先日、筆者のメールアドレスに1通のメールが。メール差出人は楽天カードを名乗り、件名には、「重要 : 定期的なID・パスワード変更のお願い / コンピュータウイルスにご注意を」と書いてありました。はて、筆者は楽天カードなんて持っていません。

実はこれ、フィッシングメール。

  • フィッシング

    「フィッシング詐欺がテーマとはいえ、魚の写真はないだろ……」(編集長)

フィッシングメールとは、実在する企業やサービス名をかたってユーザーにメールを送り、登録情報の確認や再登録といった名目でクレジットカード番号などの個人情報を盗み出す詐欺メールのこと。マイナビニュースでも、2018年1月は、三菱UFJカードやAppleをかたるフィッシングについて、注意を促す記事を掲載しました。そのうち、ある不安が芽生えてきました。

「ヤバイ、これはそのうちダマされてしまうのでは……」

  • フィッシング

    「ああ、かけ出しの安月給なのに、この上ダマされるなんてイヤだああああああああ」(瀬尾)

記事で「注意しましょう」と言っている筆者がダマされてしまっては恥ずかしい。そこで、フィッシングメール詐欺に引っかからないよう、注意すべき点を専門家に聞きました。解説してくれたのは、フィッシング対策協議会 事務局 証明書普及促進ワーキンググループ副主査の駒場一民(こまば はじめ)さん。

今回はAmazon、MUFGカード、Apple、LINE、そして楽天カードをかたるフィッシングメールを例に、駒場さんに聞きました。前編と後編の2回にわたって、フィッシング詐欺で注意すべきポイントや対策について語っていただきます。前編では、Amazon、MUFGカード、Appleを詐称するメール、後編ではLINEと楽天カードを詐称するメールを取り上げます。

  • フィッシング

    「フィッシングメールにダマされないコツ、お教えしましょう! 」(駒場さん)

瀬尾: 「駒場さん、今日はよろしくお願いします! 」


駒場さん: 「はい、よろしくお願いします。今回のフィッシングメール、実は大別すると3種類あります。なにかわかりますか? 」


瀬尾: 「3種類……。メールに書いてあるURLをクリックしても大丈夫なやつと、大丈夫じゃないやつ? って、これじゃ2種類か」


駒場さん: 「それはそうなんですが(笑)。クレジットカード情報の詐取を目的としたものと、マルウェアに感染させることを目的としたもの。もう1つはSNSのIDとパスワードを詐取する目的のものです」


瀬尾: 「ふむふむ。クレジットカード情報というのは、カード名義人、有効期限、カード番号、セキュリティコードの4つを入力させるってことですかね? 」


駒場さん: 「その通り。今回のケースだとAmazon、MUFGカード、Appleがそれにあたります。楽天カードはマルウェア感染、LINEはIDとパスワードの詐取を目的としています」


瀬尾: 「なるほど! それでは駒場さん、それぞれのケースについて解説お願いします」


Amazonをかたるフィッシング

駒場さん: 「まずはAmazonからいきましょうか。まず見るべきポイントは、送信者のメールアドレスやサイトのドメインです。たとえばAmazonは『amazon.co.jp』や『amazon.com』などを使っています。トップレベルドメインは、『.jp」や『.com」ですね」


瀬尾: 「ドメイン……?? 」


ドメインとは、ホームページやEメールのアドレスを作るときに必要な、インターネットの住所を示すようなもの。たとえばマイナビニュース・デジタルチャンネルトップのWebサイトを例にすると、「https://news.mynavi.jp/top/digital/」の、mynavi.jpがドメイン名にあたります。末尾は「.co.jp」「.ne.jp」「.com」「.net」などになっていることが多く、メールアドレスでは、「@」以下の「~.jp」や、「~.com」がドメイン名。さらに、ドットで区切られたドメイン名の末尾をトップレベルドメインと言い、「co.jp」では「.jp」、「~.com」は「.com」がトップレベルドメインです。

駒場さん: 「メールアドレスやメールに書いてあるサイトのドメインや、トップレベルドメインがいつも使っているサイトのドメインとは違うものが使われていたら、フィッシングの可能性を疑いましょう」


瀬尾: 「それでフィッシングメールかどうかの判別かつくんですか? 」


駒場さん: 「フィッシング対策協議会に寄せられる報告を見ても、送信元メールアドレスに正規のドメイン名ではないものが使われているものは数多く、メールアドレスやメールに記載されているドメインを確認することは、フィッシング対策の一つであるといえます。たとえばほら、メール記載のURLを見てください」


  • フィッシング

    ドメインは「amazon-●●●●.systems」が使われています

瀬尾: 「あっ! 『amazon-●●●●.systems』ってなってる! 」


駒場さん: 「『.systems』というトップレベルドメイン、Amazonは使っていませんよ。一般的に、co.jpドメインは企業用のドメインで、付与の審査も厳しいと言われています。co.jpドメインを使っているかどうかは一つの指標となりますね。100%とは言い切れませんが、co.jpドメインを使っていれば、安全性は高そうだと判断してよいでしょう」


瀬尾: 「なるほど! これでダマされることもなさそうです! 」(編集長 : 甘い!!)


駒場さん: 「このほか、『Anazon.com』『Amazom.jp』という風に、メールを読んだ人の誤読を誘うようなドメインを使っている場合もあるので、注意が必要です」


瀬尾: 「ひええ、これはダマされる! 」


駒場さん: (忙しい人だな……)「AmazonはWebサイト
に、使用しているドメインを公開しているので、怪しいメールはドメインを照合してみるといいでしょう」


瀬尾: 「企業のwebサイトで使っているドメインを公開している場合もあるんですね。これは要チェックです」