「自分は騙されない」という人ほど注意、思わずクリックしてしまう「フィッシング詐欺」メールの巧妙手口
「○○からのお知らせ」など、実在する企業をかたった詐欺メールが後を絶たない。「またか」と感覚を鈍らせがちだが、決して侮ってはいけない。カードの不正利用や業務サーバーへの不正アクセス、ランサムウェア攻撃などは、多くが詐欺メールを発端としているからだ。 【写真を見る】宅配便業者を装った詐欺メール こうしたフィッシング詐欺は、知っている人間や関係者を装って相手をだますという点で、「オレオレ詐欺」などの特殊詐欺と本質的に同じものである。 そのため、多くの人が「自分は騙されない」と思っているところが曲者で、実際に騙された人は、騙されているときに自覚がない。あるいは疑念はあっても信じてしまっている。「騙されない」という自覚や警戒は必要だが、それで万全とは言えない。
■「フィッシング詐欺」の定義 フィッシング対策協議会(APC)のサイトでは、フィッシングを次のように定義している。 「フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト)に誘導し、そこで個人情報を入力させる手口が一般的に使われています」
つまり、現存する個人や企業になりすまし、ログイン情報やカード番号、暗証番号などの個人情報を誘導したサイトで入力させる。その後、得られた情報を使って、カードの不正利用やシステムのログインなどを行うのは2次的な攻撃であり、厳密には不正アクセス等に分類される。 例えば、宅配便業者や大手ECサイトを装うなど、相手を本物だと思わせて、ログインIDとパスワード、カード番号と暗証番号といった情報を盗み出す。これが基本的な手口で、個人情報を入手できた時点でフィッシングは成功となる。
システムやサービスのログイン(アカウント)情報は、公私を問わずあらゆる場面で必要になる。攻撃者から見れば、ログイン情報があればたいていのことはできてしまうので、苦労してプログラムの欠陥をついて侵入するより、表から堂々と中に入れて利用価値が高い。 ■どんなメールが届くのか フィッシングや詐欺メールの見極めは困難だと思ったほうがいい。以前のフィッシングメールは、本文の日本語がおかしかったり、日本語フォントではない漢字が交ざっていたり、見るからに怪しいメールだった。