先日、見覚えのない請求のメールが届きました。
びっくりしましたが、よく見るとなんかヘンな気もします。とりあえずクリックして確かめた方がいいでしょうか。先方に問い合わせた方がいいでしょうか。
最近、詐欺メールが増えているということで、心配です。
どうすればいいでしょう?
結論からいいましょう。何もしてはいけません。
デザインこそ本物を真似ていますが、よく読むとおかしなところがいっぱいあるはずです。
最近、メールを受け取った人やブラウザを見ている人を騙して個人情報を入力させたりお金を振り込ませようとする犯罪が増えており、それらは「フィッシング詐欺」と呼ばれています。
銀行や有名なショッピングサイトのフリをしてユーザーを騙し、そのサイトを偽装したWebページへ誘導して、そこで入金させてだましとったり、住所氏名や時にはクレジットカード番号やパスワードを入力させたりして個人情報を奪おうという魂胆です。
いくつかわたしの手元にきたフィッシング詐欺メールを紹介しましょう。
まずは「楽天カード」を装ったメールです。
実はこれ、楽天銀行カードを使ったときのメールと同じデザインです。おそらく、本物のメールをそのままコピーして中身を書き換えたものでしょう。
わたしは「楽天カード」はもっていないので一瞬で詐欺だとわかりましたが、もし「楽天カード」を持っている人なら「27万円も使った記憶が無い。確認しなきゃ」と思っても不思議ではありません。

こういう文面で来ると、「ご利用明細のご確認はこちら」をクリックしそうになりますよね。
するとどうなるか。
Webブラウザが開き、楽天カードの該当ページにジャンプする、かと思いきや、実はそれは巧妙な詐欺ページ。
わたしが気づいたときはすでにそのリンク先は削除されていた(おそらくは詐欺がばれて閉鎖した)のですが、こういったケースでは、クリックすると
・自動的にウイルスや個人情報を抜くためのマルウェアがダウンロードされる
・巧妙なニセモノの詐欺ページにリンクし、個人情報(IDやパスワード、カード番号など)を入力させようとする
などが考えられます。
そうならないよう、慌ててクリックする前に、それが本物なのか、フィッシング詐欺のメールかどうかチェックしましょう。
今回、何カ所かにポイントがあります。メールソフトによって表示に違いがありますから、ご自分のメールソフトの画面に置き換えてみてみてください。

①から⑤のチェックポイントをつけてみました。
①:メールの差出人です。「楽天カード」と表記されていても、これは単なる名前。メールソフトによって、この右にメールアドレスそのものが表示されていたり、右クリックなどの操作でメールアドレスを直接見ることができます。そこが本当にその会社ののメールアドレスかどうかチェックです。
②:メールの宛先欄です。ここに、モザイクをかけてあるのでわかりづらいですが、複数のメールアドレスが書かれていました。複数のアドレスがあるということは同じメールを複数の人に送っているということです。同じ請求金額をそうやって送ることは有り得ませんから、それだけでこれが詐欺メールだとわかります。ここに複数のアドレスを掲載してしまったのは、詐欺メール業者のミスでしょう。
③:本来表示されるべき画像が表示されない。これは本物の画像を本物のWebサイトからもってくるようにするつもりが、そこでミスがあったと考えられます。
④:単純なことですが、そのカードや口座を持っているか、ちゃんとチェックしましょう。相手は「あなたがどんなカードを使っていてどんな銀行に口座をもっているかは無関係」に送ってきています。たくさん送って、誰かこの条件に該当する人がひっかかってくれればラッキーくらいに考えているからです。
⑤:そして相手は最終的にここをクリックさせたいのです。ここをクリックすると、詐欺を企てる人が開かせたいWebサイトが開いてしまいます。これだけでは「実際に開くのがどのページか?」メールを受け取った人にはわからないですよね。そこで、このボタンの上で右クリックしてみましょう。メールソフトによって違いますが、そうすることで実際にジャンプするWebサイトのURLを見ることができたり、そのリンク先のアドレスをコピーできます。
今回は「http://py.******bytes.net/」というアドレスでした。
パソコンに詳しくない人でも「楽天とは関係なさそうな名前だな」ということがわかります。
これは楽天銀行が悪いわけでもなんでもありません。「楽天」はユーザーが非常に多いので、狙われやすいというだけです。
今、楽天銀行のトップページには「楽天銀行および楽天を装った不審なメールにご注意ください」と書かれています。

もうひとつ例を。
Apple(を騙ったアカウント)から、Appleのアカウントが現在中断されているので、再開手続きをして欲しい的なメールが届きました。

これもひっかかりやすい一例です。
今、フィッシング詐欺やアカウントの乗っ取りがニュースになることが多いので、普段使っているサービスでこんなこといわれると「いけない、自分ものっとられたかもしれない」とびっくりしてついクリックしちゃいがち。
「あなたのApple IDアカウントはセキュリティ上の理由により一時的にブロックされました」っていわれると誰しも、びっくりしますよね。
でも慌てて言われるとおりにしちゃうと、Apple IDのアカウントとパスワードを聞かれ、入力するとそれが相手の手に渡ってしまうという仕組み。
よく見るとこれもフィッシング詐欺。
差出人のメールアドレスをよく見ると「apple」とはどこにも書いてありません。
また日本語の公式なメールとしては文章が少々おかしいのも目につきます。英語かなにかの原文を日本語への自動翻訳にかけ、そのまま使ったのでしょう。文章がおかしいと感じたら、疑うのが一番です。
さらに本来こういうメールを送るときは「○○様」と顧客名や該当するアカウント名を書きますが、それがどこにもいってない。無差別に送りつけてる証拠ですね。
そう考えると明らかに詐欺メールだというのがわかります。
上記の例はたまたまうちにきて保存してあったものですが、実際には楽天、Yahoo、Amazon、Apple、大手銀行など、利用者が非常に多いサービスはたいてい偽装のターゲットにされています。
そのメールが自分のところにきたのはなぜか。
相手は非常に大量の相手に同じメールを送っています。何らかの手段で自分のメールアドレスが取得されていたのでしょう。
メールアドレスを記入する機会は無数にありますから。
でも、メールアドレスがあるというだけで、自分の個人情報が相手に漏れているわけではありません。
ですから、無視するのが一番です。
つい親切心で「メールをいただきましたが間違ってますよ」的な返信をしてしまうと、相手に「このメールアドレスは生きているんだ」ということを知られてしまいますから、さらなる詐欺メールがやってくることになるでしょう。
もちろん、メールの中のリンクをクリックしてはいけません。
でも、自分が該当するサービスを使っていると、「もしかして」と思うことはあるかもしれません。
そのときは、メールは無視して、Webブラウザを使って直接そのサイトへ行きましょう。
楽天カードの場合は楽天カードのサイトへブラウザからアクセスし、請求金額を確認しましょう。
アカウントが停止されているといわれたときは、そのサービスをWebブラウザから直接アクセスして、停止されてないことを確認しましょう。
それが一番です。
また、検索を使うのもお勧め。
大量にそういうメールがばらまかれたのなら、そういう情報はあっという間に公開されます。
Googleなどで検索をしてみてもよいですが、フィッシング詐欺対策協議会のサイトをチェックするのもお勧め。
「フィッシング詐欺対策協議会」のサイトには最新情報が掲載されていますから、受け取った詐欺メールについても警告が出ているかもしれません。こちらへのフィッシングの報告もできます。

もし間違って情報入力をしてしまったら、すぐに関係各所に連絡。
IDとパスワードを入れてしまったら、即座にそのサービスにWebブラウザからログインしてパスワードを変えましょう。2段階認証が使えるサービスなら絶対にオンにすること。
クレジットカード番号を入力してしまったら、クレジットカード会社に連絡しましょう。
警視庁の「フィッシング110番」も参考になります。

対策は? というと、あやしいメールは無視しましょう、とよくいわれますが、人間って常に完璧な判断を下せるわけではありません。
最近、「え、この人が?」というくらいIT系の知識をちゃんと持った人でもひっかかって、ついクリックしてしまうケースを見ました。
どんなに精通している人でも、すごく疲れているときや、猛暑すぎてぼーっとしているとき、ほかごとに気を取られているとき、普段ならしないミスをしちゃうことってあるではないですか。
最近は本物のメールやWebサイトを模倣しますから、騙された人を責めるのは酷というもの。
人間はミスをするものですから、あらかじめパソコン側で対策をしておくのがおすすめです。それがフィッシング詐欺など詐欺サイトに対応したセキュリティソフト。
たとえば、「インターネットサギウォール」という詐欺サイト対策専用のセキュリティソフトがあります。これは官公庁と連携し日本で開発されたソフトウェアで、日本全国で警察に届出のあった詐欺サイトの情報データベースを持っていて、そこにアクセスしようとするとブロックしてくれたり、新しい詐欺サイトでも詐欺サイトと思われるサイトにアクセスしようとしたらブロックしてくれます。
普通の人には判別がつきづらい、フィッシング詐欺や不当請求、偽販売サイトなどを判別してくれるので、間違ってアクセスしようとしても大丈夫です。
一般的な総合セキュリティソフトは海外で開発されたものが多く、日本人をターゲットにした詐欺サイトまで網羅してブロックすることが難しいため、こういった専門のセキュリティソフトと合わせて対策するのが良いでしょう。
“詐欺サイト対策”と“ウィルス対策”がセットになった!
インターネットセキュリティサービス「emlセキュリティパックvs」
詐欺サイト対策専用ソフト「インターネットサギウォール」と、総合セキュリティソフト「Norton360 Online」がセットになったサービスです。
1ライセンスでパソコン、スマートフォン、タブレットなど最大3台までご利用いただけます。
(※本記事の内容は2018年8月15日時点の情報です)
2018/08/15