金融機関やクレジットカード会社など、有名企業・団体に偽装して送付されるなりすましメール。フィッシング、クリック詐欺、キーロガーへの誘導、マルウェア感染など、さまざまな攻撃のきっかけとしても利用される。この記事では、なりすましメールに騙されないために意識すべき2つのポイントを解説する。
なりすましメールとは
なりすましメールとは、金融機関やクレジットカード会社など、有名企業・団体になりすまして悪事を働くために利用されるメールのことだ。例えば、メールに記載されたリンクをユーザーにクリックさせ、正規のものに偽装したWebサイトへユーザーを誘導する。誘導先のページでは、クレジットカードや銀行口座の情報などを入力するようユーザーに促し、それらの情報を詐取して悪用するという手法が一般的だ。
また、より悪質な場合、キーロガーやマルウェアをユーザーの端末にインストールさせることもある。その結果、パソコン内のデータの破壊、窃取、あるいはそのデータを外部に漏えいさせるといった被害に至る。このなりすましメールを用いた手法は年々、巧妙化・高度化しており、そのターゲットもより広範囲に及ぶことで被害が拡大している。
フィッシング対策協議会が行った調査によると、全体の42.6%がクレジットカード会社を装ったものであった。次いで、インターネットショッピングなどのEC系を装ったものが30.0%と続いている。加えて、キャッシュレス決済サービスなどを騙るメールも存在する。具体的には、ETC利用照会サービスや交通系サービス、省庁関連では国税庁を騙るフィッシングが多く、そのほかにも警察庁や金融庁を騙ったものが確認されている。
なりすましメールを使った犯罪の種類
なりすましメールは、さまざまなサイバー犯罪における最初のきっかけとして用いられることが多い。「フィッシング詐欺」、「ワンクリック詐欺」、「キーロガーを用いた情報窃取」はその典型だろう。
フィッシング詐欺
攻撃者がインターネットのユーザーから金銭を詐取するために、クレジットカードや銀行口座の情報を騙し取る手口を「フィッシング詐欺」と呼ぶ。この手の詐欺では、攻撃者はクレジットカード会社や銀行になりすますことが多い。
例えば、「急いでユーザー情報を登録しないと口座が閉鎖される」といった内容のメールを無作為に送信し、事前に用意したカード会社や銀行に偽装したWebサイトへユーザーを誘導する。そのサイト上でユーザーが疑いもなく口座情報を入力してしまうと、その情報は攻撃者の手に渡ってしまう。そして、その情報を元に、攻撃者は速やかに出金、あるいは換金のための行動を実行するのだ。
ワンクリック詐欺
無作為に送り付けられたメールをユーザーがうっかりクリックしてしまうと、その誘導先のWebサイト上で不当な料金を請求されてしまうような手口の詐欺がワンクリック詐欺だ。1回のクリック、「ワンクリック」だけで被害に遭ってしまうことから、この名称で呼ばれている。
誘導先のサイトでは「会員登録ありがとうございました」、「会費の支払期日はx月x日です」といった具合に、すでにサービスの申し込みが完了しているかのように装うのが特徴的だ。ITや法律に詳しくないユーザーを混乱させることで、金銭の支払いを促す悪質な手法だ。
関連する手法として、複数回のクリック操作をユーザーに促すことで、より心理的なコミットを高める「クリック詐欺」なるものも存在する。いずれにせよ、サービスへの申し込みはユーザーの確たる同意が必要なことは変わりない。こうした状況に遭遇した場合は、冷静に対処することが求められる。
キーロガーを用いた情報窃取
メール文面に記載されたURLをユーザーがクリックして誘導された先で、ユーザーの端末にキーロガーがインストールされ、情報窃取を試みる手法だ。
さまざまな情報を入力することになるデバイスの1つである、キーボードへの入力内容を取得できれば、その情報を用いたさまざまな詐欺に悪用することが可能となる。さらに、長期にわたって情報を収集できれば、ユーザーを脅迫するための材料をより多く入手できることとなる。
なりすましメールの事例
先述のように、なりすましメールの手法にはさまざまなものが存在する。実際の事例を元に、業種ごとの傾向を以下に解説する。
金融機関を騙るなりすましメール
ネットバンキングが一般化している状況を狙うべく、攻撃者は金融機関になりすましたメールを送り付ける。近年、国内ではメガバンクだけでなく、地方銀行やネット銀行になりすます事例も相次いでいる。
自らが利用しているメインバンクから「重要」、「緊急」と件名に記載されたメールが送付されてきた場合、多くのユーザーが惑わされ、そのうち一定数がクリックしてしまうだろう。以下に、これまでに送付された件名の例を紹介する。
- 【重要・緊急】〇〇銀行入金制限のお知らせ
- 【〇〇銀行】お客様の直近の取引における重要な確認について
- 【〇〇銀行】振込(出金)、ATMのご利用(出金)利用停止のお知らせ
- 【〇〇銀行】お取引確認の必要がございます。
- 【〇〇銀行】お取引目的等の確認のお願い
- 〇〇銀行の重要なお知らせ(必ずご確認ください)
- 【〇〇銀行】お客様の直近の取引における重要な確認について
クレジットカード会社を騙るなりすましメール
以前から多く確認されている、クレジットカード利用者を狙う、なりすましメールの被害も相次いでいる。誰もが知っているクレジットカード会社だけでなく、知名度が高くない会社のものに偽装するケースもある。以下に挙げる例を見てもわかるように、利用に関する緊急性を強調する件名のものが多い。
- 【〇〇カード】重要なお知らせ
- 【〇〇カード】重要:必ずお読みください
- 【〇〇カード】お支払い金額確定のご案内
- 【〇〇カード】お取引目的等の確認のお願い
- 【〇〇カード】二段階認証の導入についてのお知らせ
- 【重要】〇〇カード本人確認のお知らせ
- 【最終警告】〇〇カードからの緊急の連絡
- 【重要なお知らせ】○○カード ご利用確認のお願い
- <緊急!〇〇カード 重要なお知らせ>
- 「〇〇カード」ご利用環境確認用ワンタイムURLのお知らせ
- お支払い方法変更のご案内【〇〇カード】
- 【〇〇カード】事務局からのお知らせ
- 【〇〇カード】本人情報緊急確認
- 【〇〇カード】アカウントの確認をお願いします
行政機関を騙るなりすましメール
コロナ禍を前後して増加傾向にあるのが、行政機関を騙るなりすましメールだ。コロナ禍の期間では、給付金や補助金、支払い免除などといった支援策が数多く実施された。そうした金銭に関するトピックの場合、ユーザー心理としてはどうしても注意が向きがちになる。また、支払いの催促など、罰則的な通知を目にすると慌ててしまうユーザーも少なくないだろう。そうした思わず慌ててしまうユーザー心理を巧みに突くメールも確認されている。
- 関税・【差押最終通知】未払い税金お支払いのお願い
- 【〇〇省】重要なお知らせ、必ずお読みください。
- 【〇〇庁緊急連絡】重要なお知らせ
- 【申告に関するお知らせ】
- [〇〇省・電力需給対策] お客様の電力使用情報が不正確なので要確認
ここで紹介した以外にも、電力やガス、通信などのインフラ会社、あるいは著名なWebサービスを騙るメールも相次いでいる。例で挙げた件名を見てもわかるが、もはや一目では正規のメールかどうかを判別できないのが実情だ。そのため、仮にメールを開封してしまった場合、まずはメールの文面をよく精査するようにしたい。そして、記載されたリンクをクリックすることは絶対に避けるべきだろう。
なりすましメールへの対策、2つのポイント
なりすましメールへの対策として、重要な2つのポイントを以下に解説する。
1)基本的な対策の徹底
先述のように、企業・組織の規模・形態を問わずなりすます、さまざまな事例が相次いでいることから、いつか自分にも送り付けられてくるかもしれないと考えておくべきだ。まず、以下に挙げる3つの基本的な対策を講じることが望ましい。
・メール文面の精査
なりすましメールは、メール文面が本物のサポートメールと比較すると不審な点が少なくない。例えば、「更新するまでにアカウントにアクセスできません」といった具合に助詞の使い方が不自然といった具合だ。また、「アカウントが停止されているのでアカウント情報を更新してください。」、「お手数ですがお時間を割いてお読み下さい」といったように、ネイティブな日本人の文章としては拙い印象を覚えるものが少なくない。ただし、文面が流ちょうであるから安全というわけではないことにも注意が必要だ。
・URLの確認
メールのリンク先が正規のサービスのものであるかどうか確認する。例えば、本来のサービスのURLが「xxx.jp」であるのに対して、「xxx-jp.com」といったように微妙に異なるURLになっている場合がある。
ただし、リッチテキスト形式・HTML形式のメールでは表示されているアドレスと、実際にリンクされているアドレスを異なるものに設定することが可能だ。そのため、クリックする前にリンク先を確認するよう習慣づけたい。メーラーにより確認方法は異なるが、Gmailなどであれば、リンク上にマウスカーソルを乗せると画面左下に実際のリンク先が表示される。
・ヘッダー情報の確認
ヘッダー情報は、メールを送るサーバー・受信するサーバーなどが送受信のために利用する情報である。この中身を確認することができれば、メールが真正なものかを確認できる。しかし、技術的な知識が求められるため、対応は難しいかもしれない。
そのため、基本的な対策が重要となる。中でも最も重要なのは、受け取ったメールを「疑ってかかる」ことだ。利用している銀行やクレジットカード会社のアドレスから送られてきたものだからといって簡単に信用してはならない。極端かもしれないが、すべてのメールがなりすましの可能性があるという前提で確認することが望ましい。
また、不審に感じた場合はセキュリティ情報サイトにて、なりすましやフィッシングメールの動向を確認するとよい。例えば、サイバーセキュリティ情報局ではフィッシング対策協議会の「フィッシング情報」を注意喚起として、その時点の危険なメールの情報を掲載している。あるいは、フィッシング対策協議会が発信している「緊急情報」などでも、フィッシングメールの流行状況をその都度確認することができる。
2)ツール搭載の機能の活用
・Webブラウザー搭載のアクセス遮断機能
主要なWebブラウザーであるGoogle Chrome、Microsoft Edgeなどでは、ユーザーがフィッシングサイトにアクセスしようとする際にアクセスを遮断する機能がある。例えば、Google Chromeの場合、図1のように画面が赤くなり、その先に危険が潜んでいることを通知してくれる。
・セキュリティソフト搭載のアクセス遮断機能
Webブラウザーのセキュリティ機能に頼るだけでなく、セキュリティソフトをインストールしておくことで、より安全性は高まる。提供事業者ごとに高性能なフィッシングサイト検出エンジンを有しており、例えばESET製品では、不審なサイトと思しき場合、図2のようにその動作自体をセキュリティソフトが遮断してくれる。
なりすましメールをはじめ、この手の詐欺手法は今後もより巧妙化・悪質化していくことが確実視されている。登場とともにメディアなどでも大きな話題となったChatGPTといった生成系AIも今後、悪用される可能性がある。
昨今のディープラーニングの進化により、すでにメール文面や件名は巧妙に作り込まれるようになっている。加えて、ChatGPTを用いることで、ユーザーと複数回のコミュニケーションを交わし、その中でより重要な情報を引き出されてしまうといったことも懸念される。
そのような場合、重要なのはやり取りしている相手の信頼性、実在性だ。メールを送った相手が本当にサービスを実施している企業・団体の窓口であることを確認することはもちろん、有名企業だからと安心しないようにしたい。例えば、先述のメールヘッダーの中には、送り主のメールアドレスとIPアドレスが一致するか、その企業・団体のドメインとIPは存在し一致することが証明できるか、といった情報が含まれている。くれぐれもメーラーに表示されている名前や名称だけでは安全かどうかを判別するのは危険という認識を持つ必要がある。
フィッシング対策協議会などでは、なりすましメールの対策として、Webサービスを提供する事業者に対して送信ドメイン認証技術(DMARC)の導入を促しているため、今後はこうした対応が浸透していくことが見込まれる。しかし一方で、こうした動きを見据えた攻撃手法が生み出される可能性も高いだろう。
重ね重ねとなるが、なりすましメールに騙されないために意識すべきポイントとして、まず求められるのはユーザーの意識・認識を変えることだ。メールをはじめとしたインターネット上でのコミュニケーションにおいては、ユーザーが常に注意を怠ってはならない。そして、何か不審な点を感じた場合は、別の手段でも確認することだ。メール以外の「正規の窓口」に自ら連絡を行うことで、攻撃者の罠に掛かる可能性は抑えられる。
ただし、人間の判断・行動が常に完全とは限らない。どのような人間にもミスはありうるという前提に立ち、セキュリティソフトなどのツールで補完することで安全性を高めるようにしておきたい。