メールやSMSなどを介し、実在する企業のWebサイトに似せたニセのWebサイトに誘導し、個人情報や金銭を盗み取る「フィッシング詐欺」が横行している。年を追うごとに内容が巧妙化しており、あのディズニーリゾートを装ったフィッシング詐欺サイトもお目見えした。新生活で初めてのスマホを手にする学生も多いこの時期、フィッシング詐欺の実例をチェックし、だまされないように心がけたい。

2022年までの典型的なフィッシングメールとは

多くの人はご存じだと思うが、フィッシング詐欺とは送信者を詐称した電子メールやSMSを送りつけ、偽のホームページに接続させることで、クレジットカード番号やアカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことをいう。魚釣り(fishing)と洗練(sophisticated)から作られた造語であり、英語では「phishing」と綴る。

電子メールで送られてくるのがフィッシング、SMSで送られてくるのがスミッシングという呼び分けもあるのだが、ここではひとまとめに「フィッシング詐欺」と表記する。

携帯電話に送られてくる典型的なフィッシング詐欺のSMSは、こんなパターンだ。見覚えのある人もいるだろう。

  • SMSで届くフィッシング詐欺のメッセージ。宅配業者を装ったものが多い

  • 携帯電話料金の未払いを装ったメッセージもよく見られる

SMSに記載されているURLにアクセスすると、なぜか「App Storeアカウントは安全異常があるので、再度ログインしてください」と表示される。宅配業者から届いたSMSなのに……。

OKをタップして進むと、偽のApple IDアカウントのログイン画面に進む。本物のログイン画面によく似せて作られているが、もちろん本物ではない。ここでIDとパスワードを入力してしまうと、フィッシングメールを送った犯人にそれらのログイン情報一式が筒抜けになる。フィッシングだと気づかなければ、こんなにもたやすく大事な情報が盗み取られてしまうわけだ。

  • メッセージのリンクをタップすると、ログインを求める表示が。いきなりこれが表示されたら驚く人もいるかもしれない

  • OKをタップすると表示される偽のApple IDサイト。見た目は本物に似せて作られている。もちろん、IDやパスワードを盗み取るために用意されたものだ

スマートフォンやPCを対象としたこのフィッシング詐欺が名乗っているのは、NTTドコモ、KDDI(au)、ソフトバンクなどの通信キャリアや、AppleやGoogle、ヤマト運輸や佐川急便といった宅配業者、さまざまな銀行を名乗っていることが多い。これは、PCやスマートフォンを使う人ならば、こういったキャリアや宅配便会社、銀行をよく利用すると思われていたと考えられる。

珍しいところでは、なぜか「国税局」を名乗るフィッシングメールが流行ったことがある。詐欺グループが、税金に関しては誰しも後ろめたいところがあるに違いない、と思ったのだろうか? もっとも、日本では多くの人が輸入品を直接外国から買うことはないし、消費税は買い物の際に払っていることから、国税局から「4万円支払え」というメールが来てもピンとくる人はほとんどいなかったと思われる。

  • これはフィッシングSMSをタップして表示されたニセの警告画面。KDDI(au)を騙っている

  • こちらは国税局を装ったフィッシングSMS。こんな画面が表示されたらビックリしそうだ

2023年、ターゲットを変えてきたフィッシングメール

そして2023年、フィッシング詐欺犯は新たなターゲットを狙うべく、戦略を大きく変えてきた。これまでの通信キャリアや宅配業者といった社会基盤企業ではなく、世界的なエンターテインメント企業として老若男女に親しまれているディズニーを名乗ったフィッシングメールを出してきたのだ。

筆者のもとに届いたフィッシングメールは「ジャパンディズニー」を名乗っていたのだが、 「東京ディズニーリゾート」や「Disneyカスタマーサポート」を名乗っているケースもあるようだ。

メールに記載されているURLのリンクをタップすると、ディズニーアカウントID/パスワードだけでなく、ディズニーアカウントの有無にかかわらず氏名・住所・生年月日・電話番号・クレジットカード番号・有効期限・セキュリティコードといった個人情報を登録させて詐取する。このあたりの手口は、これまでのフィッシングメールと同じだ。

  • スマホに届いた「ジャパンディズニー」を名乗るフィッシングメール。本文の途中におかしな表記がある

  • 個人情報を根こそぎ聞き出すのは、いつものフィッシング詐欺と同じだ。上部にロゴが入った画面デザインなど、かなり精巧にできている

今回のディズニーのフィッシング詐欺サイトが巧妙だったのは、HTMLメールの先頭に「TOKYO Disney RESORT」というヘッダ画像が付いており、一見すると本物っぽかったこと。本物のメールのデータをコピーし、精巧に作成したのだろう。

だが、メールをよく読むと「新しいアトラクション『アトラクション名』もオープンします」と妙な表記があったり、遷移したサイトのURLアドレスが「https://www.tokyodisneyresort.jp/」ではなかった。これらの不審な部分に気づけば偽物のメールだと判断できるが、フィッシング詐欺の知識がなければだまされてもおかしくない。

東京ディズニーリゾートは、3月1日付けで「東京ディズニーリゾートを装った不審なメール(フィッシング詐欺)にご注意ください」という一文をホームページに掲載した。それ以上の注意・勧告は出ていないが、気をつけた方がいいだろう。

フィッシング防止機能を持つブラウザーやセキュリティソフトを導入しよう

若年層にファンの多いディズニーを名乗るフィッシング詐欺メールが登場したことを考えると、犯人グループはこれからもさまざまな相手に化け、あらゆる層を狙ってくるのは間違いない。AIを用いた日本語翻訳の進化もあり、偽のメールや偽のWebサイトの内容もより自然な日本語で本物そっくりに仕上げてきて、おかしな日本語の有無で判断するのは難しくなるかもしれない。

フィッシングサイトに誘導されないようにするには、フィッシング詐欺サイトへのアクセスを警告・遮断する機能を持つ市販のセキュリティソフトやGoogle Chromeなどのブラウザーを利用することだ。すでにフィッシングなどで利用されたことが報告されているWebサイトにアクセスしようとすると、「危険だから行くな」と警告の表示が出てアクセスを防いでくれる。

  • スマホ版のChromeが表示した警告画面。うっかりリンクをタップしても、フィッシングサイトを訪れずに済む

他の防御策としては、それらしいフィッシングメールがきたら、メールからリンクをたどるのではなく、ブラウザーを立ち上げて正規のWebサイトを検索してアクセスし、自分でログインするようにしたい。また、それらしいメールやSMSが来て、怪しいかどうか判断できないと感じたら、発信元に一度電話やメールで問い合わせて見るのも手だ。うちでは出していない、という回答ならば、届いたのは偽メールの可能性が高い。

フィッシング詐欺をなくすべく活動する「フィッシング対策協議会」という団体があり、フィッシングの報告を受け付けている。もし、フィッシングと覚しきメールやSMSを受け取ったら、こちらに報告するとよい。警察や関係機関が動いてくれることもある。

フィッシング詐欺は日々巧妙化しており、もし被害に遭うと金銭や対応する手間、心に大きな被害を受けてしまう。自己防衛のためには、正確で新しい情報や知識を得ることが重要で、あらかじめ予防策を講じておくのが肝心だ。さらに、現役世代と比べて知識が薄い親世代や子どもにも、知識を共有するようにしたい。