フィッシングメールの見分け方 詐欺メール・なりすましメールを見分ける方法・対処法・防止策
フィッシングメールとは、受信者を騙してパスワードやクレジットカード番号などの個人情報、またはその他の機密データを開示させようとする詐欺的な電子メールメッセージのことです。
これらのメールは、銀行やオンラインサービス、有名企業など、一見正当な送信元から送られているように見えますが、実際にはサイバー犯罪者によって送信されていることがよくあります。
この記事では、フィッシングメールの見分け方、被害に遭わないための実践的なコツ、フィッシングメール・詐欺メール・なりすましメールの疑いがある場合の対処法についてご紹介します。
フィッシングメールの主な特徴
-
怪しい送信者アドレス: 差出人のメールアドレスは正規のものと似ているかもしれないが、スペルミス、一文字多い、変わったドメイン名になっていることが多いので、まずはメールアドレスをよく確認するようにしてください。
-
一般的な挨拶や言葉遣い: フィッシング・メールはしばしば、受信者の名前を名乗る代わりに「お客様各位」などの一般的な挨拶を使用し、言葉遣いは曖昧であったり、過度にフォーマルであったりする。
-
至急・緊急または脅迫的な言葉で促している: フィッシングメールは、しばしば緊急または恐怖の感覚を作成し、アカウントの停止や不正アクセスなどの悪影響を避けるために直ちに行動する必要があると主張する。
フィッシングメール・詐欺メールは、どんな人にもある安全性の心配を利用して、「アカウントに不正アクセスがありました。直ちに操作が必要です」「あなたのパソコンはウイルスに感染にしています」「お支払いに問題があります」などというメッセージで、個人情報を提供すること、リンクを開くこと、ソフトウェアをダウンロードすることを促すことがよくあります。
または、宅配業社を偽ったり、「無理なく稼げる」高額報酬の仕事に関する内容のものもあります。
-
不審な添付ファイルやリンク: フィッシングメールは、マルウェアを含む添付ファイルや、個人情報を盗むために設計された偽のウェブサイトへ受信者を誘導するリンクを含んでいる可能性があります。
-
不自然な日本語、文法やスペルの間違い: 多くのフィッシングメールは、文法やスペルの間違いが目立ち、正当な送信元からのメールではないことを示す赤信号となります。
-
不規則なブランディング: フィッシングメールのロゴ、色、その他のブランディング要素は、彼らがなりすまそうとしている合法的な会社のものと一致しない場合があります。
-
余分な個人情報共有要求: 公式な企業は、パスワードやクレジットカード番号のような機密情報をメールで要求することはめったにありません。
フィッシングメールの見分け方: 9つの方法
-
メールがパブリックドメインやフリードメインから届いている
フィッシング・メールの大部分は無料メール・サービスから送信されている。原則として、合法的な企業の従業員は、公式なコミュニケーションにフリーメールサービスを使用することはありません。銀行やテクノロジー企業などからの本物のメールは、その組織の公式ドメインから送られてきます。差出人のメールアドレスが完全に表示されていない場合は、「差出人」の名前をクリックすると、メールアドレスの全文が表示され、それが正規のものなのか、それとも不審な差出人からのものなのかを確認することができます。例えば、"amazon@"しか表示されない場合は、"amazon@gmail.com "のようなフリーメールのドメインではないことを確認するために、完全なメールアドレスをチェックしてください。 -
"差出人"名とメールドメインが一致しない
メールプロバイダーは、ユーザーがメールの "差出人 "フィールドに表示される名前をカスタマイズできるようにしています。ほとんどの正当なユーザーは本名を入力しますが、詐欺師はこの機能を利用して個人や組織になりすまします。差出人の名前とメールアドレスの不一致は、フィッシングの強力な指標となるので注意が必要です。名前をクリックすると実際の送信者の詳細が表示されるので、詐欺の可能性を特定するのに役立ちます。例えば、同僚の「John Smith」から不審なメールを受け取ったので、「差出人」セクションを確認しようとしたところ、そのメールの差出人は「jack-leo@gmail.com」であることがわかったとします。同僚のメールアドレスが違う名前である可能性は低いでしょう。 -
公式企業に似たようなドメイン名になっている
「なりすまし」は、詐欺師がメッセージを本物らしく見せかけるために、信頼できる企業のドメイン名やドメインに似せた偽のバージョンを作成するときに起こります。機密性の高いメールのドメイン名を確認し、セキュリティ警告やアカウント・パスワードのリセットを要求された場合は注意が必要です。 -
「アカウントに問題があります」または「疑わしいアクティビティが検出されました」などのような通知(メールプロバイダーによって異なります)
詐欺師は、電子メール、テキストメッセージ、電話、ソーシャルメディアのダイレクトメッセージ(DM)などで、一般的なソーシャルエンジニアリングの手口として、テクニカルサポートや電子メールセキュリティ詐欺をよく使います。詐欺師は、電子メールやテキストメッセージ、電話、ソーシャル・メディアのダイレクト・メッセージ(DM)などで、一般的なソーシャル・エンジニアリングの手口として、テクニカル・サポートや電子メール・セキュリティ詐欺をよく使います。アカウントが侵害された疑いがある場合は、企業の公式ウェブサイトやモバイルアプリに直接ログインし、警告の信憑性を確認するのが最善です。 -
メールに怪しいリンクや添付ファイルが含まれている
ほとんどのフィッシング・メールには、詐欺的なウェブサイトへのリンクか、電話番号が記載されています。フィッシング・リンクをクリックすると、偽のログイン・ページに誘導され、ユーザー名とパスワードを盗まれたり、偽の支払い画面に誘導され、金銭情報を取得されたり、ランサムウェア、スパイウェア、その他の悪意のあるソフトウェアなどのマルウェアにデバイスを感染させられたりする可能性があります。リンクをクリックする前に、ボタンやテキストにカーソルを合わせて(モバイル端末の場合は長押しして)URL先を確認してください。リンク先が期待したウェブサイトでない場合は、フィッシングメールである可能性があります。 -
心当たりのない請求書・支払いの要求
身に覚えのない請求書が届いた場合は、リンクをクリックしたり、記載されているカスタマーサービス番号に電話したりしないでください。モバイル・バンキング・アプリや銀行の公式ウェブサイトから銀行の明細を直接確認し、その請求が正当なものであることを確認してください。そのような請求がない場合、その請求が本当に詐欺であることが確認できます。 -
脅迫
詐欺師は、危険なビデオや不正行為の証拠を持っていると主張し、金銭を送らない限りそれを公開すると脅して、あなたを脅迫しようとすることがあります。詐欺師は、罪悪感から衝動的に反応する可能性のある人々をターゲットに、このようなメッセージを何百万通も配信します。大半の受信者は、このようなメールを無視し、送信者をブロックすれば安全です。 -
機密情報提供が要求されている
合法的な組織は、電子メールを通じて(または未承諾メッセージのリンクをクリックして)個人情報や機密情報の提供を要求したり、確認したりしません。既知の組織を名乗る人物が、セキュリティ保護されていない電子メールで情報を要求してきた場合、フィッシング詐欺の可能性があります。クレジットカード番号、銀行口座情報、社会保障番号(SSN)などの機密情報は、決してEメールで送らないようにしましょう。そのような情報を要求された場合は、その組織に直接電話で連絡し、要求内容を確認してください。 -
文法的なミスがあったり、日本語が妙におかしくなっている
例えば、- メールが「親愛なる」から始まって、「ありがとう」で終わる
(これは、英語の Dear ・・・ Thanks (and regards) の直訳です) - 文末の句読点が「、。」になっていたり、メッセージではなく「メーセージ」と表記されたり
- 英語メールの場合、"Dear [name]" ではなく、"Respected sir/madame" とか、"Your account has been temporary suspended" ではなく、"Your account has been temporary suspend"となっている
このような誤字や文法ミスがある場合は要注意です。正当な企業が、スペルミスや文法ミスの多いメールを送るとは考えにくいからです。
※ただし、フィッシングメールが必ずしも不自然な日本語であるとは限りませんので注意が必要です。
- メールが「親愛なる」から始まって、「ありがとう」で終わる
フィッシングと思われるメールの対処法
-
メール内の怪しいリンクをクリックしたり、添付ファイルを開いたりダウンロードしたりするのは避ける
一般的に、フィッシングメールを開くだけなら安全ですが、リンクをクリックしたり添付ファイルをダウンロードしたりすると、あなたのデバイスがマルウェアにさらされたり、ハッカーがあなたの個人情報にアクセスしたりしてしまうリスクがあります。 -
パスワードや機密情報を入力する前に、URLを確認する
リンクをクリックする代わりに、手動でウェブブラウザに完全なURLを入力し、偽装されたバージョンではなく、正しいウェブサイトを訪問していることを確認してください。 -
メールを削除し、送信者をブロックする
フィッシング未遂を報告したら、受信トレイからメールを削除しましょう。送信者をブロックすることで、今後同じアドレスからのフィッシングメールを防ぐことができます。 -
信頼できるマルウェア対策ツールでデバイスをスキャンする
デバイス上の不正なアクティビティやマルウェアの兆候を検出するために、徹底的なスキャンを実行します。マルウェア対策プログラムが信頼できる商用ベンダーのものであることを確認してください。 -
パスワードをより強力で複雑なものに変更する
強力なパスワードは、詐欺師があなたのアカウントを侵害するのを難しくします。パスワードマネージャーを使えば、アカウントごとに固有のパスワードを生成し、安全に保存することができます。 -
アカウントの二要素認証(2FA)を有効にする
この追加のセキュリティ層は、パスワードが漏洩した場合でも不正アクセスを防ぐのに役立ちます。
フィッシング詐欺への対策
詐欺師は、スパムフィルターを迂回し、詐欺メールで人々を騙す手口を常に改良しています。最近のフィッシングの手口は、実際の通信を模倣して恐怖を与え、機密データのセキュリティの取り扱いを誤らせることがよくあります。
フィッシングメールの被害に遭わないためにできることがいくつかあります:
-
ウィルス対策ソフトを導入し、メールの添付ファイルをスキャンする
ウイルス対策ソフトを導入し、メールの添付ファイルをスキャンする。不審な添付ファイルをうっかり開いてしまった場合、ソフトウェアが警告を発し、潜在的なマルウェアの脅威を軽減することができます。 -
メールプロバイダーのスパムフィルターを更新する
フィッシングメールの検出率を高め、自動的に迷惑メールフォルダにリダイレクトするように設定を調整し、セキュリティを強化する。 -
不審なメールへの返信を急がない
フィッシングメールは通常、切迫感を煽ります。不安を感じたり、不快に感じたりするようなメールには、時間をかけて詐欺の兆候を調べましょう。
最後に
フィッシング・メールはますます巧妙になり、見分けるのが難しくなっています。しかし、フィッシングメールであることを示す明確な指標はまだあります。この記事では、フィッシングメールの最も一般的な兆候について説明します。受信したEメールについて確信が持てない場合は、リンクをクリックしたり個人情報を共有したりしないよう、慎重に行動することをお勧めします。
