迷惑メール(スパムメール)とフィッシングメールの違いをご存知でしょうか?ガラケーが主流だった2000年代には、迷惑メールまたはスパムメールが無差別に大量に送信され、主に宣伝や広告を目的として出会い系やマルチ商法などに誘導する行為がありました。
昨今、手口として多く主流となっているのが、フィッシングメールによる詐欺行為です。フィッシング(phishing)メール詐欺とは、送信者(送信元)を詐称したメールを送りつけ、偽メールから偽ホームページに誘導し、ユーザIDやパスワードなどのアカウント情報やクレジットカード番号などの重要な個人情報を盗み出すための行為です。
フィッシングの語源は諸説ありますが、魚釣り(fishing)と洗練された(sophisticated)から作られた造語です。
スパムメールは広告や宣伝を目的とした手口に対し、フィッシングメールはメール受信者に対して何らかの詐欺行為を目的としたメールです。フィッシングメールは実在するクレジットカード会社、ECサイトや銀行の名前を騙ったものがあり、メール本文中のURLをクリックさせようとします。
(例:フィッシングメールの件名)
メールに記載のURLをクリックすると、IDやパスワードの入力を求められる、偽のサイトに誘導されます。
IDやパスワードを入力してしまうと、正規のサイトに保存されている個人情報を盗まれる可能性があります。
利用者向けフィッシング対策ガイドラインなどを策定する「フィッシング対策協議会」では、フィッシングの報告状況をとりまとめ公開しています。
直近の報告状況では、月当たりのフィッシング報告件数は、約89,000件となっており、1年前から比較すると約2.6倍に増えています。
JSSEC 技術部会が「スマートフォン・サイバー攻撃対策ガイド」をまとめ公開していますので、フィッシングメール詐欺の手口について詳しく理解することができますので参考にしてみてください。
フィッシング詐欺には、スミッシング(SMS+フィッシング)という手口も存在します。これはSMSを使ったフィッシング詐欺から、スミッシング(Smishing)と呼ばれており、主に「お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。配送物は下記よりご確認ください。」というように正規な会社を装ったSMSを送信し、メッセージに記載のURLから、実在する正規サイトとそっくりなフィッシングサイト(偽サイト)に誘導し、マルウェアのダウンロードやID情報やクレジットカード情報などを搾取する詐欺となります。
このスミッシングは、スマートフォンを狙ったもので、多く利用されている手口です。スミッシングについても「スマートフォン・サイバー攻撃対策ガイド」で詳しく解説していますので、参考にしてみてください。
フィッシング対策協議会は、普段からログインを促すようなメールを受信し、IDやパスワード、クレジットカード情報などの入力を要求された場合は
入力する前に一度立ち止まり、正規のアプリやブックマークしている正規のサイトからログインして情報を確認するように注意を促しています。
フィッシング詐欺の手口は巧妙化していますので、IDやパスワードなどの個人情報を入力するように求めるメールについては、直接URLをクリックせず正規アプリやブックマークから正規サイトにログインして確認するようにすることが大切です。