セールスセンター2022.04.07
なぜ見破れないのか?迷惑メールの最新手口を徹底解説
近年の迷惑メールは、手口が巧妙化しており、なかなか見破ることができません。一方で、フィッシング詐欺や架空請求詐欺・個人情報の窃取・ウイルスの感染など、被害の範囲が拡大しています。迷惑メールから身を守るためには、どのような点に着目すべきなのでしょうか。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長(44歳)と新人セキュリティ担当の石塚さん(24歳)の会話から、迷惑メールの最新手口や対策について学んでいきましょう。
1. 迷惑メールの概要と種類、被害の例
最近、スマートフォンのSMSで怪しいURLが添付されたメールが届くんですよね…。これって迷惑メールですよね?
どれどれ…ああ、これは怪しいね。スマートフォンユーザーが増えたことでSMS(ショートメール)の迷惑メールが増えているみたいだね。しかも、メールに記載されているURLの先は結構クオリティが高い偽サイトだったりする。あ、URLはタップしちゃだめだよ。
危うく触るところでした!このメールもそうなんですけど、一瞬「あれっ?」って思うようなよくできたメールなんですよ。
携帯料金の支払期日や請求内容の確認など、実際の生活で起こりうるような連絡だけに、勘違いしがちだよね。
そうなんです。たまたまネットショッピングした直後とかに迷惑メールが届くこともあって、タイミング的に本物だと思ってしまいそうになることも…。
タイトルや本文が本物そっくりなうえ、ハイパーリンクでURLを非表示にされると、ITやサイバーセキュリティの専門家でない限り気づかないのも無理はないかもしれないなあ。
だれでも見破ることができる方法ってあるんですか?
うーん…100%見破ることは難しいかもしれないね。でも、迷惑メールに関する基本的な知識や最新の手口を知ることで、リスクを小さくすることはできるよ。順番に解説していくね。
近年の迷惑メールは、PCだけでなくスマートフォンのSMS(ショートメッセージ)も対象にしています。タップするだけで架空請求やフィッシングの被害につながる可能性もあるため、手口を知っておくことが重要です。
迷惑メールとは?
迷惑メールとは、偽のタイトルや本文などを記載し、受信者の意図に関係なく送り付けられるメールの総称です。
出会い系サイトやアダルト系サイトへ誘導したり、特定のサービス・商品の購入を促したりする「広告宣伝メール」は、迷惑メールの代表格といえるでしょう。そのほかにも、本来支払う必要のないお金を請求してくる「架空請求メール」、有名企業や官公庁などになりすまし個人情報を抜き取ろうとする「なりすまし・フィッシングメール」、コンピュータウイルスの感染拡大を目的とした「ウイルスメール」などがあります。
迷惑メールによる被害の例
迷惑メールによって引き起こされる被害には、おもに以下のようなものがあります。
さらに多くの迷惑メールが送られる
迷惑メールに添付されたURLにアクセスすることで、送信者に反応が伝わり、さらに多くの迷惑メールが送信されることがあります。
架空請求が続き身に覚えのないお金を支払う
ハイパーリンクに記載されているURLからさらに別のWebサイトに飛ばされ、意図せず有料サイトに登録してしまうという被害も少なくありません。
有料サイトを一切利用していない場合でも、本来支払う必要のないお金を請求され、支払ってしまうケースが散見されます。
重要な個人情報を抜き取られる
さらに、なりすまし・フィッシングメールでは、公式サイトを模した偽のログイン画面にログインすることで、銀行やECサイトなどのアカウント情報を抜き取られてしまう被害が多発しています。
また、ウイルスに感染することでスマートフォン本体に保存されたネットバンクのアクセス情報を抜き取られ、不正アクセスを許してしまうこともあります。
単に迷惑メールがたくさん届くだけではなくて、経済的なダメージを負うリスクもあるんですね。想像していた以上に深刻な被害が多くて驚きました。
そうなんだ。特にスマートフォンは、移動中や隙間時間など、よく考えずに操作してしまいがちなシーンが多いからね。被害にあわないためにも、最新の手口も覚えておこうか。
2. 迷惑メールの最新手口法
迷惑メールの手法は日々巧妙化しています。ここでは、最新手口について見ていきましょう。
「著作権に関する警告」を騙ったSMS
SNSを騙るメールからフィッシングサイトへ誘導し、ログイン情報を盗むといった手口があります。そのほかにも、SNSの運営を装ったメールでユーザーに著作権に関する警告を発してアカウントの削除を要求し、その後メールに記載された異議申し立てフォームにログイン情報を入力させてアカウントを乗っ取る、といったケースもあります。
「緊急」「お詫び」「不正アクセス」を騙ったSMS
まず、「緊急を要する連絡」や「不正アクセスの連絡」「お詫び」というタイトルで、SMSが送られてきます。SMSに記載されたURLをタップすると偽サイト(フィッシングサイト)へ誘導され、ログイン情報やパスワードの入力を求められます。ここでログイン情報を入力してしまうと、送信者にログイン情報が伝わり、アカウントが乗っ取られるという仕組みです。
この手口では、宅配業者や大手携帯キャリア、フリマアプリ運営会社、クレジットカード会社などを騙るSMSが多いことが特徴です。
また、同じようなタイトルで偽アプリのインストールを促し、スマートフォンへウイルスを感染させる手口も存在します。ウイルスに感染したスマートフォンは、利用者が知らないうちに第三者へウイルス感染のためのSMSを送信し、徐々に被害が拡大していきます。
出典:「年末年始における情報セキュリティに関する注意喚起」(IPA)
https://www.ipa.go.jp/security/topics/alert20181220.html
ビジネス上のやり取りを装いウイルス拡散
PC向け迷惑メールの手口としては、「過去のビジネスメールのやり取りを流用して業務上の連絡であると誤信させ、添付ファイルの開封を促す」というものがあります。添付ファイルにはマクロウイルスが仕込まれており、業務用アプリを介して感染が拡大するという仕組みです。
また、近年話題になったマクロウイルス「Emotet」のように、通常の業務データと見分けがつきにくいケースもあります。
▼マクロウイルスについては、こちらの記事で解説しています。
マクロウイルスはなぜすり抜ける?感染経路と対策方法を解説
受信者に「これは大切なメールだ」と誤信させるような手口が多いですね。
そこが最新手口のやっかいなところだね。不正アクセスに使う情報を、偽の不正アクセス報告で収集するなど、かなり巧妙だよね。また、ビジネス上のやりとりを流用するメールなどは、日常業務のなかで流れ作業のように開いてしまうこともあるし、すぐには気づきにくいものだよね。
これでは何も信じられなくなってしまいそうです。
そこまで気を病まなくても大丈夫。迷惑メールの被害を防ぐには、いくつかのポイントがあるんだ。ポイントをおさえておけば被害にあう確率をかなり下げられるから、しっかり把握しておこう。
3. 迷惑メールの被害にあわないために
最後に、迷惑メールの被害を防ぐための以下のポイントについて解説します。
URLはすぐにタップしない
URLやハイパーリンクはすぐにタップせず、送信元アドレスとドメインを入念にチェックしましょう。また、公式サイトへのログインを促された場合は、SMS内のURLからではなく、必ず公式サイトから直接ログインすることを習慣づけましょう。
セキュリティソフト、多段階認証の活用
迷惑メール対策機能(スパム対策機能)を持つエンドポイントセキュリティの導入も検討したいところです。過去の迷惑メールのデータをもとに、迷惑メールの判定を行ってくれるため、業務メールに紛れたウイルスメールの開封を防ぐことができます。
また、ランダムに発行されるワンタイムパスワードを用いた二段階認証など「IDとパスワード以外の認証情報」を持つこともおすすめです。ログインのたびに異なる情報が必要になり、送信者にアカウントを乗っ取られるリスクを低減することができます。
公式サイトからの情報収集
SNSやEC運営企業、大手携帯キャリアなどから発信されている迷惑メール情報を常にチェックするようにしましょう。公式サイトを騙った迷惑メールを見抜くための知識やきっかけに触れるよう意識することで、リスク軽減につながります。
なるほど、確かにこの3つをしっかり続ければ、迷惑メールの被害にあうリスクはかなり減らせそうですね。
大切なのは、これら3つの対策を並行して行うことなんだ。日本史の「3本の矢」の話のように、複数の対策を同時に行うことでより強い対策になるからね。そのうえで、ニュースや新聞などでも最新の手口に関する情報を継続的にチェックしていこう。
4. まとめ
迷惑メールの手口は日を追うごとに巧妙化しており、100%見破ることは難しいのが実情です。スマートフォン、PCともにセキュリティソフトの導入を基礎としつつ、多段認証や継続的な情報収集など、複合的な対策を続けていきましょう。