今回紹介する悪質なメールは、フィッシングメールです。
1.フィッシングメールとは
フィッシングメールというのは、メール本文に挿入したリンクを使って悪質なウェブサイトに誘導するタイプのメールです。
もちろんメール自体はちゃんとした差出人が送信したように見せかけているので、なりすましメールでもあることが殆どだと思います。
メール本文に挿入したリンクは、画面に表示される部分の文字を見ると正当なウェブページを表しているようにみえます。でも、リンクをタップして表示されるウェブページは、フィッシングメールを送信した悪質な人又はグループによって管理された危険なウェブページです。
危険なウェブページというのは、例えば次のようなウェブページです。
- 脅かすようなことを言って金銭を要求する
- ウィルスに感染させてスマホやパソコンを使えなくする
- ウィルスに感染させてスマホやパソコンのファイルを暗号化し、元に戻すために金銭を要求する
とにかくメールに記載されたリンクをタップしない、ということが基本的な対策です。
2.実例と注意すべき点
では、フィッシングメールの実際の例を見てみましょう。
これはJR東日本の「えきねっと」という実在のウェブサイトから送信されたように思わせて、悪質なウェブサイトにアクセスさせようとするものです。
JR東日本でも認知しているようで、注意を呼びかけています。
まずは件名と差出人や宛先などの部分です。
件名が「【重要】えきねっとアカウントの自動退会処理について」とあります。このウェブサイトを利用している人にしてみれば、何事か?と思うことでしょう。
メールの日付、差出人、宛先情報の詳細が枠内に表示させています。Gmailでもメールの先頭に小さく「To: 自分」とか「To: me」と表示された部分があるので、そこをタップすると同様な詳細情報を表示させることができます。
メールの差出人は info@eki-net.com となっています。正確なアドレスは分かりませんが、なんだか正しそうなアドレスです。
でも上図の下から2行目を見てください。「via ai0oo6.shop」と表示されています。これは、このメールがどこを経由してきたかを表しています。メールは送信元から直接あなたのメールサーバーに届くとは限らず、どこかのメールサーバーを経由することがあります。そうはいってもJR東日本の「えきねっと」からのメールが経由するにしてはおかしな名前のメールサーバーです。
では、メール本文の最初の部分を見てみましょう。
JR東日本のロゴを使って、いかにも正当なメールですという雰囲気を出しています。日付の部分はモザイクをかけていますが、メールが到着した当日の日付になっていたそうです。
本当のことならば、メールが届いたその日にアカウントが削除されるというのはあまりにも急なので逆に信用できなくなりますが、人によっては「急がなきゃ!!」と焦ってしまうことがあるかもしれません。
では続きがどうなっているか見てみましょう。
継続利用したいなら、と言って丁寧にログインするウェブページのリンクを付けています。
このリンクは何があってもタップしないで!
このリンクが問題です。表示上は「https://www.eki-net.com/」のウェブサイトを表示するように見せていますが、実際のリンク先は別のウェブサイトになっています。(このリンク先を記載するのは控えます)
Gmailアプリでなく、パソコン版のGmailでアクセスすると「メッセージのソースを表示」というメニューがあるので、リンク先がおかしいことが確認できます。
また、パソコンでThunderbirdなどのメールクライントを使って確認する方法もあります。メールクライアント上に表示されたこのリンクの上にマウスを移動させると、実際のリンク先が表示されます。
ではメールの最後の部分です。
一番最後にコピーライトまで記載されていて、これも本物感を出そうという気持ちが感じられます。これは本物のウェブサイトからコピーしてきているようです。
3.最後に
細かく見ると色々と怪しげな点のあるフィッシングメールでした。
でも、そんなに細かいことを見る必要はありません。非常に多くの利用者がいる有名なサービスを提供しているウェブサイトからのメールに見えるのに、「本日新しい規約が適用され、本日からアカウントが削除されます」というのは、あまりにも不自然です。
焦る気持ちが出る人がいることは想像できますが、冷静な判断ができるように心を落ち着けてから再考できれば問題は発生しにくいのではないかと思います。気になる場合には電話で問い合わせる方がずっと安全です。
なお、メールに記載されたリンクではなく、Chromeなどのウェブブラウザのブックマークを利用してログインするのも安全な方法の一つです。
とにかくこの手のメールは受取人が考える暇が無いように仕向け、焦らせることで操作や判断を誤らせようとするので、このパターンを認識し心の準備をしておくよう心がけましょう。
今回のフィッシングメールの話はこれでおしまいです。