詳しい人でもだまされる？　スマホを狙った「フィッシング詐欺」の手口と対策

写真 宅配業者を装ったSMS

　スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール（ダイレクトメール）が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。

【その他の画像】

　ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。

　「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。

●個人情報をだまし取る

　総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。

　フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のサイトに接続させたりするなどの方法で、クレジットカード番号、アカウント情報（ユーザーID、パスワードなど）といった重要な個人情報を盗み出す行為のことを言います。

　「フィッシング詐欺を行うための電子メール」が、いわゆるフィッシングメールというわけです。

　フィッシングメールの目的は、本家を装った偽のサイト（フィッシングサイト）に誘導し、個人情報やユーザーID、クレジットカード番号、セキュリティコード、パスワードなど決済に関係する情報をだまし取ること。

　情報をだまし取った詐欺師は、クレジットカードの限度額いっぱいまでキャッシングでお金を引き出したり、決済情報とリンクしたECサイトの利用者住所を自分のものに変更した上で買い物をしたりするなど、情報を不正に使用します。買ったものは、フリマアプリなどを使い、転売して現金化することで利益を得ます。

　フィッシング詐欺に遭ってしまった人は、気づいたら身に覚えのない請求書が届くという悲惨な境遇に陥ってしまうのです。

●緊急性の高さを装う

　「フィッシング詐欺に自分が引っ掛かるわけがない」とほとんどの人は考えることでしょう。筆者もそう考えていました。

　ところがあるとき、次のような文面のメールが届きました。

日頃より「えきねっと」をご利用いただきありがとうございます。

「えきねっと」は 2022年5月06日にサービスをリニューアルいたしました。これに伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算して2年以上「えきねっと」のご利用（ログイン）が確認できない「えきねっと」アカウントは、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退会処理を、本規約に基づき、2022年5月20日より順次、実施させていただきます。

2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、2022 年6月20日よりも前に、一度ログイン操作をお願いいたします。

⇒ログインはこちら

※えきねっとトップページ右上のログインボタンよりログインしてください。

　「そういえば、最後に使ってから2年たったかも。コロナ禍も落ち着いて、大阪や名古屋方面の取材があるかもしれないから、早めにログインしておかなくちゃ」と危うくクリックしそうになりました。しかし、落ち着いて考えてみたら、登録しているものとは異なるメールアドレスに届いていますし、2年間利用していなかったため、2021年中に自動退会させられていたのです。

　フィッシング詐欺について知っていて、どちらかといえば啓もうする立場にある筆者でさえ焦ってしまったのです。

　ここからは、フィッシング詐欺にだまされないようにするいくつかの方法を紹介していきます。

●送信者のメールアドレスをチェックする

　フィッシングメールでは、送信元を詐称します。例えば、上に挙げたメールは、送信者が「eki-net.com」となっていますが、送信者情報にはeki-net.comとは異なるドメインが表示されました。PCのメーラーであれば、送信者名とメールアドレスの両方を表示するので間違えることはありませんが、スマートフォンの場合は一見すると分かりにくいので注意が必要です。

　SMSに届いたものでもチェック方法は基本的に同様ですが、電話番号が送信元になっていることもあります。

　ドライバーの電話番号を連絡先に入れていない限り、見破るのが難しいと考えるかもしれません。しかし、電話番号で検索すれば、ほとんどの場合、フィッシングメールであるかどうかを判別できます。

　ただし、送信元メールアドレスを偽装することもできるため、必ずしもチェックすればすべてOKというわけではありません。PCのメールアプリであれば、表示されているメールアドレスのドメインと実際の送信元ドメインが一致しているかを判別する「メールヘッダー情報」を確認できますが、ヘッダー情報も偽装できるため万全の対策ではありません。また、多くのスマホメーラーではメールヘッダー情報を閲覧できません。そのため、以下に記載した項目もチェックしてみてください。

【更新：2022年6月27日16時30分 送信元メールアドレスを偽装できる件について追記いたしました。】

【更新：2022年6月28日18時00分 ヘッダー情報も偽装できる件について追記いたしました。】

●怪しい日本語に要注意

　メールアドレスをチェックするまでもなく、メール本文の日本語に違和感がある場合も、フィッシングメールだと考えてよいでしょう。例えば、以下のようなものがあります。

　なお、この方法は、メール本文が日本語で記載されてないと使えませんし、普段から斜め読みをするクセがついている人には効果がないものとなってしまいます。

●正しいURLかどうかを検索して調べる

　フィッシングメールの目的は、フィッシングサイトに誘導して、個人情報や決済情報などをだまし取ること。フィッシングサイトへは、メール内のリンクをクリック（またはタップ）しさえしなければつながりません。受信しただけでは問題ないのです。

　フィッシングメールでは、本文内のリンクのある文字列が、正しいドメイン、正しいURLのように見えても、実際のリンク先は異なっています。

　本当に誰かがカードを不正利用してしまったのではないか、パスワードが漏れてしまったのではないか、と気になる場合は金融機関名やECサービス名で検索し、そこに表示された“本物”のサイトにアクセスするようにしましょう。このひと手間で、被害を抑えられるのです。

　なお、先日届いたフィッシングメールのアドレスは、本家本元のドメインと非常に似たものでした。

　送信元メールアドレスをチェックし、日本語の怪しさも許容範囲だったので、危うくだまされそうになりましたが、カード会社名で検索したところ、ドメインが異なることに気付きました。金融機関名で検索したからこそ、防げた被害、というわけです。もっとも、筆者はだいぶ前に当該カード会員から退会していたので、ここまで焦る必要はなかったのですが……。

●フィッシング詐欺被害は誰もが予防できる

　フィッシング対策協議会（詐欺の話ばかりしていると、これすらも怪しく感じられてしまいますが、まっとうな組織です）によれば、フィッシング情報の届け出件数は年々増加しており、2021年上半期のインターネットバンキングで不正に送金された被害額は約4億7900万円で、件数は376件。1日に少なくとも2人がだまされている計算になります。また、悪用された企業の数もどんどん増えています。

　フィッシング詐欺は、決して人ごとではありません。利用している1つのサービスのパスワードをだまし取られるだけで、そのパスワードから他のサービスのパスワードを推測して、利用したことのあるたくさんのサービスを不正利用されてしまいかねません。

　ドコモ、KDDI、SoftBankなど各キャリアではフィッシング詐欺被害に遭わないための情報を掲載しています。

　またセゾンカード、JCB、マスターカード、エポスカードといった金融機関やPayPalやAmazon Payなどのオンライン決済サービス、PayPayや楽天ペイといったスマホ決済サービス、bitFlyerといった仮想通貨関連サービスなどでも注意喚起を行っています。

　日常生活の中で、巧妙になるフィッシング詐欺の手口を常に考えて気を付けるというのは難しいかもしれませんが、上記のようなサイトでは、フィッシング詐欺に対抗することを考えている専門家が情報を更新しています。金融機関やECサイトをかたるメールが届いたら、まずは疑い、“釣られ”ないよう注意したいものです。