「不正アクセスがありました」メールは信じるな。フィッシング詐欺の最新手口


SMSの詐欺メールが多い理由は成功率の高さとコロナ禍

 最近、「フィッシング詐欺メールで騙されそうになった」という人が増えている。主な被害例は

メールに記載されていたURLクリックしたら偽サイトに飛ばされた
ドメインの部分が【annazon.com】などになっていたが気づかなかった


 というものだ。

 自分は騙されないぞ、と思っている人すらうっかり騙されてしまうことすらあるこの手法。騙されないためのポイントをITジャーナリスト三上洋氏に聞いた。

「いわゆるフィッシング詐欺メールの被害は、フィッシング対策協議会の発表によると2019年5月に3,327件だったのに対し、2020年5月には14,245件と5倍近くにまで増えている状況です。

もともと2~3年前から増えている状況ではあるものの、特に2019年の後半から特に急増しました。中でも、直近の数字を見ると、3月は約9,600件、4月に約11,000件、5月に約14,000件とどんどん増えています。

この要因として、ひとつ目にSMSショートメッセージサービス……電話番号がわかっていれば送ることのできるメール)での被害が増えていることが挙げられます。スマホ狙いのフィッシング詐欺ではSMSが主流になっています。スマホではSMSの通知をオンにしている人が多いため開封率が高く、犯人にとっては『成功率が高い』のです。電話番号をランダムに打てばいいので送信も簡単です。成功率が高く簡単なことから、犯人側も送信数を増やしているものと思われます。

ふたつ目の要因として、新型コロナウイルスの影響が考えられます。コロナ対策を騙ったフィッシング詐欺が増えているため被害に遭いやすいことと、家ごもりのためスマートフォンパソコンを見る時間が多いため、その『成功確率』が上がってしまっていると予想できます」(三上洋氏、以下同)

◆意識の高い企業はすでにURL付きSMSを使用していない

 確かに最近SMSで配達業者を語ったものが筆者のスマートフォンにも多く届くようになった。普段こうしたフィッシング詐欺メールには騙されないぞ、と意識が高いつもりであったが、それでも荷物を待っているタイミングでこうしたSMSが来ればついクリックしてしまいそうになる。

 なかには堂々と、「ヤマト運輸です」「佐川急便です」などと記載されているものもある。しかし、三上氏はSMSでこうした内容が届いた場合は「すべて詐欺だと思うべきだ」と言う。

URLが貼ってあるSMSは全て詐欺だと思って良いでしょう。もちろん、一部の事業者には詐欺ではなくサービスの一環でSMSURLを貼り付ける手法を取っているところもあります。しかし、『詐欺と紛らわしい』と批判されてしまっている状況です。そのため、多くの企業はURL付きSMSをそもそも使わなくなっています。ですから、URL付きSMSで企業名を語る=詐欺だと思って良いでしょう」

メールでのフィッシング詐欺の手法はセキュリティを騙る

 SMSURLは押さない!ということは分かった。しかし、通常のメールではURLから接続をする場面は多い。具体的に「URLがこのスペルになっていたら詐欺」などがわかれば注意しやすい気もするが……

「『Amazon』がよく見ると『annazon』や『annaz0n』になっているといった、そっくりドメイン系はフィッシング詐欺では常套手段です。しかしこうしたドメインは、詐欺だとわかるとフィッシング対策協議会や日本のセキュリティ機関JPCERT/CCなどが『テイクダウン依頼』を行い、サーバーの会社に潰してもらっています。するとそのドメインは使えなくなりますが、新たに量産される……といういたちごっこが続いているわけです。そのため、具体的に『このドメインには注意しよう』という対策はできません」

 対策としてはSMSと同様、「安易に押さない」ことが大切なのだと三上氏は語る。

メールの内容を吟味したり、本物か偽物かを考えたりするのではなく、たとえ本物であっても基本的にはメールURLを押さないようにすることです。少しでも不安に思ったら来たメールに記載のURLからではなく検索して、あるいはブックマークなど本物だとわかっている手段で、サイトを開きログインしてください。そのくらい注意深くならないといけないくらい、詐欺は多いということです」

 三上氏によると、こうしたフィッシング詐欺メールの内容は、ほとんどがセキュリティ関係が多いという。

不正アクセスがありました」
「あなたのクレジットカードが不正に使われました」
「外国からアクセスがあったのでログインして確認してください」
「買い物を勝手にしていますが本人ですか?確認してください」

 など、不安をあおられるものが多い。そのため、ついうっかりURLを押してしまう人が多いのだという。万が一うっかりURLクリックするとその後何が起こるのだろうか。

「最近クレジットカード会社やショッピングサイトのフィッシング詐欺メールで多いのは、クレジットカード番号を盗み取るものです。偽サイトに誘導し、クレジットカード番号や暗証番号などを入力させ情報を得ると、その後そのクレジットカードが不正利用されてしまいます。

携帯電話会社を騙るフィッシング詐欺メールコロナ以降非常に増えています。ドコモソフトバンクなどを騙って『特定給付金携帯電話のサイトから申請できます』『あわせて携帯電話料金を3万円値引きします』といった内容が多いです。偽サイトに誘導し、IDとパスワードを入力させようとします。最近は携帯電話会社のIDとパスワードが分かればd払いなど買い物ができてしまうことが多いため、クレジットカード同様、不正利用がされてしまう被害が報告されています」

 万が一騙されてしまい不正利用されていることに気づいた場合にはどうすればいいのだろうか。

「騙された場合には、クレジットカード会社や携帯電話会社に連絡することで取り消しができることがあります。そのため、クレジットカード携帯電話の利用明細はちゃんと確認することが大切です。低額なものを長く盗み取るという詐欺も報告されていますので、高額な明細だけでなく全てをきちんとチェックしましょう」

◆「ワンタイムパスワードがあるから大丈夫」と過信してはいけない

 また、近年増えているのは便利になったインターネットバンキングによる詐欺被害だ。三上氏によると、2019年9~10月くらいから急増しているという。

「もともと2000年代後半から2010年代前半にかけてインターネットバンキングでの詐欺は多かったものの、銀行がワンタイムパスワードを導入したことで被害が大きく減っていたはずでした」

 ワンタイムパスワードといえば、インターネットバンキング利用時に一時的に利用する数字6桁などの暗証番号だ。トークンと呼ばれる電卓のような端末やスマホアプリなどで表示されるもので、有効期限が1分間などすぐに使えなくなってしまうことが特徴で安全面が保障されているように思うが……

「しかし最近、過去最悪ペースインターネットバンキングでの詐欺被害が増えているのです。その手法としてはは恐らく、フィッシング詐欺メールを送り、記載のURLからワンタイムパスワードを入力させます。その後、ワンタイムパスワードが有効な約1分間の中で犯人が勝手に不正送金したり、登録の携帯電話番号を勝手に変更するなどの手口だと推測されています」

 安全のために使われているワンタイムパスワードさえも、このように不正送金に使われてしまうというのはあまりにも怖い。

 改めてこうしたフィッシング詐欺メールへの対策を教えてもらった。

SMS及び、メールのリンクはクリックしないこと
・たとえ本物であってもメールのリンクはクリックしないこと(セキュリティ面で不安なことがある場合はサイトに直接アクセスし確認する。本当に不正アクセスなどがあればサイトにログインした際に確認できる)
・ID&パスワードクレジットカード番号を入力させる画面では注意深くURLを確認すること

 ちなみに、Googleの設定でパスワードを保存できるようにする自動入力機能があるが、これは最初に正しいサイトで登録していれば、勝手に偽のサイトにもログインしてしまうことはないと言う。

「しかし、1回入力してしまえばその後は同じサイトにアクセスするとパスワードが入力された状態になるので、最初のパスワード保存時には十分注意してください」

「自分は絶対騙されない」と過信することなく、警戒しすぎるくらいでもちょうどいい。怪しいと感じたら、ためらわず企業などに相談しよう。
<取材・文/松本果歩>

【松本果歩】
恋愛・就職・食レポ記事を数多く執筆し、社長インタビューから芸能取材までジャンル問わず興味の赴くままに執筆するフリーランスライターコンビニを愛しすぎるあまり、OLから某コンビニ本部員となり、店長を務めた経験あり。Twitter@KA_HO_MA

画像/Adobe Stock (以下同)


(出典 news.nicovideo.jp)


(出典 www.mizuhobank.co.jp)



<このニュースへのネットの反応>

そもそもメールなんかもう何年も見てねえわ多分そういうの溜まってるんだろうな


親愛なる**へ              「アカウントがロックされました。」    ええ加減にせえや


銀行から「貴様のアカウントに不正アクセスがありました」  ちょっと笑った


まず不正アクセスあったらニュースになるからな。昔の「オオアリクイに~」がなつかしいで。


なんかもう日本語として破綻してるのも結構あるうえに、アマゾン名義できたヤツの中で下書きとだけ書いてあって中身真っ白のやつもあったなぁ。


アマゾンのが頻繁に来るな


最新か?半年くらい前にアマゾンカスタマーセンター名乗って届いたぞ。


そのアクセスが何故不正なモノと分かったのか?理論が破綻してて草


今時こんな手口に引っかかる奴いるわけ(フラグ)


うん、R天から頻繁に来るよ。R天のアカウント、作った覚えないんだけど。


amazon.infoみたいので「不正アクセスがー」みたいなのがくるけど見もしないで捨てるわ。もちろん着信拒否設定してからね。詐欺行為なんてするやつは総じて低学歴低教養のクソゴミだからわかりやすいよw


時折精巧なのがあってギリギリまで気づかなかったりするから舐めてると危ないんだよな


一瞬、記事が何時のか確認したわ。古すぎだろ、もう10年くらい前からあるじゃん


自分は大丈夫なんて思いこまずに、気を付けようくらいに考えた方がいい


うむそれはお国の機関に教えた方が良いね。定期的にひっかかり省庁問わず情報流出未だにしてるからね。


Amazonからこういうの来たけどアカウントどころかクレカすら持ってないから変な笑い出たわ


ガラケーでLINEやってないのに「あなたのLINEアカウントが~」ってメールが来た


ワイも来て危うく騙される所だった。URLがamzonとなっていて気付いたが、そもそも何年も使用してなくてパスワードを覚えていないというガードにも助けられた


どこかに不正アクセスされましたという通知なら、まず自分の利用状況を思い出して該当しそうなら正規のサイトから開いてログインすれば大丈夫、大抵のサイトにアカウントのログイン履歴を確認できる仕組みがある。念のためついでにパスワード変更しておけばいい。あとは中国からのネットアクセスを完全に遮断すればだいぶ減ると思うけれどな


自分を賢いと思ってる老害とか、日本語もろくに理解できない*餓鬼とかたまに引っかかってるからな。こういうのってやっぱ同じ程度の連中が引っかかってるからなくならないんだと思うわ。


「こんにちは!あなたのアカウントがロックされました」うん、分かった


アカウント持ってないコンテンツから2件来た事がある。どっちも超大手のところ。メールの体裁自体はかなり良くできていて昔みたいなあからさまな三〇人のトンデモな日本語はほとんどない。よくよく見るとちょっと不自然かな程度。お気をつけあれ。


SPAのメイン読者層(婉曲表現)でも容易にマウント取れるように、あえて低クオリティ事例を選んで記事書いてるだけなんだよな。案の定ウッキウキの奴も居るが、詐欺師ガチ勢はむしろ相当頭いいから舐めるのは止めとけ


昔からよくある奴、あとAmazonプライムの「支払いシステムに不備があり更新できませんでした」ったのもあるねぇ。そもそも更新月じゃなかったりでガバガバですが^^;;


アマゾンやインスタグラムを使ってないのにアカウントが云々な内容送られてきて笑ってしまったよ 内容見ずに即座に消したけどね


尼なんかもう5年くらい使ってねーわ。web担当がクソすぎてカスでゴミだったからそれから気分わりーから尼使わなくなった。税金払えクソ企業




この記事へのコメント

人気記事