迷惑メールの被害は後を絶たず、近年はフィッシングメールの被害が拡大しています。被害にあわないようにするためには、最新手口や見分け方をよく知っておくことや、正しい対策を実行することが重要です。
以下で、手口・見分け方、そして対策についてご紹介します。
また、企業に寄せられる迷惑メール、標的型攻撃メールの事例・サンプルをまとめた資料を無料で配布しています。ぜひ参考にしてみてください。
迷惑メールについておさらい
ここで、迷惑メールとはなにか、少しおさらいをしておきましょう。
迷惑メールは、次のようなメールの総称です。
- スパムメール
- 大量に繰り返し送られるメール
- 詐欺メール
- 振り込め詐欺のメール版・ニセのサイトに誘導し、金銭を窃取
- 情報窃取目的のメール
- クレジットカード情報・銀行情報など重要な情報の詐取・漏洩目的
- デマメール
- デマを広めたり、不安をあおるようなメール など
なかでも、金銭窃取目的・個人情報漏洩や窃取目的のメールが悪質です。
「フィッシング」や、「標的型攻撃」メールなどの手口で知られているメールは、技術的にも巧妙で、被害にあっていることに気が付かない事も多いので、大きな被害をよぶものです。
しかし、これらの悪質なメールは、対策をしておくことにより、被害の予防に役立てることができます。
迷惑メールの最新手口とは
迷惑メールの最新手口は、特にフィッシングメールでの巧妙化が目につきます。
また、フィッシングは大量のメールによる詐欺被害を引き起こしているほか、SMSや、他のメッセ―ジサービスでの被害も続出しています。また、標的型攻撃の巧妙化・利用するマルウェアの悪質化も目立ちます。
巧妙な迷惑メールの最新手口
迷惑メールの手口は日々進化しています。
ユーザー心理に漬け込む手法と、技術的な進歩双方が進化しているため、双方があいまって大きな被害をもたらします。次のような最新手口は、大変巧妙で悪質なものの一部で特に注意が必要です。知っておくと被害予防の役に立ちます。
「緊急」「すぐにご対応下さい」はフィッシング
パスワードをすぐに変えないと、預金が引き出せなくなる、クレジットカードが不正に使われてしまう・アカウントが凍結される、といった内容のメールがあります。
URLが併記されていますが、これは偽サイトに誘導し、そこからパスワードを窃取、預金の不正利用・アカウントやカードの不正利用につながるフィッシングメールの手口です。
「緊急」「すぐに」はむしろ怪しいと考えて、反応しないようにしましょう。
また、ご利用のサービスのWebサイトの内容を落ち着いて見ると、そのような緊急事態は起きていないことがわかります。URLをクリックしない、という対策も基本ですが、もちろん有効です。
ほんとうに身に覚えがある?「著作権に対する異議申し立て」フィッシング
著作権に関するトラブルが多いことに漬け込み、「SNSで投稿した貴方の写真が、他人の著作権侵害となっています」などの警告文をかたるメールがあります。
SNSなどのアカウントを凍結する、凍結してほしくなければリンク先の「異議申し立てフォーム」に記載をするように誘導され、そこで個人情報を窃取される手口が典型的です。
これもフィッシング被害を多発させている手口ですが、通常のユーザーでこのような事態はほぼ考えられないので、無視してメールを削除してしまうことが適切です。URLはクリックしないこと、絶対に個人情報を入力しないこと、などのその他のフィッシング対策も重要です。
Emotetによる攻撃も悪質化、怖い添付ファイルの開封
ビジネス上のメールで、添付ファイルはよく使われています。
添付ファイルにマルウェアの実行ファイルがあり、開封する・マクロ実行を許可するとマルウェアによる被害を受けるケースは後を絶たず発生しています。中には、業務指示に見せかけて、添付ファイルをコピー・アンド・ペーストすることにより、被害を拡大させるような手口もあるようです。
中でも、Emotetやその亜種の被害は大きなものとなっており、一見業務に関係のあるメールに見せる手口も巧妙化しています。他のアカウントをハッキングし、ハッキングしたサーバからのメールをコピーして攻撃に使うといった技術的手段も、進化しています。いったん2021年の後半には下火になったといわれましたが、また被害が再燃しているものです。
できれば、メール以外の手段でファイルを共有する習慣をつけること、信頼できる送信元のメールや添付ファイルのみを開封すること、送信元に電話で連絡し、送信したファイルの内容の確認をすることなども対策として有効です。
こうした手口を無料の資料で確認しましょう。
その他の迷惑メールのよくある手口
金銭的・情報窃取の大きな被害をもたらすメールのよくある手口には次のようなものがあります。
架空請求メール
架空請求は、多くの被害をもたらしながらも、手を変え品を変え発出されるため、なかなか根絶されない迷惑メールの一つです。
「サイトを不正に閲覧したので利用料金を支払え」「占いの課金が未払いなので、遅延損害金と合わせてXXXX円を振り込め」などは客観的には怪しい内容です。しかし、利用者のインターネット利用状況によっては、あわてて自分が支払わなければならない、と勘違いしてしまうものなのです。
こうした内容は、大量に送信されるものであり、少数であっても「引っ掛かる」被害者がいれば、攻撃者は笑う、と考えて、絶対に乗らないようにしましょう。また、請求元がどこの誰なのか、確認をするようにすると、怪しいということに気が付きやすいものです。
還付金・支援金をかたるメール
還付金・支援金の振り込みのために、個人情報、しかも銀行の暗証番号などの金融機関の重要情報を盗み出し、金銭を詐取します。
お金がもらえる、手続きもあっておかしくない、と思い込みがちで、重要情報をメールのURLをクリックして、攻撃者に渡してしまうのです。この手口も根絶が難しいもので、なおかつよく見られるものです。
特に、コロナウィルスの流行により、各種支援対策が打たれたことからも、「本当に支援金がもらえる」などと思い込みやすい状況をもたらしています。
こうしたメールにも絶対に乗ってはいけないものです。URLをクリックしてはいけないのはもちろんです。確定申告時期には還付申告についての詐欺メールも増えます。普通は公的機関がメールで還付金・支援金の案内をすることはないことを知っておくこと、税務署・市区町村役場に冷静に問い合わせてみる、ということも有効です。
著名企業をかたるメール
携帯電話キャリア・銀行・クレジットカード会社などは、フィッシングの企業側の被害者となりやすいものです。利用者が多く、利用者もつい自分のことと信用してメール内容を信じ込んでしまうので、ニセの著名企業のサイトに誘導され、個人情報の入力などに応じてしまうのです。
公式サイトで要求されていることなのか、確認をすることや、「緊急」「アカウント停止」などのメール内容は「怪しい」と思っておくことが必要です。
また、個人情報の入力は、公式サイトに自分からアクセスしている場合出なければ絶対にしないことを習慣化することなどにより、金銭の窃取や個人情報の窃取を防ぐことができます。
ニセ出会い系サイト・オンラインカジノメール
出会い系サイト・オンラインカジノについては、ポイントを購入するシステムが多いこと、また被害にあった場合、被害の申告を言いにくい特徴があることから、ニセのサイトに誘導するフィッシング詐欺も多いものです。
ポイントをタダで付与する・ボーナスポイントを付与するなどの誘いで、偽サイトに誘導、個人情報を詐取したり、悪質な請求を「前払い」と称してしつこく繰り返したりします。
突然のおいしい話には裏があると心得、乗らないこと、また個人情報の入力は避けることなどの基本的な対策が有効です。
ランサムウェアの感染をもたらすメール
ランサムウェアの被害もまだ下火になっていません。近時は、サーバに対して直接攻撃を仕掛ける例も多発していますが、メールからの感染も対策が必要です。
通常のビジネスメールをかたり、連絡先にメールを送信するため、URLをクリックしたら感染、PCがロックされてしまいます。「XXXXを支払えば、PCのロックを解除する」などとされてしまい、本当に支払った被害も出ています。
マルウェアの感染をもたらすメールは、しばしば普通のメールと見分けがつかないこと点に悪質性の高さがあります。送信元の確認、メールのURLはクリックしない、怪しいと思ったら、ITセキュリティ部署にすぐに連絡など、基本的な対策がランサムウェアによる被害の予防に役立ちます。
迷惑メールの見分け方
迷惑メールは今まで見てきたように、人間の心理に漬け込む特徴と、IT技術を利用した特徴があります。後者については、表面上見えないものです。
しかし、人間の心理に漬け込む特徴については、メールを見抜くための予備知識を持っておくと被害予防に役立つものです。以下に、ご紹介した手口を見分けるため、メールのチェックポイントまとめてみました。ぜひ、迷惑メールの見分けにお役立てください。
- 本文表現やタイトルに注意
- 日本語が不自然ではないか?(不自然なものは、怪しいと考える)
- 至急・緊急など、不安をあおるような記述はないか?
- 個人情報の入力・振り込みを促す記述があるが、身に覚えがないものではないか?
- 話がうますぎる・メリットがありすぎるものではないか?
- メールアドレス欄に注意
- 送信元は、知っている人か?
- アドレスが不自然ではないか?(アルファベットの小文字のOやLを数字の0や1に変えていないか)
- 送信先が多数であるのはおかしくないか?(不必要に多数に送信していることが判別できるメールは怪しい)
- URLに注意
- 送信元アドレスと同様に不自然なドメインなどがないか・公式サイトとURLが違っていないか?
- 基本的にクリックは控えることを心得ておく
迷惑メールの被害にあわないための対策
手口のご紹介でも、簡単にご紹介しましたが、被害にあわないための対策は以下のようにまとめることができます。こちらも、被害予防のために是非お役立てください。
そもそもメールを多用しない
ビジネスメールの添付ファイルや、メールに記載されたURLをクリックすることには、マルウェアやフィッシング詐欺の危険があります。
そこで、例えば添付ファイルは、ファイルストレージをつかってやり取りをすること、メールの通数を減らして、自分がチェックできる通数まで抑えることは対策として有効です。
開封しない・ゴミ箱に捨てる
メールは、プレビューだけでチェックし、少しでも怪しい内容のメールはすぐゴミ箱に捨てること、さらに、迷惑メールのフィルターを使い、まとめてゴミ箱に捨てること・メールをそもそもブロックしてしまうことなどが有効な対策となります。
開封しただけでも、マルウェアが実行されるリスクはあることを知っておきましょう。
開封してもURLをクリックしない
メールを開封したら、内容が少しおかしい、不自然さがある、といった場合は、URLは絶対にクリックしないことです。クリックしただけでも、マルウェアの実行が考えられます。
URLのリンク先には、個人情報は絶対に入力しない
個人情報を入力するのは自発的にサイトを訪問した時のみ、としておくのが賢明です。
インターネットセキュリティの強化・ウイルスソフトのインストール
不正アクセス全般を寄せつけないように、暗号化通信を利用することも有効です。
OSやアプリケーションの最新化、そしてウイルス・マルウェアの早期の検出と駆除ができるように、ウイルスソフトを利用しましょう。
通報・連絡も有効
フィッシングか、本物の金融機関や、サービスプロバイダからの連絡か、見分けがつかない場合は、公式サイト・カスタマーセンターなどを通じて確認をしましょう。
また、会社での対応でしたら、ITセキュリティ部署にすぐに連絡することが適切です。
標的型攻撃メール訓練の実施
企業における対策としては、従業員全員が迷惑メールに引っかからないことが求められます。たとえ99%の社員が気を付けていても、たった一人が引っかかってしまえば重大なインシデントだからです。従業員が引っかからないための策として、標的型攻撃メール訓練の実施が有効です。
LRMの「セキュリオ」の標的型攻撃メール訓練では、豊富なテンプレートが選び放題、送信数無制限、訓練後教育もし放題です。まずは無料ではじめましょう。
まとめ
迷惑メールの手口と、怪しいメールの見分け方、対策をご紹介しました。
人間の心理に漬け込む特徴と、技術的に巧妙化する特徴があるため、迷惑メールは根絶が困難と言われています。しかし、個人や、会社の被害は正しい対策により減らすことが可能です。
ぜひご紹介した見分け方・対策をご利用ください。