もっと詳しく

「当選しました」「あなたのアカウントは停止されています」など、一瞬どきっとするような件名のメール。期待や不安をあおるような件名は、フィッシングメールであることを示す目印であることがほとんどです。送信者の目的は、受信者をフィッシングサイトへと誘導し、ログイン情報やクレジットカード情報を入力させることです。この記事では、フィッシングメールを見分ける方法を紹介します。

1. 受け取ったメールをよく確認する

メールを受信したとき、急いで返信したり、メールに書かれた指示にすぐに従ったりしないでください。真っ先にしたいのは、フィッシングであることを示す特徴がないかどうかを確認することです。フィッシングメールにありがちなのは、以下のような特徴です。

  • 件名が大げさである:人の不安や金銭欲に付け込み、感情的な反応を引き出しやすい、目を引くような件名がしばしば使われます。よくあるのは、多額の送金に関するもの、金銭的補償を申し出る内容、アカウントがハッキングまたは停止されたという通知、不正取引に関する警告などです。
  • 状況の深刻さが強調されている:メールを受け取った人を急かして焦らせ、警戒を緩めさせようとするパターンです。「最終通告!」「残り3時間」といった期限を切るような言葉を使ったり、感嘆符を過剰に使ったりします。
  • 誤字脱字、不自然な文字が文面に含まれている:メールに使われている言語を母国語としない人がフィッシングを仕掛けている可能性があります。また、スパムフィルターに引っかからないように、わざとスペルミスをしたり、別の文字体系の文字を使ったり、変な位置にピリオドを入れたりする場合もあります。
  • 送信者アドレスに一貫性がない:大企業から送られてきたように見えるメールなのに、メールアドレスに意味不明な文字や数字が多く含まれている場合や、メールアドレスのドメイン名が違っている場合は、偽物のメールだと判断できます。
  • メールに記載されているリンク(厳密には、リンク先のWebサイトのURL)がおかしい:メールの中にハイパーリンクが記載されている場合は、リンクの上にマウスのカーソルを合わせ、表示されるアドレスをよく見てください。メールに書かれたURLにおかしいところがない場合でも、マウスオーバーしたときに表示されるURLが本物と違う(まったく違うURLだったり、「google.com」のはずが「qoogle.com」などとほんの少しだけ違っていたりする)場合があります。リンクは、一つずつ注意して確認しましょう。

大量ばらまきタイプのフィッシング詐欺メールであれば、ほとんどの場合、このようなチェックで十分に見分けられるはずです。ただし、送信者の名前とアドレスは偽装できますし、リンクを短縮すれば元のURLが分からなくなります。また、あまり怪しく見えないURLから何重にも自動リダイレクトされ、最終的にフィッシングサイトへ誘導されるようになっている場合もあります。そのため、リンクを送るように自分から頼んだのでないかぎり、メールで送られてきたリンクはできるだけクリックしないのが一番です。たとえば、銀行やオンラインストアからの通知のように見えるメールの場合、その銀行やストアの問い合わせ窓口に電話して確認するようにしましょう(メールに記載された問い合わせ先は使わないでください)。

また、何か賞品が当たるという内容だった場合は、本当にそのようなキャンペーンがあるのかどうか確認しましょう。キャンペーンを実施している(と主張している)企業の公式Webサイトを検索エンジンで探し、メールに書かれた賞品が当たるキャンペーンの情報が公式Webサイトに掲載されているかどうかを見てください。こちらから頼んでいないメールに記載されているリンクをチェックしたいときは、(リンクをクリックするのではなく)回り道をして調べてみることが大事です。

2. メッセンジャーアプリやSNSでもフィッシングに注意する

注意が必要なのはメールだけではありません。メッセンジャーアプリやSNSで受信するメッセージも、同じくらい危険が潜んでいる可能性があります。友だちがFacebookにアップした投稿、企業公式アカウントのふりをしたツイートDiscordのダイレクトメッセージにも、悪意あるリンクが付いていることがあります。

バナー広告にも注意しましょう。飛び先のWebサイトとは無関係の画像が広告に使われているかもしれません。バナー広告が掲示されるプラットフォームは、利用者に対して何が表示されるのか、クリックした人がどこへ誘導されるのか、管理する立場にありません。信頼できるきちんとしたWebサイトであっても、フィッシングサイトへ誘導する広告が表示されることがあります。

メールのときと同様に、一つ一つのリンクをよく確認し、できれば一切クリックしないでください。

3. 銀行口座やクレジットカードの情報は、いったんよく考えてから入力する

クレジットカード情報は、お金に直結する情報であるため、特に取り扱いに注意する必要があります。Webサイトにクレジットカード情報を入力するときには、そのWebサイトへどういう経路でアクセスしたかにかかわらず、念のため、自分がアクセスしているWebサイトを確認してから入力しましょう。

まずは、Webサイトのアドレスです。メールと同様に、誤字脱字がある、文字の代わりによく似た数字が使われている、不自然な位置にハイフンが入っている、ドメイン名が違う、といった怪しい兆候がないかどうか確認してください。そんな兆候が1つでもあったら、いったんそのWebサイトを離れ、正しいWebサイトアドレスをアドレスバーに手入力してみましょう。

続いて、アドレスバーの左側にある錠アイコンをクリックします。錠アイコンはそのWebサイトの安全性を保証するものではありませんが、そのWebサイトの所有者に関する情報を得ることができます(該当するメニュー項目の名前は、[証明書]や[安全な接続]など、ブラウザーによって名前が異なります)。

Google Chromeで当社Webサイトにアクセスしたときの表示

Google Chromeで当社Webサイトにアクセスしたときの表示

しょっちゅうオンラインで買い物をする(小規模な会社や個人販売者からの購入も含む)のであれば、オンラインショッピング用に別のクレジットカードを用意することをお勧めします。そのカードの引き落とし口座には少額だけ入れておき、引き落としの直前に入金するようにしておけば、万一カード情報が盗まれた場合、多額のお金を失わずに済みます。

4. 異なるパスワードを使用する

複数のアカウントに同じパスワードを使用していた場合、それがどれほど強力なパスワードであったとしても、うっかりフィッシングサイトに入力してしまったら、同じパスワードを使っているアカウントがすべて乗っ取りの危険にさらされることになります。したがって、Webサイトやアプリごとに別々のパスワードを使用することが大切です。

そうは言っても、新しい店やサービスを利用するたびにパスワードを新しく考えて記憶するのは大変です。そこで、パスワードマネージャーを利用するとよいでしょう。パスワードマネージャーには、パスワードを保存する以外にも役立つ機能があります。

たとえば、パスワードマネージャーは、追加のフィッシング対策としての働きです。アプリやWebサイトを開いたときにログイン名とパスワードが自動入力されなかった場合、そのアプリやWebサイトは偽物かもしれません。人間の目には本物のWebサイトと同じように見えたとしても、アドレスが違っている場合、パスワードマネージャーはアカウント情報を自動入力しません。

また、パスワードマネージャーは、パスワードの作成もできます。複雑でハッキングされにくいパスワードが作成されます。

パスワードマネージャーの中には、それ以外の追加機能を備えたものがあります。例えばカスペルスキー パスワードマネージャーは、登録されているパスワードをチェックして、弱いパスワード、複数のアカウントで使用されているパスワード、流出したことのあるパスワードがあると通知します。

5. 2段階認証を設定してアカウントを保護する

フィッシング攻撃の多くは、アカウントの乗っ取りを目的としています。しかし、2段階認証を設定しておくことで、ログイン名とパスワードが攻撃者の手に渡った場合でも、アカウントへの不正ログインを阻止することができます。2段階認証を設定すると、ログインするとき、ログイン情報の入力のほかに、一時的にしか使えない認証コードが必要になります。認証コードの受け取り手段には、メール、SMS、認証アプリがあります。

ただし、注意したいのは、フィッシングを仕掛ける攻撃者の方で偽のログインページを作成し、そのページで一度かぎりの2段階認証コードを求める場合があることです。そのため、重要なアカウントを保護するに当たっては、YubiKeyやGoogleのTitanセキュリティキーなどのUSB接続タイプのセキュリティキーを使ったハードウェアベース認証を利用した方がよいでしょう。

セキュリティキーの中には、NFCやBluetoothを使用してモバイルデバイスに接続するものもあります。ハードウェアベースのセキュリティキーの利点は、セキュリティキーが偽のWebサイトに秘密を開示することがない点です。Webサイトは、セキュリティキーから正しい答えを得るために正しいリクエストを送信する必要があり、本物のWebサイトでないと正しいリクエストを送信することができません。

6. 信頼できるセキュリティ製品を利用する

危険を示す兆候がないか常に警戒し、Webサイトのアドレスやリンクをその都度チェックするのは、なかなか難しいものです。しかし、こうしたタスクは自動化できますから、カスペルスキー セキュリティなど、フィッシング対策機能を備えたセキュリティ製品にフィッシング対策を任せることができます。