CYBER SECURITY LAB

【2021年版】フィッシング詐欺の事例3選

2021.11.19

  • シェアする
  • facebook
  • twiiter
  • line

0phishing-g3276845d7_1280.jpg

質問です。あなたのメールボックスにフィッシングメールは毎日届きますか?

「いいえ」と答える方や、「フィッシングメールなんて見たこともない」という方がいらっしゃると思いますが、それは気づいてないだけの危険な状態かもしれません。

今回は2021年に流行したフィッシングメールの事例を集め、どんな件名・文面で送られてくるのかご紹介します。

フィッシング詐欺とフィッシングメール

ここ数年でテレビや新聞でも頻繁に取り上げられるようになったフィッシング詐欺ですが、そもそもどのようなものかご存知でしょうか。

フィッシング詐欺は、利用者からWebサイトにログインするための認証情報や金銭を奪い取ろうとする詐欺のことです。また、フィッシング詐欺を行うために送られるメールがフィッシングメールと呼ばれます。

いやいや、「私はそんなメールに引っかかりはしませんよ。」

と思っているそこのあなた。実際にどんなメールが届くのかご存知ですか?

もし、メールの内容や具体的な手口などの傾向を知らなければ、今後フィッシング詐欺に遭う可能性が高いです。

被害に遭わないようにするため、フィッシング詐欺の具体的な事例からどんな傾向があるのかを見ていきましょう。

ブランド別事例 3選

実際にどのようなメールが届くのか、複数件報告があったものをベースにピックアップしてご紹介します。見るべきポイントも併せて記載するので、フィッシングメールを見抜く力を養っていきましょう。

※実際のフィッシングメールを再現したものをご紹介します。

UCカード

phishing_case_study_1.png

<見るべきポイント>

  • 取引に不審な点がある
  • カードの利用制限をかけた
  • 本文内のリンクが本物によく似たドメイン
  • リンク先を開かせようとする訴えかけ
  • 一見不自然に見えない文章
  • 丁寧な対応の文章
  • 不安を掻き立てる文章

フィッシングメールといえば不自然な文章というイメージを抱きがちですが、最近ではそのポイントで見分けることが難しくなっています

こちらの例のように、一見すると不自然に見えない日本語の文章が準備されており、文章を読み飛ばしがちな人は『利用制限』といった言葉で不安になり、まんまと外部サイトに誘導されてしまいます。

また、本文内のリンク先ドメインも本物と非常によく似ているため、多少の知識がないと見抜くのはかなり難しいのも重要なポイントです。

<対応方法>

この類のメールにどう対応するべきかですが、「絶対にリンクを開かない」「開いてしまっても個人情報は入力しない」「検索エンジンやブックマークなどから公式サイトへ移動し、メールの内容が事実かを確認する」という3点が有効な対応方法になります。

メール内のリンクは基本的に信用せず、自分の力で問い合わせや調査を行うようにしましょう。

フィッシングメールにある外部サイトのリンク先は、とても巧妙な作りになっています。どんなに知識がある人でも、本物のサイトと見分けるのは非常に難しいです。

このため、リンクを開かないことが絶対条件になるわけです。リンクを開いた場合も、個人情報を入力せずブラウザを閉じれば被害にあうことはありません。

日本年金機構

phishing_case_study_2.png

<見るべきポイント>

  • リンク先を開かせようとする訴えかけ
  • 本文内のリンクが本物によく似たドメイン
  • 一見不自然に見えない文章
  • 丁寧な対応の文章
  • 窓口等の連絡先有無

このメールが巧妙なのは、文章の導入部分で「本当に存在しそうなサービス」を簡単に説明し、情報更新が必要だとして利用者にアクションを促すという一連の流れを作っている点です。

「年金機構が言ってるし、本当にあるんだろうなぁ」

「年金情報を更新する必要があるのか、リンクはここかな」

と、ついついアクセスしてしまいそうになります。

このメールのリンク先では、基礎年金番号やその他の個人情報に加え、クレジットカード情報まで入力させようとする事例でした。

<対応方法>

このメールの対応方法も先程と同様で、「絶対にリンクを開かない」「開いてしまっても個人情報は入力しない」「公式サイトでメール内容が事実か確認する」という3点が有効な方法になります。

まず年金機構から直接メールが来るのか?ということもありますし、姓名や住所の変更などあれば自分で手続に行くはずです。

メールの依頼に『なぜ?』と冷静になって考えれば、怪しいと気づくことはできるでしょう。

メルカリ

phishing_case_study_3.png

<見るべきポイント>

  • リンク先を開かせようとする訴えかけ
  • 本文内のリンクが本物によく似たドメイン
  • 一見不自然に見えない文章
  • 丁寧な対応の文章
  • 窓口等の連絡先有無

日本語が不自然でなかったり、リンク先のドメインが本物に酷似している点は他の事例とも共通していますが、このメールでは「24時間以内」という時間制限の記載があります。

指定された時間までに手続きを完了させなければ、何か悪いことが起きるのではないか?と思わせるため、にわざとこのような文言を含めていると考えられます。

こうした文面にすることで、メールを受け取った人の冷静さを失わせ他の人に相談する時間も与えずアクションをさせようとしていることがうかがえます。

<対応方法>

このメールの対応方法も先ほどと同様で、「絶対にリンクを開かない」「開いてしまっても個人情報は入力しない」「公式サイトでメール内容が事実か確認する」という3点で詐欺被害を回避できます。

このメールは特に見抜くのが難しく、リンク先のサイトでは公式サイトのログイン画面と非常によく似たページが表示されていたようです。

サービスへのログイン時にメールやSMSで認証コードなどが届く場合、メール内のリンクからログインするのではなく必ず公式ページを自分で開いてログインしましょう。

全体を通して共通するポイント

実際にフィッシングメールの内容を見ていくと、全体的に共通するポイントがいくつかあることが分かります。

メールの最終的な目標が金銭に絡む内容

大半のメールが金銭に絡む内容であり、支払いを要求したりクレジットカード情報を奪い取ろうとするケースばかりです。

万が一フィッシングメール内のリンクをクリックしても、クレジットカード情報を求められたらん?なんでクレジットカードが必要なんだっけ?』と手を止めましょう。

利用者の不安を煽るような内容

一部制限を実施した、クレジットカード情報の更新が必要である、などの煽り文句で利用者を焦らせようとする意図が垣間見えます。また、「24時間以内」などと時間を制限されるとさらに不安になると思います。

落ち着いて文章を読み直し、不安にさせようとしていないか注意してみましょう。

不自然でない日本語の文面

過去のフィッシングメールの文章はすらすら読めないケースが大半でしたが、最近のフィッシングメールは日本語の文章が丁寧になり、違和感なくすらすら読めるようになってきていると感じています。

これは悪意のある人物が徐々に日本語を身に付け着けてきているか、日本人が関与していることの表れかと思います。

このことから文章構成などで見分けるのは至難の業と心得ておきましょう。

見抜くためのポイント

フィッシングメールを見抜くためのポイントはいくつかあります。

件名を見たり、本文内のリンク先を見たり、日本語の使い方を見たり、いろいろな角度で採点をし、最終判断でフィッシングかどうかを見分けます。

具体的に見分けるポイントについては、別の記事で詳細を解説していますので、ぜひそちらもご参考下さい。

まとめ

いかがでしたでしょうか。今回は2021年で流行したフィッシングメールの事例を3種類ご紹介しました。

今までフィッシングメールを受信したことがない人は、どのようなメールが来るのか全くわからないと思います。

見分け方のポイントだけでなく、実際に届くフィッシングメールはこんなものであるということが少しでも理解いただけたら、たとえ自分のメールボックスに届いても『怪しいなこのメール』と疑うことができるようになります

最初は見抜くのが難しいでしょうが、フィッシングメールの事例にも触れることで少しずつ慣れていきましょう。