今回はフィッシングメールの手口についてのご紹介です。
フィッシングメールの手口については以前もパスクリ通信でご紹介しました。

>パスクリ通信2018年5月11日号「フィッシングメールの手口を知ろう!」

この記事からもう2年近く経っていますが、あいかわらずフィッシングメールは後を絶たず、フィッシングの報告件数は2年前より大幅に増加して言います。

>フィッシング対策協議会「2020/02 フィッシング報告状況」

送信元を金融機関、SNSサービス、大手メーカー、大手通販サイト、運送会社などに偽装したフィッシングメールが大半となる最近の手口の傾向をまとめてみましたのでご紹介します。

手口1. アカウントトラブルや凍結などからの解除要請系
もっとも多くみられる手口がこちらです。銀行やクレジットカード会社などの金融機関を中心に、ユーザー登録のある通販サイトやメーカーなど、多岐に渡ってこの手口が使われています。
下記のような内容のメールが届いたら疑ってかかりましょう。

あなたのアカウントでの不正ログイン行為を発見し、あなたの口座の機能を制限しました。アカウント情報を確認して、この制限を解除してください。

アカウントにセキュリティリスクがあることが判明しました。以下のリンクのアカウント情報を確認してください。24時間以内に確認しないと犯罪者による口座や資金の不正流用が発生する可能性があります。

この度、お客様のご登録クレジットカード情報が第三者によって不正にログインされた可能性がございましたため、セキュリティ保護の観点から緊急の措置として
お客様の登録パスワードをリセットいたしました。
お手数をおかけして申し訳ございませんが、引き続き当サイトをご利用になる場合は、パスワード再設定のお手続きをお願いします

弊社カードをご利用いただきありがとうございます。
お客様のアカウントに異常が発生していますので、以下のURLからお客様のマイページにログインしてアカウント情報をご確認ください。

あなたのアカウントは一時的にロックされています。
アカウントの有効期限が切れており、24時間以内に停止されます。 問題を解決するために情報を更新してください。

手口2. セキュリティ強化などの手続き依頼系
こういう時代だから不安感を煽るのとは逆に、「セキュリティ強化のため」というサービスの強化をするというアピールで釣る手法です。セキュリティが重視されるようになったからこそ、騙されてしまうのかもしれません。
このパターンでは、下記のようなメール内容があります。

悪意のある注文の拡大とアカウントの盗難被害が増加しているため、セキュリティレベルの低いアカウントを審査して、問題のあるアカウントに個人情報を慎重にリセットしてセキュリティを改善することをお勧めします。
以下のページで「ユーザー情報保護ポリシー」をご確認いただき、至急ご対応手続きいただくようお願いします。

当銀行でご利用いただいているお客様の口座資金の安全性を高めるために、全面的にシステム変更のバージョンアップを行いました。すぐに口座情報の確認をお願いします。

セキュリティ強化のため、ご利用中のお客様の本人認証を行っていただくまで、口座を一時利用停止とさせていただきました。
下記にて本人確認を行い、口座の利用再開手続きをお願いいたします。

手口3. ショピングなどの取引確認依頼系
こちらも多い手口です。買い物やサービス開始手続きを行ったという通知が届いたけれど、身に覚えがない。取り消さないと料金を支払ってしまうのではないか、という不安を煽るパターンです。
本当に購入した場合と同じ内容ですが、購入した覚えがない場合は、メールのリンクからたどるのではなく、ブラウザやアプリを新たに立ち上げて、購入履歴を確認しましょう。

このメールはお客様のご注文情報を受けた時点で送信される自動配信メールです。
以下のご注文を承りました。
商品やお取り引きに関するご不明点、ご注文内容の変更またはキャンセルなどはこちらのお問い合わせフォームからお願いします。

会員情報変更のお知らせ
ただいまお客様からの変更処理に基づいて会員登録情報が変更されました。
変更内容は下記URLでご確認ください。
万が一、本メールの内容に覚えがない場合は、以下までお問い合わせください。

当社カードをご利用いただきありがとうございます。
アカウント情報の有効期限が切れていますので、以下の管理ページから有効期限の延長手続きを行ってください。

ご利用中の会員アカウントへのログインが確認されました。
ログイン日時 00年00月00日 00:00
IPアドレス  000.000,000,000
上記ログイン情報にお心当たりがない場合には、お客様以外の第三者によってログインされた可能性がございます。
下のリンクをクリックして、安全なサーバを使用してアカウント情報をご確認ください。

手口4. 荷物受け取り手続き系
宅急便の不在連絡メールなど、実際にありそうな連絡の偽装です。
こちらも覚えがない場合は、そのメールのリンクをたどるのではなく、運送会社のサイトを確認するか、送り主に問い合わせをしましょう。

お客様宛にお荷物のお届けにあがりましたが不在のために持ち帰りました。下記よりご確認ください、
(リンクURLが記載)

手口5.流行りの話題系
最後は流行りの話題に合わせた内容のメールがタイムリーに流れてくるとついのせられてしまう、という例です。

新型コロナウイルスによる肺炎が広がっている問題で、マスクを無料送付。確認をお願いします
(リンクURLが記載)

いかがでしょうか。気をつけてないと、ついリンクをクリックしてしまいそうです。
フィッシングは、メールや最近ではSMSへのメッセージ送りつけが主流ですが、それ以外にもTwitterなどのSNSでバラ撒かれることもありえます。たとえばTwitterでこんなツイートが流れてきたらどうでしょう。

現在マスクの店頭での品切れが続出していますが、備蓄マスクの有償配布が各地で行われています。地域ごとの配布数と申込み先のリストはこちら(リンクURLが記載)

普段から警戒していても、意識の隙があると飛びついてしまうかもしれません。
リンク先のサイトにマルウェアを仕込むのではなく、「配布情報を公開すると、本当に必要な方にマスクが行き渡らない恐れがありますので、下記フォームにてお申し込みください。パスワードによるアクセス制限をしたリストを公開します」などと書いておき、フォームに、マスクの必要性やメールアドレスやパスワードを含む個人情報を入力させて送信させ、個人情報を詐取します。そして、その個人情報を使ったより騙しやすいフィッシングメールを送ったり、パスワードリスト攻撃に使ったりするのです。

フィッシングの手口は、不安感や危機意識など、人の弱みにつけ込む巧妙な手口のメッセージばかりです。
過去のフィッシングメールのように、メールやメッセージ文が、どこか表現がおかしいとか、日本語が不自然といった特徴があれば、怪しいと気づきやすいのですが、メッセージには何の違和感もなく、メールの送信元のアドレスも本物のアドレスに偽装されていると騙されてしまっても無理はないのです。

メールソフトやWebメールサービス側でもフィッシングメール対策はある程度はしてくれていますが、フィッシングメールはそれをかいくぐって届きますので、ユーザー各自が気を付けて、「メールやメッセージ内のリンクをクリックしたり添付ファイルを開いたりは絶対にしない」、「絶対に詐欺ではないという確証が持てない限り自分の個人情報やクレジットカード情報をフォームに入力送信しない」ということを肝に命じておきましょう。

最後におまけですが
IPA(独立行政法人情報処理推進機構)が、「子ブタと学ぼう!情報セキュリティー」というテーマで、約15秒のアニメショートムービー5作品を公開中です。ムービー5「脅威の手口を知る」編が今回のテーマにピッタリなので、最後にご紹介します。

クリックするとYouTubeのムービーページが開きます(画像はIPAサイトより転載)