにアクセスするのを難しくします。

3. 自分自身と従業員を教育するs
 

もしあなたが企業の経営者であれば、フィッシング・アウェアネス・プログラムを通じて従業員にフィッシング・メールについて教育する必要があります。正規のメールとそうでないものの違いを教育することで、フィッシングメールに引っかからないようにすることができます。また、オンラインで機密情報を入力する前に、お客様のアカウントを当社で確認するよう従業員に義務付けることもできます。

4. メール認証プロトコルを使用する 
 

DMARC、SPF、DKIMは、フィッシング攻撃からメールを保護するために導入できるメール認証プロトコルです。DMARC、SPF、DKIMは、特定のドメインからのメールと思われるものが、そのドメインに代わってメール送信を許可されたメールサーバーから送信されたものであるかどうかを、受信者が確認できるようにするものです。
 

これらの詳細については、次のモジュールで説明します。