私たちのコミュニケーションがオンラインへと移行する中、オンライン上で行われる詐欺も増えつつある。中でも、さまざまな手口で多くの被害が生じているのが詐欺メールだ。その手法も巧妙化の一途を辿っており、被害に遭遇する危険性は高まっている。この記事では、詐欺メールの手口や対応策について解説する。
詐欺メールとは
インターネットが普及して間もない頃から、厄介な存在として知られてきた迷惑メール。それから30年近く経った今なお、古典的なこの手法は攻撃者や詐欺師のグループで用いられ続けている。迷惑メールが有効な攻撃手法として用いられる理由は、送信コストがかからず、簡単かつ大量の配信が可能だからだ。つまり、「相手が騙される確率」が少しでもあるようであれば、配信数の増加に応じて得られる対価も増えるという算段だ。
迷惑メールの中でも、相手を騙して金銭、物品の詐取を目的としたものは詐欺メールと呼ばれている。日本国内において、数年前まで詐欺メールは大きな問題として取り扱われてこなかった。それは、社会問題へと発展している振り込め詐欺などの被害が中心であったためだ。
また、詐欺メールのほとんどが海外から送付されるもので、日本語という独特な言語特性がゆえ、詐欺メールの文面の多くは日本人にとって、違和感を覚えるものであった。そのため、一読で詐欺かどうかを判別できたのだ。
しかし、近年では機械学習が進化した結果、翻訳技術が洗練され、この「日本語の壁」が瓦解しつつある。また、詐欺の手法が巧妙化していることから、詐欺メールが大きな脅威の1つとなってきているのだ。詐欺メールの中でも、特に企業を標的としたものは、ビジネスメール詐欺(BEC:Business Email Compromise)と呼ばれる。IPAが毎年公表している「情報セキュリティ10大脅威」において、ビジネスメール詐欺はランクイン上位の常連となりつつある。
現状、攻撃者にとって詐欺メールは、金銭詐取のためのコスパのよい有効な手段となっている。そのため、今後も当面の間は猛威を振るう可能性が高く、ユーザー、そして企業が個別に防御策を講じる必要がある。
詐欺メールのパターン
詐欺メールのパターンは多様化している。パターンを理解することで有効な対策を立てることに役立つはずだ。ここでは、5つのパターンを紹介する。
1)フィッシング詐欺
近年、詐欺メールの代表格とされるのがフィッシング詐欺だ。ユーザーに大手ECサイトや金融機関になりすましたメールを送り付け、パスワードやクレジットカード番号の入力を促す偽サイトに誘導し、そこで入力されたアカウント情報を詐取する。
送付元のメールアドレスは正規のものに近しい文字列となっている。そして、クリックした後に表示されるページも正規のものに酷似しているため、ユーザーは信じ込んで情報を入力してしまう。このような、「餌を仕掛け、獲物がかかるのを待つ」手法が「釣り」に例えられるようになった。
しかし、英語での綴りは「Phishing」となっており、釣りを意味する「Fishing」とは異なる。この点について、総務省の「国民のための情報セキュリティサイト」によると、「魚釣り(fishing)と洗練(sophisticated)から作られた造語」という説明がされている。最近ではメール以外にも、ショートメールやSNSのDM機能を悪用するなど、その手法は多様化している。
2)クリック詐欺
ユーザーにメール本文中のURLをクリックさせ、「会員登録完了」と通知して入会金などを騙し取るような詐欺のこと。通知される内容には、ユーザーのアクセス元のIPアドレスなどが表示されるため、「身バレ」を恐れて表示された要求に従い、金銭を支払ってしまうことが少なくない。以前からある手法で、アダルトサイト、出会い系サイトなどを騙った詐欺が多い。
3)ロマンス詐欺
現実世界でしばしば話題になる結婚詐欺のごとく、相手を信頼させて恋愛感情を芽生えさせてから犯行に及ぶ詐欺のこと。そのきっかけとして、「あなただけ」といった内容のメールが送られてくる。インターネットの普及で、オンライン上だけの関係性で成り立つ人間関係も一般的になりつつある。そのため、心理的障壁も以前と比較すると下がっており、詐欺として成立しやすくなっている。
実際、SNS経由で濃密なコミュニケーションを繰り返すことで、一度も対面したことのない相手に好感を持ってしまうという経験があるユーザーも少なくないだろう。加えて、オンラインでのビデオ通話でコミュニケーションを重ねることで、ほぼ現実世界でのコミュニケーションと同様に、相手に対して親近感を覚えてしまうのも無理もないことだと言えそうだ。
攻撃者にとっては身元を明らかにせず、あるいは架空の身元になりすまして、相手に詐欺を働くことができる。時間をかけて恋愛感情を芽生えさせ、頃合いを見計らって治療費や弁護士費用を名目に次々と金銭を要求するのだ。
こうした詐欺を働くのは日本人とは限らず、外国人のケースも少なくない。実際、ニュースメディアなどでは、国際ロマンス詐欺としてたびたびニュースとなっている。最近ではフィッシング詐欺同様に、メールにとどまらず、SNSなどを用いることもある。特に、Facebookで友達リクエストをして、懇意になったところで詐欺を働くようなケースが散見される。
4)暗号通貨(仮想通貨)詐欺
近年、認知度が高まっている暗号資産に関連する詐欺をメール経由で働くものもある。「手軽に儲かる方法」といった件名、内容のメールを送り付け、相手を騙して詐欺を働くのだ。出資を募ってお金を騙し取る、いわゆる「ポンジ・スキーム」を仕掛ける材料として、暗号資産が使われることもある。
暗号資産はビットコイン(BTC)を筆頭に数多く存在し、今や乱立状態にある。ビットコインがそうであったように、立ち上げ当初に保有できればその後の値上がりが期待できる。そうした期待を匂わせて出資を促し、出資金を騙し取るのだ。この手の投資詐欺に共通するのは、「あなただけに」、「今だけ」といった誘い文句だ。また、何かしらの脅迫を行い、その支払いを暗号資産で要求するケースもある。
5)ビジネスメール詐欺
企業を狙う標的型攻撃メールは増加傾向にあり、ビジネスメール詐欺も同様の傾向だ。これは国内に限らず世界的な傾向であり、被害金額も大きくなっている。関係性の深い取引先で、企業間の力関係などを踏まえた巧妙なメールを送り付ける。そうしたメールで、何かしらの理由をこじつけ、指定口座への入金を促すのだ。インターネット上にビジネスに関する多くの情報を公開している大手企業などが狙われる傾向にある。
詐欺メールへの対策
巧妙化する詐欺メールだが、どのような対策が有効なのだろうか。以下に主要なものを挙げていく。
すべてのメールを疑う
先述のとおり、最近のメールを用いた詐欺では、メールの件名、文面ともに本物と見紛うような内容となっている。そして、差出人やメールアドレスも実際に存在するようなものを利用するため、信じ込んでしまいがちだ。基本的に受信したメールはすべて疑ってかかるぐらいの意識を持つことが必要だろう。
少しでも不審だと感じたメールについては、メールに添付されたファイルを開封しない、メール内本文のURLをクリックしない、ということは基本だ。また、何かしらの行動を要求するメールの場合、差出人に電話などで送付したかどうかの確認をすることで、詐欺被害に遭う可能性は低減できるはずだ。
セキュリティソフトの導入
フィッシング詐欺やワンクリック詐欺などでは、事前に準備した偽サイトに誘導されるケースが多い。そのため、そうした偽サイトへのアクセスを検知し、遮断するセキュリティソフトの導入が有効だ。また、迷惑メール自体をスパムフィルターでフィルタリングするため、詐欺メールがメールボックス内に紛れ込む可能性の低減も期待できる。
詐欺の手口を把握
ここまで紹介してきたように、詐欺にはさまざまな手法が存在し、年々進化している。そうした詐欺の手法を頭に入れておけば、可能性があるメールを受け取った際にも冷静に対処しやすくなる。また、詐欺メールだけでなく、インターネット上で被害に遭わないためのリテラシーも求められる。
インターネットが便利になればなるほど詐欺行為も増加傾向に
個人間ではもはや、メールでコミュニケーションを取る機会は少なくなってきているかもしれない。最近はLINEに代表されるチャットツール、SNSのDMなどを用いるユーザーが増えているからだ。同様に、企業間においてもビジネスチャットなどへの代替は緩やかながら進みつつある。しかし、メールマガジンや案内メール、お得な情報メールなど、当面はメールも併用されていくことだろう。すなわち、詐欺メールを受け取る可能性は今後も当面はなくならないということだ。
また先述のとおり、メールからの置き換えが進むチャットツール、SNSのDMなどによる詐欺も増えている。人と人の間、企業と企業の間など、コミュニケーションが生じる隙間を攻撃者は狙ってくる。その前提に立ち、ユーザー、企業としては適切な対策を講じるべきだろう。
今後も、新たな技術を悪用した詐欺が出てくることは想像に難くない。現実世界と同様に、自らの注意力を高めておくことが、安心・安全な状況を作り出す一助となるということを肝に銘じておきたい。
