秋は行楽地へ出かけ、屋外で過ごすのに良い季節だ。一方で、不要な悪意のある迷惑メールやSMSのメッセージを削除する時間も増える。犯罪者がフィッシング詐欺をより頻繁に仕掛けるようになるからだ。サイバーセキュリティへの意識を高められるよう、10月はサイバーセキュリティ啓発月間となっており、第2週は「フィッシング詐欺の抑止」がテーマに選ばれた。

フィッシング詐欺に関する厳しい現実

ESET社は、4つの画像からフィッシング詐欺と本物のメッセージを見分けるフィッシング・クイズを開催した。しかし、参加者の60%強が、それらをすべて正しく識別できなかったことに驚くのではないだろうか。

フィッシング・ダービーと呼ばれるこの無料イベントは、偽物と本物のメッセージをどのくらい見分けられるかを競うよう、米国のESET社のチームによって開発された。メッセージをいかに早く、正確に分類できるかによってスコアが計算されるのだが、正解した約40%の中には、3つの画像のみを極めて早く特定できた人も含まれる。つまり、4つの画像をすべて正しく分類できた割合はさらに低いということになる。このクイズは統計的なデータを得るために開発されたのではなく、参加者を啓蒙し、偽の電子メールを見分ける方法について教育するのが目的であった。

興味深いことに、クイズの正解率は年代によって大きな違いが見られた。18～24歳の若い世代で正確に回答できたのが47%だったのに対し、65歳以上では28%にとどまった。また、25～44歳は45%、45～64歳は36%となった。データの妥当性に疑問を持つ人もいるかもしれないが、参加者は4,292人となっており、学術的な調査というよりも、啓蒙キャンペーンの副産物としてデータは収集された。カナダのESET社で同じクイズを実施した際にも、同様の結果が得られている。68%の参加者は4つの画像を正確に分類できなかったというものだ。米国版、カナダ版のテストはリンク先で受けられる。

こうした結果を踏まえて、どのような行動をとればよいのだろうか？本記事の読者の多くは、サイバーセキュリティに関心があり、より安全にインターネットを利用したいと考えているであろう。そこで、皆さんに2021年のサイバーセキュリティ啓発月間においての課題を与えたい。電子メールやメッセージに注意し、安全にインターネットを使うための最良な方法を理解した上で、それを友達や家族に伝えてほしい。特に、年配の方々を助けるよう注力してほしい。こうしたわずかな支援でも、大きな効果が得られるというデータがあるからだ。

サイバーセキュリティへの意識を高めるよう、金融機関やサイバーセキュリティ企業、あるいは政府が啓蒙活動を継続しているため、実際の被害は減っているのではないかと思われるかもしれない。しかし、フィッシングメールは非常に巧妙化してきており、偽物と見分けるのが難しくなってきている。サイバー犯罪者の技術が進歩するにつれ、フィッシングメールを見分けるのは、より困難になっているのだ。

フィッシングを見分けるには

先週、アメリカン・エキスプレス（以下、アメックス）からと思しき電子メールを受信した。メールの内容は、疑わしい取引がブロックされたため、直近の購入履歴を確認してほしいと求めるものだった。よくできた文章や画像が使われ、一見すると正規の案内のように見えるが、このメールが偽物であることを示す明らかな兆候がいくつか見られた。

図1:アメックスを偽装したメール

カードユーザーの皆さまへ

通常と異なる地域からカードの使用があり、オンライン購入を停止しました。位置情報が特定できなかったため、取引を停止し、セキュリティのためにカードとオンラインアカウントを一時的に停止しております。
セキュリティ・ロックを解除するには、直近のオンライン取引の履歴をこちらから確認してください。

直近の取引を確認するのはこちら

この手続きは、最高の体験をもたらすための対策に基づくものです。
お手数をおかけしますが、よろしくお願い申し上げます。
アメリカン・エクスプレス　顧客サービスチーム

第一に、筆者はアメックスのビジネス・プラチナ・カードを持っていない。もしカードを持っていたとしたら、電子メールを開き、リンクをクリックしてしまうのも理解できる。この文面は危機感を煽るよう工夫されている。「大変だ、カードが不正に使われている。問題を解決しなければならない。クリックしよう」といった具合だ。

また、この電子メールが偽物だと見分ける手掛かりになるのは、「カードユーザーの皆さまへ」という宛名と、「カード番号の頭2桁：37*****」と記載された箇所だ。アメックスは顧客が誰か知っているはずで、誰にでも当てはまる電子メールを送信することはない。また、クレジットカード会社は通常、カード番号の末尾に固有な番号を割り振るもので、カード番号の頭はユニークな数字ではない。アメックスの元従業員によると、同社が発行するカードの一桁目は3であり、二桁目は4か7になると言う。つまり、受信した電子メールに記載されたカード番号は、多くの人に当てはまる汎用的なものだったということになる。標的を欺くため、サイバー犯罪者がこうした電子メールを拡散したことがわかるだろう。

サイバー犯罪者がより強力なコンピューターを使用できるようになってきており、フィッシングを見分けることは、より困難な状況だ。例えば、クラウド上のコンピューターを必要な分だけ使えるようになり、情報漏えい事件によって多数の個人情報が出回るようになった。さらに、近年のサイバー攻撃から得られた資金が、サイバー犯罪ビジネスへ流出している。アメックスになりすましたフィッシングメールに、漏えいしたデータから得られたカード保有者の名前と4桁のカード番号が記載されていたとしたら、どうだろうか？受信者がリンクをクリックしてしまうリスクは極めて高まるだろう。

フィッシング攻撃に関する、そのほかの注意点

以下に、フィッシングメールを特定するためのヒントを紹介する。

• あなた個人に宛てた電子メールではない。送信元の企業であれば、あなたが誰かを知っているはずで、通常、汎用的な文面では送らない。
• 文法やスペルにミスがあるもの。フィッシングメールが洗練されてきており、間違いを見つけるのは容易ではないが、必ず2回はメールを見返すようにしたい。
• これまで関わりを持ったことのない企業から送られてきた電子メール。
• 緊急の行動を促すもの。リンクをクリックさせ、取引を確認するためにログインを求めるもの。
• 送信元電子メールアドレスのなりすまし。電子メールアドレスにマウスをかざし、送信者の実際のアドレスと送信元のドメインを確認する。
• 添付ファイル付き電子メール。請求書や何らかの通知を伴うファイル。

電子メールが本物か偽物か判断がつかない場合には、ブラウザーから送信者とされるWebサイトに直接アクセスし、自身のアカウントにログインしてメッセージがないかを確認することをお勧めする。メッセージや受信箱に重要な情報があった場合は、必要に応じてその会社に連絡し、その情報が正しいか確認しよう。