あいかわらずフィッシングメールの報告が後をたちませんね。
それは、膨大な数のユーザーにメールを投げるといまだに引っかかる人がいるからです。
今回は「フィッシングメールの特徴を知って、騙されないようにしよう!」ということで、その手口を分析します。

フィッシングメールはだいたい3パターン!

 

パターン1:アンケートプレゼントを装ってプレゼントや謝礼で釣る

「うまい話には気をつけろ」って散々言われていても、「モノに釣られて」引っかかってしまう人はあいかわらず多いようです。送信元に知名度のある企業名を使い、会社や製品ロゴも掲載して偽装するので信じてしまうのでしょう。
Case #1 偽日本郵便によるiPhone Xが当たるアンケート
(以下各CaseタイトルをクリックするとSecurity Nextなどのニュース記事ページが開きます。)
Case #2 偽マイナビ 【謝礼金10万円】ビットコインに関するアンケート

パターン2:ショッピングサイトなどからの事務的連絡に偽装する

ユーザーが圧倒的に多い「楽天」や「Amazon」などのショッピングサイトや「Netflix」などの動画配信サービスを装い、これらのサイトが通常流している注文確認メールや支払い情報確認メールなどをそっくり真似して送りつけるので、普段これらのショッピングサイトを使っている人は、疑いなく開いて、偽誘導に従ってしまうようです。
Case#3 偽楽天からの注文確認メール
Case #4 偽Amazon「すぐお支払い情報を更新する必要があります」
Case #5 偽Netflix 「料金未払い」
※動画サービスですが、支払いに関する事務連絡を装い、ユーザーを騙します。

パターン3:セキュリティに関する「重要なお知らせ」で不安を煽って騙す

「Apple」「Microsoft」「LINE」などの有名ソフトウェアメーカー、「ドコモ」「ソフトバンク」などのキャリア系、「MUFGカード」「セゾンカード」などの金融/クレジット関連を偽装して「重要:必ずお読みください」などと言う件名でのメールを送り、「セキュリティのため」というもっともらしい説明で偽サイトに誘導し、IDやパスワードなどのアカウント情報やクレジットカード情報を盗もうとします。よくわからないユーザーは不安感につけ込まれ、つい騙されてしまうようです。
Case #6 MUFGカード「重要:必ずお読みください」
Case #7 MUFGカード「三菱クレジットカードから緊急のご連絡」
Case #8 セゾンNetアンサー(セゾンカード)「重要:必ずお読みください」
Case #9 偽LINE LINE問題報告
Case #10 偽Apple Apple IDのセキュリティ質問を再設定してください
Case #11 偽ドコモ「不正ログインが発生」「端末がウイルスに感染」
Case #12 偽マイクロソフト「Microsoftアカウントの不審なサインイン」

いかがですか、色々なケースをご紹介しましたが、これまでに確認された個人向けのフィッシングメールは大体、この3パターンのどれかになります。

ポイントはまず「送信元の企業が、利用者数の多い大企業である」ことです。バラ撒いたフィッシングメールがより効率的に働くには、多くの対象者がいるほうがいいので、ユーザーの多い企業やサービスを騙るのです。
そして2つめのポイントは「実際にユーザーにメールを送ることがある企業やサービスを偽装し、本物のメールに酷似したメールを送る」ということです。
普段メールが送られて来ない企業やサービスからメールが来れば疑わしいと思うかもしれませんが、普段からメールが届くような企業やサービスを偽装するので騙されてしまう人が多いのです。メール送信元の偽装は簡単ですし、疑わしいメールを受信しても、メールのヘッダ情報で送信経路や発信元のサーバーのドメインなども含めて確認する人はごく少ないと思います。

フィッシングメールが、メールサーバーやメーラーによってSPAM認定され、自動的に削除されたり、SPAMヘッダが付いてSPAMフォルダに自動的に振り分けられたりすればいいのですが、そうならないで受信フォルダに入ってくることもあります。前述の3パターンに属するメールは要注意!
「疑わしきは開かず!」を心がけるようにしてください。

P.S. 今後の動向として、仮想通貨を狙うフィッシングが増えていくことが予見されていますので、仮想通貨取引をしている方は特に気を引き締めてくださいね。