偽メールにご注意ください
最近、大手サイトでサイト運営者等を騙ってメールに記載されているURLにアクセスさせようとするメールが多数送信されているとの情報があります。
メールに記載されているリンクを開くと、正規のWebサイトと見た目が全く同じな偽サイトが開き、IDやパスワード等を入力するよう要求されます。 ここで入力してしまうと、偽サイトの運営者等アカウント情報を盗もうとしている人に、IDやパスワードなどがわたってしまいます。その後、入手したIDやパスワード等を利用して、不正な取引等を行い、収益を得ようとします。
このような被害を受けないようにするためには、偽メールを見分ける必要があります。ここでは不審なメールに共通する特徴、そして不審なメールの対処法などを掲載していきます。
現在のところ、当サイトをターゲットとしたこのような不審なメールが送信されているといった情報はありません。しかし、今後もないとは言い切れません。当サイトも今後このような不審なメールのターゲットにされます。
始めに知っておきたい情報
多くのサイトでは、以下のようなことは行っていません。そのため、以下のようなことを要求してきた場合は、偽メールであると警戒する必要があります。
- 何らかの問題が発生したとして、URLにアクセスさせ、あらかじめ正規サイトでログインした状態にもかかわらず再度ログインを要求すること
- システム障害が生じたとして、正規サイトに掲載されていない正規サイトとは異なるURLにアクセスさせ、IDやパスワードを入力させる行為。
- 要求していないにもかかわらず、すでにサービスで利用しているメールアドレス宛にメールアドレスの確認メールが送信されてくること。これはメールアドレスの誤入力で送信された可能性もあるが、その場合であってもリンクを開く必要性はないため、偽メールと同様に処理することが望ましい。
上記のメールは、いずれも偽メールで使用される手口です。正規サイトに見せかけるために、上記のようなあたかも正規サイトがやっていそうなことを本文にして、リンクにアクセスさせようとします。 ただし、多くの場合は、正規サイトでは行っていないことです。まれに正規サイトでも送信されているメールに見せかけた偽メールもありますので、正規のメールと似ているからといって偽メールではないと判断するのは危険です。
一部のサイトでは、以下のようなことを実施し、偽メールとの判別を支援する材料としていることもあります。
- 電子署名がついたメール。これにより本文が改ざんされていないこと、正規の送信元から送信されたことが容易に確認できます。
- メールに送信番号を付与し、正規サイトにも同様の送信番号を表示する。これにより正規サイトから送信されたメールであり、偽メールではないことが確認できます。
ただし、上記の対策も万全ではない点注意が必要です。たとえば偽メールに一見正規に見える偽の電子署名をつけるといったことも可能です。したがって上記があるからOKではなく、上記が正しく設定されているかを確認する必要があります。
不審なメールの特徴
不審なメールには多くの特徴があります。それらを一覧にしていきます。
不自然な日本語
普段運営元から送信されるメールと明らかに異なる不自然なメールが来た場合、それはおそらく偽メールです。
偽メールの中には、明らかに機械翻訳で作成したメールが多数あります。そのようなメールは日本語が不自然など、おかしな部分が多数あります。少しでも言葉遣い等がおかしいと思ったら偽メールだと疑うようにしましょう。
しかし、正規のメールでもたまに言葉遣い等がおかしくなることもありますし、最近の偽メールの送信者は自然な日本語となるように努力しているようです。そのため、自然な日本語だからといって正規メールであると限らないのが実情です。日本国内で作成される事例もありますので。
HTMLメール
普段テキストだけで色や書式などがないメールを送信するサイトが突然色や画像・書式などを使い始めた場合、それはおそらく偽メールです。
また、普段はURL以外の部分にリンクがないにもかかわらず、突然URL以外の部分にリンクを貼ってきた場合も、偽メールの可能性があります。
しかし、正規メールでも普段からHTMLメールを使用するところはありますし、偽メールでもHTMLメールを使わない場合や、HTMLメールに見えないメールを送ることもあります。
表示のURLと実際にアクセスするURLが異なる
本文中に記載されているURLと、そのURLにマウスカーソルを合わせた際に表示されるURLが異なる場合は、偽メールの可能性が非常に高くなっています。
これは、本文中に表示されるURLを正規のものにして、利用者を信用させつつ、実際には偽のサイトにアクセスさせる手法で、最近の偽メールで良く使われる手法です。
ただし、正規メールでもまれにクリック数集計などの目的でこのような手法が使用されている場合があります(例:Twitterからのメールなど)。また、偽メールによってはこのような手法を使わない場合もありますので、注意が必要です。
上記は代表的な偽メールで使われる手法です。上記の特徴があるからと言って100%偽メールとは限らないのですが、偽メールである可能性が高いので注意が必要です。 また、上記に当てはまらないものが100%偽メールでないという保証もありません。偽メールの送信元も考えていますので、より自然な、正規メールと間違えやすい偽メールを送信する可能性は十分考えられます。
正規メールを見分けやすくするための対策
サイトの運営者によっては、正規メールと偽メールを見分けやすくするため、以下のような対策を行っている場合があります。
電子メールへの電子署名の付与
電子メールに電子署名を付与することで、正規の送信元から送信されたメールか、メールの内容が改ざんされていないかを確認することができます。
これを正しく確認すれば、運営者以外がサービス運営者になりすますことは極めて困難になります。
ただし、電子署名が有効であるかを確認しない場合や、確認した場合でも正しい方法で確認していない場合は、偽メールの被害にあう可能性があります。
電子署名の正しい確認方法は、サービスの運営者にご確認ください。
電子メールへの送信番号の付与および正規サイトでの照合機能
電子メールごとに異なる送信番号を付与し、正規サイトにで照合することで、正しい内容の電子メールかを確認する機能がついている場合があります。
これを使うことで、要求した電子メールと近い時間に送信された偽のメールを見分ける大きな材料とすることができます。
ただし、この機能は正規サイトに間違いなくアクセスすることができないと効果が発揮されない点注意が必要です。確認サイトも偽装されることがあるからです。
上記対策により、多くの偽メールを判別することができます。ただし、正しく使わないと効果がありませんので、正しい使い方を確認しておくことが重要です。
偽メールと思われるメールを受信した場合
もし、偽メールと思われるメールを受信してしまった場合は、以下のような対応を行ってください。
メールのURLやリンク・添付ファイルは開かない・メールに返信しない
ほとんどの偽メールは、メール内のリンクを開かせることが目的になっています。したがって、メールのリンクを開かなければ、被害はないパターンが多いです。
偽メールによってはリンクの代わりにメールへの返信や添付ファイルを開かせることにより個人情報の収集やPC等への攻撃を行うこともあります。添付ファイルは開かず、メールへの返信もしないようにしましょう。
また、差出人と件名だけで偽メールと判断した場合は、本文は開かないことをお勧めします。メールによっては本文を開くだけでPCに損害を与えたり、個人情報を収集したりするものも存在するからです。
利用したことのあるサービスの場合、以前から知っている連絡方法で運営者に連絡する
もし、利用しているサービスに関する偽メールでしたら、メールにかかれている連絡先ではなく、以前利用したときに確認した連絡先(利用開始時のマニュアルやブラウザの履歴等にある連絡先)にこのメールについて問い合わせるようにします。
仮に正規のメールであれば運営者からその旨返答がありますし、偽メールであれば利用者に向けての注意喚起や偽メールのリンク先サイトの閉鎖、今後の対応方法について助言を得られる可能性があります。
連絡先がわからない場合、運営者の正規のホームページを該当メール以外の方法(ブラウザの履歴やブックマーク・あるいは有名サイトであれば検索サイト)で開き、そこから連絡先を探します。決してメールにかかれている連絡先に連絡しないでください(正規サイト等に記載されている連絡先と同じ連絡先だった場合を除く)。
利用した覚えのない場合はメールを無視する
以前から全く利用した覚えのないサービスからのメールだった場合、このメールを無視します。こうすることで2次被害を防ぐことができます。
もし、明らかに偽メールとわかるもので、通報したいという場合はフィッシングメール等の通報窓口へ通報することもできます。こうすることでほかのユーザーへの注意喚起や、偽メールのリンク先サイトの閉鎖などへつなげることができます。
まとめ
以下のようなメールは、偽メールだと考えられます。ただし、以下の特徴がないメールが偽メールではないという保証はありません。
- 不自然な日本語のメール
- 普段はテキストメールなのに、今回だけHTMLメールで送られてきた
- 本文中のURLと開くURLが全く違う
偽メールを受信した場合、以下の対応を行います。
- メールのURLやリンク・添付ファイルは開かない・メールに返信しない
- 利用したことのあるサービスの場合、以前から知っている連絡方法で運営者に連絡する
- 利用した覚えのない場合はメールを無視する
サービスによっては、以下の方法で正規メールを見分ける材料としていることがあります。ただし正しい使い方をしないと偽メールを正規メールだと思ってしまう危険性もあります。
- 電子メールへの電子署名の付与
- 電子メールへの送信番号の付与および正規サイトでの照合機能
最近は偽メールにおける金銭被害が多発しており、偽メール対策は急務となっています。偽メールは絶対に来ない、偽メールには絶対に騙されないと思っている人こそ、対策が必要です。 最近の偽メールはとても巧妙化しています。これまでの事例を研究してより騙されやすい偽メールを作成してきます。少しでも怪しいと思ったらまずは運営者に確認しましょう。
なお、このページは主にメールに関する注意喚起をしました。 ほとんどの場合はメールを見分けることで被害を食い止めることができますが、メールから開いたページも本物と偽物を見分けるポイントがあります。メール以外で個人情報を取得する事例もあるため、この見分けるためのポイントも知っておくことはとても重要です。