ネットが苦手だからこそ見て欲しい フィッシング詐欺の手口と抑えたい3つのポイント





NEWS

海外でAppleからのSpotifyの課金通知を装ったフィッシングメールが届いたという投稿が話題に。

フィッシング詐欺自体はすでに息が長いもののその手口は徐々に巧妙になっています。

今回は送られてきたというAppleを装ったメールをおさらいしながら見ていきましょう。

 

フィッシング詐欺?

そもそもフィッシング詐欺とはなんでしょうか。もちろん釣り人を装う詐欺ではないですよ。

 

フィッシングは英語でPhishingと書きます。その意味自体がこの問いの答えなのですが、この言葉は

インターネット上でユーザーを騙して個人情報やアカウント情報を盗む行為

そのものを指します。

その手口として最も一般的なのは金融機関などを装ったメールを送信しユーザーをニセのサイトへ誘導、ユーザー自らアカウントのIDとPWを入力させてしまう手口ですね。このニセサイトをフィッシングサイトと呼んだりします。

一昔前はメールの文章が不自然であったりフィッシングサイトの作りこみが甘かったりで少し注意すればすぐに詐欺だと気付けるものがほとんどでしたが、最近のフィッシングサイトは非常に手が込んでいて本物のサイトと見分けることはかなり難しくなっています。

 

ですがフィッシングサイトを判別する方法、対処法はきちんと存在します。今回報告された件と合わせて後ほどご紹介しますね。

 

 Appleを装った課金通知メール

photo:iDropNews

これが今回実際に送られてきたメールだそう。かなりシンプルですがAppleからのメールと考えると逆に説得力があります。

内容はSpotify Premiumの年間契約をクレジット決済で行ったという通知です。当然ユーザーには身に覚えがありません。

明細の下部には「キャンセルについて」ということでリンク文がありますね。

覚えのない課金通知にユーザーが慌ててそのリンクをクリックすると

 

photo:iDropNews

AppleIDの管理ページが開きます。

ですがアドレスバーを見ていただければわかるように、このページは巧みに偽装したニセページです。

もしここで正直にAppleIDとパスワードを入力してしまったなら。

あなたのアカウント情報は攻撃者に知られ、IDやパスワードだけでなく氏名、住所からクレジットカードの番号までごっそりと引き渡すことになってしまいます。

 

身に覚えの無いメールが届いたときに注意するべき3つのポイント

まずフィッシングメールは身に覚えのない内容であることがほとんどです。

・知らない課金履歴

・パスワード変更通知

などユーザーがすぐに確認しようと行動してしまうであろう事象を装います。

そこで確認したいフィッシング詐欺に引っかからないための3つのポイントを抑えておきましょう。

1.送信されてきたメールアドレスがおかしくないか

フィッシングメールはニセ業者から送られてきますから当然そのアドレスは公式のものとは異なっています。

 

怪しいメールを送ってきたメールアドレスの@以降(ドメイン)部分をチェックしてみましょう。

そしてそれがいつも公式から送られてくるメールと@以降が同じかを確認します。

たとえばAppleのメールは必ず@以降が「apple.com」となっています。

サブドメインについて

ここで1つ注意したいのが、「.」(ドット)と「-」(ハイフン)の存在。

例えばAppleのメールでは「@id.apple.com」なんてドメインからメールが来ることがあります。

”あれ?@apple.comからじゃないからニセモノ?”

と思ってしまうかもしれませんがドメインはその頭の部分に別の文言を付与できる「サブドメイン」という機能があります。なのでドメインを見分けるときは終わりのほうを確認しましょう。

 

そしてここが大事なポイントですが、このサブドメインはかならず「.」(ドット)で区切られています。「-」(ハイフン)などドット以外で文言が追加されていた場合にはよく似た別のドメインですので注意が必要です。

例題

以下のうち、正しいAppleのドメインはいくつあるか

・@apple.com

・@id.apple.com

・@apple.id.com

・@id-apple.com

・@apple.com.com

・@insideapple.apple.com

 

正解は3個。解説は以下のとおりです。

・@apple.com ⇒○ @以降が「apple.com」になっている

・@id.apple.com ⇒○ 終わりが「apple.com」になっていて「id」がドットで足されている

・@apple.id.com ⇒× 終わりが「apple.com」になっていない

・@id-apple.com ⇒× 終わりは「apple.com」だが頭に「id」がハイフンで足されている

・@apple.com.com ⇒× 終わりが「apple.com」になっていない

・@insideapple.apple.com ⇒○ 終わりが「apple.com」になっていて「insideapple」がドットで足されている

 

2.メールの文章がおかしくないか

企業が公式で送ってくるメールであれば文章の組み立てには細心の注意が払われているはず。

敬語が変だったり「、」や「。」の使い方が変だったりしないかを確認しましょう。

 

3.リンク先のアドレスがおかしくないか

ついクリックしてしまったリンク先。見た目が公式サイトそのままでもニセモノの可能性があるというのは先ほど提示したとおりです。

基本的に怪しいメールのリンクは踏まずにお気に入りなどから公式サイトにアクセスすることが推奨されますがもし踏んでしまったならURLをご確認ください。

 

メールアドレスでは終わりのほうでしたがURLの場合には頭のほうを確認します。

apple.comsupport.apple.comならばきちんと公式サイトが開けています。

ですがこれが全く関係の無い文字列であったり、メールアドレスのときのようにsupport-apple.comとハイフンで区切られていた場合にはニセモノです。

 

見に覚えのないメールを見たらまず深呼吸を

フィッシング詐欺に引っかからないためにはまず冷静になることが大切。

 

つい焦ってしまうような内容でも一度深呼吸をしてから

1.メールアドレス

2.文章

3.リンク先のURL

の3つを確認してみてください。それだけであなたの個人情報は守ることができます。

 

<情報元:iDropNews

<文:研究員A>