「フィッシングにご注意」のメールが詐欺だった！対策はあるのか

　「フィッシング詐欺」とは、実在する組織になりすましたメールやSMSを送り付けて、ユーザーを偽のサイト（フィッシングサイト）に誘導し、IDやパスワード、クレジットカード情報や暗証番号などの個人方法を詐取する行為のことを指します。

　フィッシング詐欺の件数は増えているようです。フィッシング対策協議会が毎月公開している、海外を含むフィッシングの報告件数の報告資料によると、2024年10月は18万1,443件が発生し、これは“過去最高”の数値だったといいます。続く11月も17万8,593件で、2024年では10月に次ぐ高い数値でした。

月別のフィッシング報告状況（海外を含む）
フィッシング対策協議会 2024年11月の月次報告書より引用

　特に多かったのが、通販大手「Amazon」を騙ったフィッシングで、報告数全体の約22.9%を占めました。このほかJCB、マスターカード、えきねっと（JR東日本の予約サイト）、PayPayのフィッシングも多く、これらを合わせると全体の約57.1%を占める結果となりました（数値はすべて2024年11月の報告より）。

　こうした詐欺メールか正しいメールかを見分けるポイントのひとつに、「件名」があります。特に多く見られるのが、急いでログインを促すような内容の件名です。

　一般財団法人日本データ通信協会が運営する「迷惑メール相談センター」のサイトで公開されている、Amazonを騙った詐欺メールの件名でも、「【重要】支払い方法の承認が必要です - お早めに手続きをお願いいたします」「【緊急】Amazon注文を出荷できません」といったように、急な対処を求めるような件名が見られます。

　このほか、「えきねっとアカウントの自動退会処理について」「【U-NEXT】アカウント保護のためのご対応をお願いします」といったような、アカウントの確認を求める件名も多く見られます。

　もっともらしい内容に見えますが、これらはいずれも実際のサービスとは無関係です。たとえばえきねっとでは、自動退会について事前に知らせるメールは、2022年3月以降は一切配信しておらず、全て偽メールであると発表しています。U-NEXTでも、公式のお知らせを装ったフィッシングメールが送られている旨の注意喚起を行っており、メール内のリンクを開く前に、URLを確認することをユーザーに求めています。

　しかし最近では、一目ではフィッシングとは気付きづらい件名の詐欺メールも登場しています。

　フィッシング対策協議会が10月に公開した「アイフルをかたるフィッシング」というページによると、消費者金融「アイフル」を騙った詐欺のメールの件名のひとつに、「【緊急のお知らせ】アイフルを装ったフィッシング詐欺の確認について」という文面が使われているといいます。

　一見すると、アイフルがフィッシング詐欺に対して注意を促すという、好意的なメールのようにも思えます。しかし、同メールは実のところはフィッシング詐欺であり、メール内に記載されたURLをクリックすると、偽のアイフルのサイトへと誘導され、IDとパスワードを誤って入力することで、個人情報が盗み取られてしまう恐れがあります。

　迷惑メールセンターでも、同様の詐欺メールが報告されており、クレジットカード会社の「アメリカン・エキスプレス」を騙った詐欺メールにて、件名に「【American Express】悪質なフィッシング詐欺からアカウントを守るために」といった文言が使われているといいます。同センターでは、メール内のURLがフィッシングサイトへの誘導の可能性が高いとして、絶対にクリックしないことを呼びかけています。

　同センターによればこのほかにも、「○○カードセキュリティ通知を確認してください」「○○○カードセキュリティ通知のご案内。」「【重要なお知らせ】○○○ペイからの重要なセキュリティ更新」といった、セキュリティに対する確認を促す詐欺メールが多数送られているといいます。

　これらのメールは、まるで詐欺からユーザーを守るような件名であるにもかかわらず、実際にはこのメール自体が悪質なフィッシング詐欺という、非常に手の込んだ内容となっています。普段からフィッシング詐欺に対して注意を払っている人も、こうした件名を目にしたら、ついうっかり引っかかってしまいそうです。

　詐欺メールの“嘘”は、できれば自分で気付き、フィッシングを未然に防ぐのが理想です。とはいえ、フィッシング対策協議会でも「最近のフィッシングサイトはとても精巧に作られているため、見分けることは非常に困難」としており、一度も引っかからないというのは、簡単なことではないかもしれません。

　ただし、対策は存在します。同協議会ではそのひとつとして、メールから目的のサイトに遷移するのではなく、ブラウザのブックマークやスマートフォンの公式アプリからアクセスするのが良いとしています。たとえ詐欺メールを開いたとしてもリンクを踏まなければ、フィッシングサイトへ遷移することはありません。

　もし詐欺メールに騙され、フィッシングサイトでIDやパスワードを入力してしまった場合、同協議会ではすぐにパスワードやIDを変更し、場合によっては、不審なログイン履歴や利用履歴がないか、サービス事業者のサポート窓口などに相談することも勧めています。さらに、クレジットカード番号を入力してしまった際は、すぐにカード会社の紛失・盗難窓口へ連絡し、カードの利用停止とカード再発行の手続きを行うべきとしています。

　フィッシング詐欺の手口は日々進化しており、有名なサイトからのメールになりすますだけでは飽き足らず、有名なサイトによるセキュリティ警告に擬態するところまで及んでいます。騙されないようにするためには、携帯電話会社やITベンダーが展開しているような迷惑メールフィルターを導入するなど、そもそも偽メールを開封しないような対策が求められるでしょう。

※本記事に掲載されている情報は2024年12月時点のものです。