フィッシング詐欺について考える
最近は神奈川県警がスマートフォンの決済サービスを不正利用した中国人グループを逮捕してパソコンを調べたところ、290万件のIDとパスワードと1億件のメールアドレスが保存されていて、フィッシング詐欺でパスワードを盗んでいたそうな。パソコンに慣れている人はフィッシング詐欺にひっかからないだろうけれど、最近はスマホしか使っていない人がフィッシング詐欺にひっかかっているようなので、注意を促すためにフィッシング詐欺の見分け方と対策について考えることにした。●フィッシング詐欺とは何かフィッシング詐欺とは実在するウェブサイトとそっくりなウェブサイトを作って、そのサイトに誘導するリンクを載せたメールをばらまいて、ログインパスワードを盗んでアカウントを乗っ取って不正にクレジットカードを使って買い物したりする詐欺である。例えばamazonにそっくりなデザインの偽サイトを作って、「会員情報の更新をしないとアカウントが停止されます」とかのメールを送ってリンクから偽サイトに誘導して、amazonだと信じた人がパスワードとIDやクレジットカード番号を打ち込むとその情報が盗まれる仕組みになっている。それで犯人グループは盗んだIDとパスワードを使って本物のamazonに不正アクセスして、クレジットカードを不正利用してゲームのシリアルコードとかのメールですぐに手に入れられる商品を買って、フリマでシリアルコードを相場より安く出品して即座に現金化している。フィッシング詐欺は他の詐欺とも関連していて、フィッシング詐欺メールに書かれたカスタマーサポートに電話をかけると偽サイトに誘導されるビッシング詐欺もある。フィッシング詐欺で銀行の口座情報を盗んだ場合はそのまま不正ログインして送金しようとしてもスマートフォン宛に送られるワンタイムパスワード認証ができないと送金できないので、SIMスワップ詐欺と呼ばれる手口で偽の身分証明書を作って本人に成りすまして携帯電話会社に連絡して不正にSIMを切り替えて認証して不正に送金している。私に届いたフィッシング詐欺メールは大半がamazonの利用確認、緊急の連絡、商品が出荷できない、ギフト券がアカウントに登録できないというメールで、たまに楽天カードやえきねっとやKDDIや住友銀行や横浜銀行やAppleやAmerican Expressやe-Taxを騙ったメールが届いた。amazonのマーケットプレイスで中古品を買った後にamazonで使っているメールアドレス宛にやたらとフィッシング詐欺メールが届くようになったので、そこからメールアドレスが流出したと思われる。2022年の9月から今までに合計100通以上のフィッシング詐欺のメールが届いていて、分析のために一応保管してある。●フィッシング詐欺メールの見分け方・メールアドレスを見る送信者名はいくらでも偽装できるので、送信者名よりもメールアドレスをみることが重要である。差出人のメールアドレスに「.cn」が含まれている場合はフィッシング詐欺である。「.cn」は中国のトップレベルドメインで、日本企業のドメインはほとんど「.jp」なので中国の「.cn」からメールを送ることはまずない。たいてい「support@service.asdfghjk.cn」みたいな適当な英数字の羅列のドメインの捨てアドレスなので、まともな企業からのメールではないとすぐにわかる。メールアドレスのドメイン偽装をして実在の組織のドメインを表示する場合もあって、その場合はメールアドレスだけでは判断がつかないので、他の部分を見る必要がある。例えば「noreply@rakuten.co.jp」のアドレスで楽天を騙るフィッシング詐欺メールもある。・メールのタイトルを見る「重要」「緊急のご連絡」「アカウント」「セキュリティ」「異常」「期限切れ」「停止」「失敗」「更新」「確認」「登録」などの単語がタイトルに含まれている場合は、注意をひいて何かの手続きをさせようとする意図があるので、フィッシング詐欺の可能性がある。期間限定ポイントの有効期限切れのお知らせとかのフィッシングでないメールの場合もあるので、タイトルだけでなく他の部分も見る必要がある。・メールの内容を見るてにをはが不自然だったり、「えきねっと」が「エキネット」と書かれたりして表記のぶれがあったり、フォントが変だったり、漢字が日本の漢字でなくて中国の漢字の場合はフィッシング詐欺である。日本語がわからない中国人が自動翻訳を使ってフィッシングメールを作っているので、不自然さに気づいていないのである。例えばe-taxを騙る詐欺メールは「あなたの所得稅(または延滞金(法律により計算した客勛 について、これまで自主的に納付されるよう催促してきま したが、まだ納付されておりません。」という文章で、「税」でなくて「稅」になっているし、「客勛」も意味が分からないし、「きま したが」と不自然な半角の空白もある。マイナポータルやe-taxとかの役所からのメールは「メッセージボックスにお知らせがあります」とかのメッセージがあることを知らせるだけでマイナンバーで認証してログインしてメッセージボックスを確認しないとメッセージの内容は見れないようになっていて、基本的に登録したメールアドレス宛に直接メッセージを送ってくることはないので、所得税の滞納金が云々という内容のメールは詐欺である。・リンク先のURLを見るフィッシング詐欺メールの目的はリンクを踏ませて詐欺サイトに誘導することなので、このリンクを踏まないことが一番重要である。リンク先のサイトのドメインが[.cn]の場合はフィッシング詐欺である。例えば「https://amazaon.co.jp.login.cn」や「https://eki-net.com.qwerty.cn」みたいな紛らわしいURLにするけれど、最後に「.cn」がついているので中国のフィッシング詐欺だとわかる。「.info」や「.top」や「.cyou」や「.vip」みたいなドメインも日本企業は使わないのでフィッシング詐欺である。メールアドレスのドメインとリンク先のドメインが違う場合もフィッシング詐欺である。表示されているURLと実際のリンク先が違う場合もフィッシング詐欺である。例えばhttps://plaza.rakuten.co.jp/sankakuneko/はこのブログのトップページのURLで、このURL自体は正しいけれど、実際は私のTwitterへのリンクになっていて、HTLMの基礎知識があればこういう偽装は簡単にできてしまう。パソコンだとリンクの上にマウスを移動するだけでリンク先のURLが表示されるのでわかりやすい。スマホの場合はAndroidのOSのバージョンによって違うかもしれないけれど、リンクをタップせずに長押しするとリンク先のURLが表示される。Gigazineの「見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法」という記事だとアルファベットの「i」に見えても実際はキリル文字だというパターンの偽サイトもあるようなので、パッと見てURLに問題がないからと言って偽サイトでないとは限らない。・コピペして検索するフィッシング詐欺メールは同じ内容のメールを大勢の人に送信しているので、メールアドレスやタイトルや本文の一部をコピペして検索するとフィッシング詐欺メールに注意を促すサイトに同じメールが載っていて詐欺だとわかる。ちょっとでも怪しいと思ったら検索してみるとよい。・メールヘッダ情報を見るメールヘッダ情報とは受信したメールがどこからどこを経由して届いたかの記録で、メールプロバイダごとにヘッダ情報を見るやり方が公開されている。このメールヘッダ情報の中のReceived-SPFの認証結果を見るとドメインが正当なのか詐称されているのかがわかるので、メールアドレスだけでは判別がつかない場合はメールヘッダ情報を見るのがよい。例えばe-taxを装ったフィッシング詐欺の「noreply@e-tax.nta.go.jp」から送られてきたメールのヘッダ情報では「Received-SPF: fail」となっていてこれは送信ドメインが詐称されている詐欺である。楽天を装ったフィッシング詐欺の「noreply@rakuten.co.jp」から送られてきたメールは「Received-SPF: softfail」となっていて、送信ドメインが詐称されている可能性があることがわかるので詐欺といえる。横浜銀行を装ったフィッシング詐欺の「info@boy.co.jp」から送られてきたメールは「Received-SPF: neutral」となっていて判別不可能だけれど、「X-Mailer: Supmailer」という情報からSupmailerという中国のメールソフトを使っていることがわかるので中国の詐欺だとわかる。アプラスを装ったフィッシング詐欺の「netstation@aplus.co.jp」から送られてきたメールは「Received-SPF: pass」で認証されているけれど、「Sender: aplns-co-jp@qrczaut.cn」という情報の「.cn」から送り手が中国にいて「X-mailer: Foxmail 6, 13, 102, 15 [cn]」という情報から中国のFoxmailというメールソフトを使っていることがわかるので中国の詐欺だとわかる。Recieved-SPFがfailかsoftfailならほぼ詐欺といえるけれどpassになっている詐欺メールもあったし、メールヘッダ情報はどこを見ればいいのかわかりにくいので、リンク先のURLを見る方が確実だと思う。・whois(フーイズ)でリンク先のドメインを調べるドメインが「.cn」ならフィッシング詐欺だとすぐにわかるけれど、「.com」の場合は判別がつきにくい。その場合はリンク先のURLをコピーしてwhoisというサービスでドメインを調べるとドメイン登録者の情報が見れるので、中国の企業がドメイン登録をしていたらフィッシング詐欺だとわかる。サイトのデザインをそっくりにすることはできてもドメイン登録者を偽ることはできないので、詐欺の確証がほしいときはwhoisでドメイン登録者の情報を調べるのが確実である。●フィッシング詐欺への対策・メールアドレスを使い分けるgmailだとサブアカウントをいくらでも作れるし、ヤフーメールだとサブアドレスを10個作れるので、銀行に登録しているメールアドレスと買い物に使うメールアドレスとSNSとかの認証に使うメールアドレスを分けておくと、銀行からの連絡とかの本当に重要なメールは特定のメールアドレス宛にしか届かなくなる。そうしたら買い物に使っているアドレス宛に銀行を騙るメールが届いたときにショッピングサイトから流出したメールアドレスを使ったフィッシング詐欺だとすぐわかるので、寝起きにぼんやりしながらメールを確認してうっかりフィッシングサイトに誘導されることもなくなる。特にAliexpressやSHEINとかの外国のショッピングサイトで買い物をするときにはそこで使う専用のメールアドレスを使って他と分けておくとよい。仕事用に使うメールアドレスにtaroyamada@xxx.jpとかの名前を含んでいる場合があるけれど、こういうメールアドレスは個人の特定の手掛かりになるのでショッピングサイトとかの私用では使わないほうがよい。・IDとパスワードを使い分けるメールアドレスだけでなくてIDとパスワードもサイトごとに違うものを使うと、もしどこかのサイトのIDとパスワードが流出したとしても他のサービスに不正アクセスされるのを防いで被害を少なくできる。名前や誕生日とかの個人を特定できる情報もIDやパスワードには使わない方が良い。・「.cn」を含むアドレスを迷惑メールに振り分けるたいていの日本人は日本のサービスしか使っていないので、「.cn」を含むメールが届くことは基本的にない。プロバイダーによっては自動で迷惑メールを判別して振り分ける機能や有料の迷惑メール対策サービスがあるけれど、そういう機能がないなら差出人に「.cn」を含むメールを迷惑メールとして振り分ける設定にすると大半のフィッシング詐欺メールは自動的に処理できる。・メール内のリンクをクリックしない何か問題が起きたというメールが来たときは、基本的にメールにあるリンクを踏まずにブラウザのブックマークに入れている公式サイトや公式アプリからサービスにアクセスするようにするとフィッシング詐欺サイトにアクセスせずに済むし、本当に問題が起きているのかどうかがわかる。例えばamazonの場合は「アカウントサービス」の「メッセージセンター」からamazonから送られてきたメールの一覧が見れて、宣伝以外の連絡のメールはそこに全部記録されているので、そこに乗っていないメールが届いたならamazonを騙るフィッシング詐欺メールだとわかる。フィッシング詐欺でなくてもポルノサイトにリダイレクトして「会員登録されました。入会金X万円をお支払いください」とかのメッセージを表示する詐欺をしたり、「.exe」のファイルへのリンクを貼ってマルウェアをダウンロードしたりする可能性もあるので、ITに疎い人がリンク先を確認しようとするのは危ない。・パソコンに詳しい知人に見せる高齢者とかでパソコンがよくわからない人は怪しいメールが届いたときに自分で何とかしようとするよりもパソコンに詳しい人に聞くほうがよい。ただし聞いた相手がパソコンに疎いとかえって騙されてしまうこともあるので、聞く相手は選ぶ必要がある。whoisを知っているレベルのITリテラシーがある人なら問題ないと思う。・詐欺の手口を知っておくどういう詐欺の手口があるかを知っておくだけでも騙されにくくなる。INTERNET Watchの「それってネット詐欺ですよ! 騙しの手口まとめ【解説記事一覧】」とかは参考になるかもしれない。・怪しいメールは無視するフィッシング詐欺メールにはアカウントが不正利用されているとかすぐに手続しないとアカウントを停止するとかの不安を煽って急かす脅し文句が書いてあることがあるけれど、別に放っておいても問題ない。詐欺グループは自動で大量に詐欺メールを送るプログラムを使っていて、「amazonプライム会員資格は1月1日に更新を迎えます」というフィッシング詐欺メールを送った翌日に「amazonプライム会員資格は1月2日に更新を迎えます」というメールを送ってくるくらい適当にメールを作っていて、詐欺グループはメールアドレスのリストを持っているだけで個人情報は把握していないし、反応しなければ相手がこちらの個人情報を知ることもない。郵便受けに怪文書がつっこまれた程度の事でしかないので変なメールが届いたからといって不安に感じる必要はなくて、ゴミとして捨てればいいだけである。ショートメッセージも同様で、運送会社の不在配達を騙るメッセージが来ても無視してよい。