思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

フィッシング詐欺は、知っている人間を装って相手をだますという点で「オレオレ詐欺」などの特殊詐欺と本質的には同じだ（タカス / PIXTA）

「○○からのお知らせ」など、実在する企業をかたった詐欺メールが後を絶たない。「またか」と感覚を鈍らせがちだが、決して侮ってはいけない。カードの不正利用や業務サーバーへの不正アクセス、ランサムウェア攻撃などは、多くが詐欺メールを発端としているからだ。

【写真を見る】宅配便業者を装った詐欺メール

こうしたフィッシング詐欺は、知っている人間や関係者を装って相手をだますという点で、「オレオレ詐欺」などの特殊詐欺と本質的に同じものである。

そのため、多くの人が「自分は騙されない」と思っているところが曲者で、実際に騙された人は、騙されているときに自覚がない。あるいは疑念はあっても信じてしまっている。「騙されない」という自覚や警戒は必要だが、それで万全とは言えない。

「フィッシング詐欺」の定義

フィッシング対策協議会（APC）のサイトでは、フィッシングを次のように定義している。

「フィッシング （Phishing） とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト （フィッシングサイト）に誘導し、そこで個人情報を入力させる手口が一般的に使われています」

つまり、現存する個人や企業になりすまし、ログイン情報やカード番号、暗証番号などの個人情報を誘導したサイトで入力させる。その後、得られた情報を使って、カードの不正利用やシステムのログインなどを行うのは2次的な攻撃であり、厳密には不正アクセス等に分類される。

例えば、宅配便業者や大手ECサイトを装うなど、相手を本物だと思わせて、ログインIDとパスワード、カード番号と暗証番号といった情報を盗み出す。これが基本的な手口で、個人情報を入手できた時点でフィッシングは成功となる。

システムやサービスのログイン（アカウント）情報は、公私を問わずあらゆる場面で必要になる。攻撃者から見れば、ログイン情報があればたいていのことはできてしまうので、苦労してプログラムの欠陥をついて侵入するより、表から堂々と中に入れて利用価値が高い。

どんなメールが届くのか

フィッシングや詐欺メールの見極めは困難だと思ったほうがいい。以前のフィッシングメールは、本文の日本語がおかしかったり、日本語フォントではない漢字が交ざっていたり、見るからに怪しいメールだった。

最近のフィッシングメールは、多少稚拙な文面でも、ありがちなシチュエーションを利用することも多く、専門家でも簡単に見分けられるものではない。よくあるのは、宅配便の不在通知を装ったものだ。