「個人情報」“強奪”が急増 「フィッシング詐欺メール」途切れず届く“裏手口”に打つ手はある?
10月19日、Googleで「えきねっと」と検索すると、正規サイトに酷似した「偽サイト」が検索トップに出現するとして騒然となった。偽サイトにはロシアドメイン「.ru」が使われており、ユーザーの個人情報を集める「フィッシングサイト」であったと見られている。
フィッシング詐欺の多くは、Amazon、えきねっと、三井住友カードなど、実在する会社の名をかたったメールを送りつけ、本物にそっくりな偽サイトへ誘導してクレジットカード番号、ユーザーID、パスワードなどの個人情報を入力させるのが常套手段だ。
フィッシングに関する情報収集や注意喚起などをする「フィッシング対策協議会」によると、2020年のフィッシング報告件数は22万4676件(前年比約4倍)、2021年は52万6504件(前年比2.3倍)と増加の一途をたどっている。詐欺グループはどのようにして、私たちのメールアドレスを入手しているのだろうか。
フィッシング詐欺の巧妙な手口
フィッシング対策協議会が月ごとに公表しているデータによると、今年9月にフィッシング目的で悪用されたブランド(Amazon、セゾンカード、三井住友銀行など)件数は94件。分野別の割合は、クレジット・信販系が全体の約61.4%、EC系が約17.5%、金融系が約9.9%、交通系が約4.0%、省庁が約2.9%、オンラインサービス系が約2.5%だった。
そのほとんどが、「第三者により不正利用された可能性が高い」「本人の利用か確認したい取引があったのでアカウントの利用を制限した」「再度ログインしないと自動退会処理をする」など差し迫った内容のメールを送り、偽サイトへたくみに誘導して個人情報を入力させようとするもの。
Amazonをかたったメール。「アカウントは48時間後に削除される」とされている
えきねっとをかたったメール。「ログインしなければ自動退会処理をする」そうだ
三井住友カードをかたったメール。「“カードの利用確認”をしなければ利用期限の継続もない」という「こんなのに騙される人いるの?」「自分は大丈夫」と思う人も少なくないかもしれない。しかし、もしタイミングよく、該当する銀行で大切な取引をしていたり、ECサイトで購入した商品の到着が遅れていたりした場合は、どうだろうか。
メールアドレス流出の仕組みとは
通信サービスに対するサイバー脅威への対策を目的とした組織「Telecom-ISAC Japan(テレコムアイザックジャパン。現在は「一般社団法人 ICT-ISAC」へ活動継承)」によると、詐欺を含む迷惑メールが届く背景には、主に「アドレス収集者によるリスト販売」「第三者からの漏えい」があるという。
①アドレス収集者によるリスト販売
アドレス収集者は、主に以下の方法でメールアドレスを集めていると考えられる。
- ランダムに作成
メールアドレスはアルファベットや数字の組み合わせであることから、辞書などを使いメールアドレスのリストを生成することは比較的難しくなく、ランダムに作成されたアドレスが自分のアドレスと一致した場合に、迷惑メールが送られてくることがある。 - ブログや掲示板などから収集
ブログにコメントしたり、掲示板に書き込んだりした際にメールアドレスを書き込み、そのまま公開されてしまっている場合があり、アドレス収集者の情報源となっているという。 - ウイルスによる収集
自分自身や、メールのやり取りをしたことがある相手のパソコンがウイルスに感染した場合、ウイルスがパソコンの中に保存されているアドレスを盗み出して収集者へ送信する。盗み出したアドレスに直接迷惑メールを送るウイルスもあるという。 - 悪意のあるサイトによる収集
懸賞サイトやメール転送サービスなど、問題のないように見せかけた悪意あるサイトも存在し、利用者が入力した個人情報を収集するケースがある。個人情報を入力する際には、運営会社名を検索して会社の評判について調べるなど、信頼できるサイトかを確認することが重要だ。
②第三者からの漏えい
一般的にはアドレス収集者によるリスト販売が多いとされているが、第三者による漏えいには以下の原因が考えられるという。
- 個人情報を保存しているサーバーが何者かによって侵入された
- 個人情報を管理している業者による内部犯行
詐欺メールが届かないようにする対策は?
詐欺を含む迷惑メールが届かないよう、対策できることはあるのだろうか。日本サイバー犯罪対策センターに問い合わせると「一般的なお答えになってしまいますが」とした上で、以下の回答が得られた。
「お使いのプロバイダー等の迷惑メール対策機能を利用する、迷惑メール対策機能を有するセキュリティソフト・アプリを利用する、といった利用者側が行える対策があります。ただし、確実に防げるとは言い切れませんので、対策を行っていたとしても利用者側での注意は引き続き必要です」(日本サイバー犯罪対策センター)
- この記事は、公開日時点の情報や法律に基づいて執筆しております。
編集部からのお願い
