「自分は騙されない」という人ほど注意、思わずクリックしてしまう「フィッシング詐欺」メールの巧妙手口
最近のフィッシングメールは、多少稚拙な文面でも、ありがちなシチュエーションを利用することも多く、専門家でも簡単に見分けられるものではない。よくあるのは、宅配便の不在通知を装ったものだ。 荷物の受け取りに身に覚えがなければ不審に思う内容だが、たまたま頼んでいたものが届く予定があれば、この内容でいとも簡単にだまされてしまう。 ほかにも有名リゾートホテルやテーマパークのチケットの当選を装ったもの。ECサイトや動画サイトのアカウントを無効化するというもの。クレジットカードの不正が確認されたとするもの。これらは典型的なフィッシングメールといってよい。
こうした不特定多数に同一文面でメールを送りつける「ばらまき型」がフィッシングメールの基本だが、この対極にあるのが「スピアフィッシング」と呼ばれる手法だ。 スピアフィッシングとは、メールなどの文面が特定の相手、特定の企業・業種を狙ったフィッシングだ。文面にも標的の個人名や会社名、差出人の個人名や組織名が記載され、内容も業界内部のやりとりになっている。 例えば、親会社・得意先、業界団体・学会からの連絡、所轄省庁からの連絡などを装って、「担当部署の変更」「業界に法改正や新しい規制が導入された」といった文面でだましにかかってくる。
2022年のロシアによるウクライナ侵攻では、その前後にロシア側からと思われるフィッシングメールなどが、電力事業者や金融業界関係者に送られている。その後、プロパガンダを目的としたスピアフィッシングメールが、EU圏のウクライナ語話者に送られたことも確認されている。 本来、フィッシングメールは、大量のアカウント情報を入手することが目的である。ピンポイントで狙うスピアフィッシングは効率がよくないが、対象の個人や属性に価値があれば有効だ。
■最新の事例や手口は対策事業者のサイトを活用 注意しなければならないパターンは、ほかにもある。SNS、ゲームなどのアカウントを凍結する、税金や補助金の還付をかたるフィッシングも定番だ。地震や豪雨などの災害、大きなニュースの直後は義援金・寄付を募るパターンもある。 フィッシングの例は、枚挙にいとまがない。文面や事例も社会情勢や出来事にあわせて変化する。特定の事例を示してもすぐに古くなるので、文面の事例については、都度、ニュースなどを確認して認識をアップデートしておく必要がある。