フィッシングメールとは？
詐欺の手口や対処法・防止策まで徹底解説

フィッシングメールとは何か

フィッシングメールとは、送信者を詐称するなどした偽の電子メールを送信し、公式サイトを模倣した偽サイトに誘導するメールのことをいいます。
具体的には、金融機関やクレジットカード会社を装って偽サイトに誘導します。フィッシングメールの目的は、偽サイトに誘導し、クレジット番号やユーザID、パスワードなど、情報を盗み出すことです。

ちなみに、「フィッシング」という言葉のつづりは、「Phishing」です。これは、魚釣りを意味する「Fishing」と、洗練を意味する「Sophisticated」を組み合わせた造語だと考えられています。

スパムメールとの違い

フィッシングメールとスパムメールはどちらも「迷惑メール」なので混同しがちですが、定義が少し異なります。
スパムメールは広告付きメールで、無差別に送られてくるものです。
一方、フィッシングメールはメールを使った詐欺のことを指します。
両者の違いは目的です。スパムメールの目的は広告や宣伝なのに対し、フィッシングメールの目的は何らかの詐欺行為です。
しかし今後、フィッシングメールとスパムメールを組み合わせた攻撃が出てくる可能性もあるので、スパムメールも注意して処理する必要があります。

▼関連記事
スパム(迷惑)メールとは？危険性や対策方法まで徹底解説

なりすましメールとの違い

なりすましメールとは、実在する機関になりすましてユーザを騙すメールのことをいいます。
「フィッシング」と「なりすまし」は似た意味で使用されており手法もほぼ同じです。フィッシングメールもなりすましメールも送信者を詐称した、メール送信により詐欺を行います。
いずれにせよ送信者を騙るメールには気を付ける必要があります。

▼関連記事
詐欺メール（なりすましメール）とは？原因や対処法・対策を徹底解説

フィッシングメールの現状について

フィッシングメールは年々被害が増加し、偽メール、偽サイトのつくりも巧妙化しています。また、かつてはパソコン被害が一般的でしたが、最近ではスマートフォンでの被害も増えているのが実情です。

フィッシング対策協議会が公表しているデータによると、フィッシング被害の報告件数は、2019年は55,787件、2020年は224,676件、2021年は526,504件と年々増えています。2020年に急激に増え、2021年は前年より倍以上増加しているのです。このことからもわかるように、フィッシングメールの脅威は年々増加しています。

フィッシングメールの主な手口

フィッシングメールの手口は主に4つあります。それぞれの手口の内容と被害事例を確認していきましょう。

IDやパスワードの変更

「サインインが行われました。心当たりがない場合はパスワードをリセットしてください」 といったメールを送り、ID・パスワード変更の催促をしてくる手口です。メール本文には、リンクが貼られており、クリックするとまるで本物のようなホームページに飛びます。
このホームページでIDやパスワードなどを入力すると、それらの情報が攻撃者の手に渡ってしまうのです。結果、アカウント乗っ取り、クレジットカード不正利用などの被害に遭います。

購入確認

ECサイトで商品を購入した際に「購入確認メール」や「商品発送のお知らせ」が送られてきます。これらのメールを装うのもフィッシングメールの手口のひとつです。
多くの人が商品を購入したことに身に覚えがないため、購入をキャンセルしようとメール本文にある「キャンセルはこちら」をクリックしてしまいます。そうすると、クレジットカードやECサイトで利用するID・パスワードの入力を促すページに飛び、入力してしまうことでID・パスワードはもちろんのこと、登録しているクレジットカード情報なども盗まれてしまいます。

不在通知

宅配便の不在通知を装うフィッシングメールは、昨今見かけるようになった手口です。 この手口はパソコンへのメールではなく、スマートフォンのSMSでよく見られます。
一般的には、「荷物を届けましたが不在でした。リンクを確認してください」といったメッセージが届き、リンクをクリックすると、金融機関などの偽サイトに飛んだり、不正アプリがダウンロードされたりします。結果的に、個人情報が盗まれる被害に繋がります。

サイトへの誘導

これまでの手口では、金融機関やECサイトの偽サイトへ誘導するものでしたが、これら以外の偽サイトへ誘導する手口もあります。
たとえば、新型コロナウイルスに関する給付金に関する地方自治体を装った偽サイトや、企業ホームページにそっくりな偽サイトなどに誘導し、アカウント情報（ユーザID、パスワードなど）、クレジットカード番号、暗証番号などを入力させて情報を盗み、本人になりすまして不正な取引を行う被害事例も増えてきています。

フィッシングメールの見分け方

フィッシングメールの手口は主に4つあります。それぞれの手口の内容と被害事例を確認していきましょう。

送信元メールアドレスを注意深くチェックする

送信元のメールアドレスを確認するようにしましょう。フィッシングメールでは送信元が騙られる事がよくあります。
送信元の名前は取引先になっているけれど、よくよく確認するとフリーメールアドレスや、取引先に類似した別のメールアドレスから送信されている場合もあります。よくあるのは「o(オー)と0(ゼロ)」「l(エル)と1(イチ)」など、似た文字で置き換えられたメールアドレスの利用です。また、メールアドレスの前半は取引先と全く同じで、ドメインが異なるというパターンもあります。少しでも違和感を感じた場合は、表示名だけでなくメールアドレスのドメインまで確認するようにすると良いでしょう。

メールに記載されているURLをチェックする

メールに記載されているURLをクリックする前にチェックすることも重要です。特に、HTMLメールで受信している場合は、メール本文に記載されているURLと、リンク設定されているURLが異なっている場合もあります。必ずリンク先に設定されているURLを確認するようにしましょう。
偽サイトのURLはとても長いものが使われていることが多いですが、URLの長さだけで判断してはいけません。最近では、本物の企業サイトのURLと似た文字でURLが置き換えられた偽装サイトも出てきています。記載されているURLをチェックする際には、メールアドレスと同様に「o(オー)と0(ゼロ)」「l(エル)と1(イチ)」など、似た文字で偽装されたURLになっていないか、チェックしましょう。
また、URLをクリックさせるために不安を煽ったり、対応を急かすような内容が記載されていることがあります。例えば、「不正利用防止のため」や「第三者による不正アクセスが確認された」など。身に覚えがない場合はもちろん、心当たりがある場合も落ち着いてURLの確認をしてください。

本文の日本語に違和感がないかをチェックする

フィッシングメールは翻訳ツールを通したような、不自然な日本語で送られてくることがあります。読んでいて文法がおかしいと感じた場合は、細かくチェックするようにすると良いでしょう。例えば、二人称が「貴様」となっていたり、片言になっている場合など。翻訳ツールを通したような文章の場合は特に注意が必要です。その他にも、ビジネスメールではあまり使用することがない感嘆符（！）が使われている場合や、疑問符（？）が多用されている場合も注意深く内容を確認したほうが良いでしょう。
ただし、最近は文法の違和感が少ないフィッシングメールも増えてきているため、本文だけで判断するのは危険です。メールのタイトルと本文があっているか、送信者に違和感がないかなど、メール全体をチェックしましょう。

フィッシングメールを開いてしまった場合の対処法

もし、フィッシングメールを開いてしまった場合には、どのような対処をすればよいのでしょうか。対処法を解説していきます。

銀行口座の場合

攻撃者によって銀行口座のお金が不正に引き出された場合、個人口座であれば「預貯金者保護法」に基づいて銀行が被害金額を補償します。
流れとしては、「契約している銀行のヘルプデスク・相談ダイヤルに連絡」、「お住まいの地区の都道府県警察に連絡し、被害状況の相談」を行いましょう。

クレジットカードの場合

クレジットカードの情報を入力してしまった場合には、すぐにクレジットカード会社に連絡し、クレジットカードの利用を停止してください。
なお、クレジットカード会社は不正利用分を補償します。ただしこれには期限があり、不正利用日から61日を超えた分については補償適用外となるので注意しましょう。

IDやパスワードの場合

IDやパスワードを入力してしまった場合には、該当するサービスのホームページにアクセスし、パスワードを変更するようにしましょう。
Googleのようなログイン端末の管理ができるものは、ログイン状態を一旦すべて解除してください。念のため、SNSに連携したアプリも解除しておきましょう。

フィッシングメールの被害を防ぐためにできる対策

フィッシングメールの被害を防ぐためには、あらかじめ対策を立てておく事が重要です。ここでは、フィッシングメールへの対策方法を紹介します。

疑う意識や真偽の確認

まずは送られてきたメールに疑う意識をもったり、真偽の確認をする習慣をつけましょう。
フィッシングメールは、何らかの理由をつけて被害者にIDやパスワード、クレジットカード番号といった特定の情報を入力させるように仕向けます。
もし、このような内容のメールが届いた場合には、次のようなことを確認しましょう。

• ・メールに書かれてる内容の真偽
• ・真偽がわからない場合は、検索サイトで同様のメールが送られてきている事例がないか確認
• ・検索サイトでメールの送信元となっている公式ホームページにいき、記載された内容を窓口に問い合わせ、
  　事実確認をとる
• ・警察や消費者生活センターに相談する　　　など

クリックしない

送られてきたメールにリンクが貼られていたり、ファイルが添付されている場合がありますが、安易にクリックしないようにしてください。これは、普段からやり取りのある送信元やSMSであってもです。
クリックしなければ被害にあうことはほとんどありません。
メールを不審に思ったり、違和感を感じたら、情報システム部門やセキュリティ担当部門に相談してください。また、正しい連絡先を確認した上で電話やメールで問い合わせるのも良いでしょう。

二段階認証

本人確認の際は、二段階認証を利用するようにしてください。この二段階認証とは、第一段階でIDやパスワードを入力、第二段階で別の手段を使って本人確認する認証方法のことをいいます。
万が一、IDやパスワードが攻撃者に把握されていたとしても、二段階認証を利用していればログインできません。

OSのアップデート

OSやソフト、アプリケーションのアップデートをし、脆弱性を放置しないようにしましょう。脆弱性が残された状態でデバイスを利用すると、フィッシングメールの被害だけでなく、不正アクセスに利用されたり、ウイルスに感染する恐れもあります。
日頃から脆弱性情報を確認し、OS、ソフト、アプリケーションのアップデート、開発元が提供するセキュリティパッチの適用を行うようにしてください。

セキュリティソフトやシステムの導入

フィッシングメールに対応したセキュリティソフトやシステムの導入も対策のひとつです。
こういった製品では、フィッシングメールをはじめとした迷惑メールをブロックしたり、データベースに蓄積された情報や正規サイトを比較して、フィッシングサイトかどうかを判断し、ブロックする機能などを備えています。

返信しない

フィッシングメールに返信するのは絶対にやめましょう。住所や電話番号、クレジットカード情報などの重要な情報を安易にメールで返信してしまえば、攻撃者の格好の餌食となってしまいます。
また、「ソーシャルエンジニアリング」と呼ばれるサイバー攻撃では、知人や関係者になりすまして、特定のターゲットから重要情報を聞き出すといった手口もあります。この攻撃では、情報漏えいのリスクが非常に高いので、十分な注意が必要です。

普段利用するWebサイトからアクセスする

ブラウザのお気に入り登録などを活用するのも被害を防ぐ方法になります。よくアクセスするサイトの場合はメールに記載されているURLをクリックするのではなく、お気に入り登録からアクセスすると良いでしょう。
メールに記載されているURLは特定のページへの遷移を促すものが多いです。その場合でも、少しでも怪しいと思った場合はURLをクリックせずに、お気に入りなどから普段利用しているWebサイトへアクセスし、サイト内検索などを活用して、誘導されていたページまで移動するようにしましょう。

SSLが採用されているかの確認

クレジットカード番号などの重要な情報を入力するWebページでは通常、SSLという暗号化技術が利用されています。個人情報などの入力をして問題ないか悩む時は、このSSLが利用されているかを確認してみると良いでしょう。
SSLが利用されている場合はWebブラウザのアドレスバー（URLが表示されている部分）が緑の表示になっていたり、鍵マークが表示されています。ブラウザによって見分け方が違いますので、利用しているブラウザごとの見分け方を確認しておくと良いでしょう。

フィッシングメール対策の相談はNECフィールディングへ

NECフィールディングには、「標的型攻撃メール対応訓練サービス」があります。
このサービスでは、メールを偽装した標的型攻撃メールを従業員に送信する疑似体験訓練を実施し、ファイルメール開封状況と標的型攻撃メールへの対応のポイントについて報告します。
訓練を実施することで、従業員の方々へ注意喚起を行っていただき、セキュリティ意識の向上が図れるサービスです。「従業員が標的型攻撃メールの脅威を理解してくれない」「危険な添付ファイルかどうか識別できない」という課題を抱えているのであれば、NECフィールディングにぜひご相談ください。

「標的型攻撃メール対応訓練サービス」はこちら