なりすましメール、偽装メールとは…?(フィッシング詐欺の手口)
「なりすましメール」や「偽装メール」とは、メール送信者があたかも正規の差出人であるかのように装ってメールを送りつけてくるものです。多くは、メール内容を見てもウィルスのような挙動はもたらされませんが、そのメールを発端として大切な個人情報が盗まれてしまうリスクを秘めています。
端的に言うなら、それを正規の公式メールだと信じてしまった人から個人情報取を盗みこむことを狙ったものが「なりすましメール」の目的だと言えるでしょう。
偽装メール、なりすましメールの特徴
ひとつのサンプルをご紹介いたします。こちらは、実際に筆者が2022年10月3日に受け取った「なりすましメール」です(バルクメールの中にありました)。「三井カード」ということで「三井住友カード」を模しています。
「偽装メール」や「なりすましメール」の特徴を整理すると以下のようになります。
- 金融系の公式サイトや代表的なネットチョンピングサイトを装っていることが多い (〇〇銀行、〇〇クレジットカード、あるいは有名ネット通販サイトの「アマゾン」など)
- もっともらしい内容を添え、リンク先「偽装公式サイト」へのログインを求めたり、機密性の高い個人情報の入力が促される
- リンク先のサイトでID、パスワード、カード番号などを入力すると、その個人情報が偽装サイト運営者に盗み取られる
- IDやパスワードを盗み取った側は、正真正銘の公式サイトでお金を引き出したり、それを悪用してネットショッピングなどをする(場合よっては、少額の買い物を繰り返してバレないように細く長く使うケースもある)
上記のように、メールの文面の中にはリンク先としての「偽装公式サイト」が記載されていることが大半です。何かしらの理由を付けてそのリンク先へのログインを求めることが多く、そのリンク先のURLの文字列も見分けにくく作られていることが多いです(ex. smbc → srnbs、amazon → amazom など)。
リンク先となっている「偽装公式ホームページ」の方についても、本物の公式ホームページと瓜二つに作られていることが多いです。このため、人によっては、そこにIDやパスワードを入力してログインした後でも、自分が騙されていたことにさえ気づかず、その案内に沿った作業を終えてしまうこともあります(このため被害の発覚も遅れます)。
なお、このようにユーザーから重要な個人情報を盗み出す行為全体のことを「フィッシング(phishing)詐欺」と呼んだりもします。フィッシングとは簡単に言うと「言葉巧みにうまく誘導する釣り(≒詐欺)」といったニュアンスです。語源は「洗練された(sophisticated)」「釣り(fishing)」の合成だと言われています。よって、「偽装メール」や「なりすましメール」を「フィッシングメール」と表現するケースもあります。
「なりすましメール」や「偽装メール」の基本対策
まずは一般的によく知られている「なりすましメール(偽装メール)対策」を整理しておきましょう。これを守っているだけでも被害に遭う確率は下げられるはずです。
- 公式ホームページでログインする際には、必ずアドレスバーの箇所に「鍵マーク」が表示されていることを確認してからにする
(https://~のようにtpの後にSが付いているwebサイト(=鍵マークのあるサイト)でのみログインする癖をつける) - メールを読んだことをきっかけとしてとして、メール内に書かれているリンク先から公式サイトと思われるところにアクセスして「ID」「パスワード」「カード番号」などを入力しない
本質的なところでは、メールに記載されているURLが「正しく安全な正規のURLであるのか」を見極める意識が大切です。
アドレスバーのURLを見た際に、https://のようにtp…の後、安全性(secure)を示す「s」があるかどうか、あるいは鍵マークがついているかどうかで情報の暗号化に抜かりがないか、安全性の高い状態で運営されているかが判断できます。
もちろん、当Webサイトもご覧のようにhttps://~となっており、鍵マーク付きの安全性が高い状態で運営されています。
利用者の多いGoogle Chromeというブラウザーの場合は、「鍵マーク」と「▲保護されていない通信」の違いによって、安全性がより視覚的に捉えやすく工夫されています(そのかわりに、https://等はそもそも表示されていません)。
鍵の付いていないページが必ずしも「フィッシングサイト(偽装サイト)」とは限りませんが、このようにセキュリティーレベルの低いページについては、どのような理由があってもID・パスワード・クレジットカード番号などの個人情報は入力すべきでありません。
また、基本対策のリスト2番目にあるように、そもそも「第三者からのメールを契機として、その文面内リンクから受動的にログインさせられるようなことはすべきではない!」と心に留めておくことも大切です。ログインしたいときはいつも決まったブックマークからアクセスしていれば、偽装されたフィッシングサイトにログインしてしまうことは避けられます。
改めて述べてはいるものの、これらは比較的広く知られた「なりすましメール」対策です。それでも被害が減るどころか増える傾向にあるのは、上記をなんとなく理解しているものの「まさか自分が…」と他人事のように捉えているケースが多いためでしょう。
また、わかっていてもつい気が緩んでいるときにフィッシングサイトに誘導されてしまうミスも考えられます。それくらいなりすましメールの案内文(誘導文)がもっともらしく作られており、手口が巧妙化してきているというというわけです。
このため、次項では筆者の考えた秘策「メールアドレス分類法」についてご紹介させていただきたいと思います。
【なりすましメール防衛の秘策】メールアドレス分類法!
「メールアドレス分類法」というのは、筆者が勝手に名付けたものです。特に難しいものでも何でもありません。分野ごとにきっちりとそれ専用のメールアドレスを取得し、その分野に該当するものに関してはそのメールアドレスでのみ登録するというものです。
逆に言うと、分野の合致しないサイトに関してはそのメールアドレスでは登録しないというルールを厳守します。これで「なりすましメール」を受けた際にも、登録されている「メールアドレスのカテゴリー」と「なりすまされている差出人」との分類上のズレが浮き彫りになり、「偽物であること」を確定しやすくなります。
少しわかりにくいと思いますので、具体例で見ていきましょう。
メールを分野ごとに複数個用意し、該当分野でのみ登録(サンプル)
たとえば、新規で専用の「銀行用メールアドレス」と「クレジットカード用メールアドレス」と「ネット通販用メールアドレス」を作ったと想定しましょう。このあたりは、なりすましメールで扱われることが多い分野なので、最低でもこの3つは専用のメールアドレスを持っておきたいところです。
仮に筆者の名前が山田だとして、わかりやすいように一応「-mountain(山)」をアドレス内に入れてみました。
用意するメールアドレスのサンプルは次の画像のようになります。クリックである程度拡大できます(スマホの場合は横にして広げてご覧ください)。各メールアドレスを作成する際は、言うまでもなく「パスワード」が必要になります。忘れないもので複雑すぎないものを考えておきましょう。
画像のように、各メールアドレスについては、どこに登録するかを含めエクセルなどで整理しておくことをおすすめします。ちなみにここにあるメールアドレスはもちろん架空のもので、このようなパスワードなども存在していません(仮にこういったメールアドレスが実在していたとしても、それは筆者とは何の関わりもありません)。登録先として挙げたものについても、よく耳にする有名どころを適当に列挙したに過ぎず、深い意味はありません。あくまでサンプルです。
このメールアドレスを登録するときのルールとしては次のように考えます。
自分が使っている「銀行」に登録するときには必ずメールアドレス「silver-go-mountain●outlook.jp」で登録する、自分が所有するクレジットカードに登録するときには必ず「give-me-car-mountain●outlook.jp」で登録する、ネット通販サイトに登録するときには必ず全て「digital-buy-mountain●outlook.jp」で登録する…という形を固定する。これらの分野外のものには絶対にこのアドレスを登録しないように自己管理する。
すると、自分が所有する4つの銀行口座からの案内は必ず「silver-go-mountain●outlook.jp」に届くようになります。クレジットカードを何枚所有していようとも、クレカからの公式案内は必ず「give-me-car-mountain●outlook.jp」に届き、ネット通販系については、アマゾンでも楽天市場でもヤフーショッピングでも、すべて「digital-buy-mountain●outlook.jp」にメールが届くようになります(●は@の置き換えです)。そうなるように登録し直したのだから当たり前の話ですよね。
このような環境下で、仮にこれまで使ってきたメールアドレス「mountain-main-test●outlook.jp」があったとして…、ここにたとえば「差出人:三井住友銀行」と書かれたログイン案内のようなメールが来たとしても、その時点で「なんでこのメールアドレスにそんな案内が届くの??おかしいよね?」と一瞬で見切ることができるようになります。
「mountain-main-test●outlook.jp」では三井住友銀行に登録した経緯はないはずなので、確実に「なりすましメール」だとわかるのです。
どうでしょう?あっさりした作戦ですが、効果てきめんだと思いませんか??これだけで日常生活でフィッシングサイトに誘導されられてしまうリスクがぐっと減ります。
分野ごとにメールアドレスを所有すれば各メールアドレスの漏洩自体が減る
可能性としては、仮に銀行登録用に新規作成したメールアドレスにもそれらしい銀行の案内メール(なりすましメール)が届くかもしれません。確率としてはゼロにはできません。とは言え、「どのメールアドレスも該当分野以外のものには絶対に登録しない!」という習慣を持っておけば、特にこのような金融系のサイトに登録しているメールアドレスが外部に漏れてしまうリスクはかなり低く抑えられます。
というのも、金融系の公式ホームページなどは「セキュリティー上の安全性が命」です。登録された個人情報は絶対に外部に漏れないよう…、また第三者に覗かれてしまわないように徹底管理されています。
仮に所有しているインターネットバンキングの口座が10個あるとしても、多くて10回銀行の公式ホームページでそのメールアドレスを登録するだけです。このメールアドレスについては、この「たった10回の操作」しかしていないのに、これを契機として外部漏洩してしまう可能性はやはり限りなく低いです(それ以外にはそのメールアドレスをどこかのwebページで入力することはないわけですから…)。
今までの普段使いのメールには偽装メールは届くかもしれない??
これまで分野を超えて横断的に使用してきた自分のメインのメールアドレスについては、あるいは既にどこかで誰かに漏れてしまっている可能性があります(少なくてもこのコラムに辿り着いたということは、その可能性が高いのかもしれません…)。よって、普段使いのプライベートなメールアドレスについては、依然としてよくわからない「偽装メール」を受けてしまうケースは残るでしょう…。
それでも、「新しく作成した上記の3種類のメールアドレスでは無暗に色々と登録しない!」と強く心がけていれば、これらのメールアドレスには「偽装メール」が届きにくくなります。また、仮に「なりすましメール」が届いたとしても、登録分野とのズレで見分けられる可能性が高くなるはずです。よって、今後「なりすましメール」に踊らされてしまう確率はぐっと抑えられるはずです。
メールアドレス分類法の欠点:変更手続きでかなりの手間を要する…
この「メールアドレス分類法」の欠点としては、今既に登録し終えているメールアドレスを各サイトで新しいメールアドレスに変更して回ることがとてつもなく面倒くさい…ということです(笑)。手順を整理するなら以下のようになると思います。
1.いくつ新しいメールアドレスを作るか?をよく考えて決める(約15分程度)
とりあえず、再度掲載したこのサンプル画像にあるように「銀行系」、「クレジットカード系」、「ネット通販系」のメールアドレス3種は必須だと思います(これらは分けておいた方が絶対に安全です)。あとは、余裕があるならマイナポータルやe-taxなど、「社会デジタル用のもの」も別途考えるべきですし、ネット社会にどっぷりと浸かっている人ほど必要な数が増えてしまうかもしれません。
2.必要なメールアドレスを必要分作成する(メルアド1つで約10分程度)
メールアドレスは、もちろん無料のもので大丈夫です。筆者の場合、outlookメールを中心にこれらを整えています。また、スマホ所有の都合上、gmailについてもいくつか所有しています。
・新規でフリーのgmailを作成したい場合は「Gmailアカウントの作成」へにアクセスしてください。
なお、新規メールアドレス取得の際には、当然各メールアドレスにアクセスするための「パスワード」もメールアドレスの数だけ必要になってきます。また、一つずつ名前などの基本情報を入力するため、思った以上に時間を要します。
見切り発車でスタートすると、時間経過に比例して徐々に管理が雑になっていき、メールアドレスとパスワードの関係性や登録先などがごちゃごちゃになりがちです。先の画像のように、できれば事前にエクセル表などで整理してから作業に臨みましょう(もしもパスワードを忘れてしまうと、フィッシング詐欺をかわす前に自分で自分の首を絞めることになってしまいます)。
3.既に登録しているメールアドレスを各webページで変更(各10分程度)
ここからが本格的な「登録メールアドレスの変更作業」です。用意した新しいメールアドレスの数や、旧メールアドレスの登録具合でメールアドレスの変更手続きの作業量も変わってきます。
以前のメインメールアドレスで登録されているものは全て変更し直すということではなく、とりあえず以下の3つのものを変更して回るということでOKです。
・クレジットカード関連…クレジット用に新規作成したメールアドレスを、自分が保有しているクレジットカードの各公式ホームページに行って登録し直す
・ネット通販関連…ネットショッピング用に新規作成したメールアドレスを、自分が会員登録しているネットションピングサイトの公式ホームページに行って登録し直す
4.メーラーに新規メールアドレスとパスワードを登録して送受信可能にする(約30分~45分程度)
メーラーを開くだけですべて送受信できるように整えるのが最後の手順です。この際、もしもこれまでメーラー(メールアプリ)を使っておられなかった場合は、メーラー自体の使い方を把握しておく必要があります。筆者の使用しているメーラーはMicrosoft社のoutlook(アウトルック)です。好みもありますので使いやすいものをご利用ください。
なお、グループごとに作成した各メールアドレスを更に細分化したい場合は、受信した各メールアドレスに対して「差出人と宛先を特定してフォルダー分け」しておくこともできます。
更に時間を要することになりますが、こうしておけば、silver-go-mountainAoutlook.jpに届いた「差出人:三井住友銀行」のメールはsilver-go-mountainAoutlook.jp直下の「三井住友銀行」フォルダーに自動分類され、「差出人:住信SBIネット銀行」のものは別の「住信SBIネット銀行」フォルダーに自動的に振り分けられます。これで視認性をより高いレベルにまで持って行くことができます(何関係のものがどこに何通届いているのかが一目瞭然になります)。
正直、登録し直すのはかなりの手間です。メールアドレス変更の際には、旧メールアドレスで変更の意思を確認するケースが多く、新旧2つのメールアドレスにログインできるようにしておかなければなりません。スマホの場合だとやはり時間を要してしまいます…。
よって、できればパソコンからアクセスし、暇な時間などに慌てず地道に進めていくのが良いかと思います。あるいは、変更作業に没頭できるフリーな休日を一日用意してください(さすがに一日全てを取られることないかと思います…)。
「メールアドレス分類法」は実は図書分類での学びを応用したもの
「メールアドレス分類法」という筆者のこの思い付きは、元々「フィッシング詐欺対策」として始まったものではありません。司書関連の資格過程の中で「本を概念で分類して管理することのメリット」を心底実感し、そこから徐々に所有するメールアドレスを分類して管理するようになっていった…ということに過ぎません。
図書館に行けばわかりますが、「○○分野については何番台…」と言った具合に全ての概念が数値化されて整理されています。学んだことのない人にこの利便性の高さを実感してもらうのは困難ですが、これは知れば知るほど非常に奥深い素晴らしい方法だと言えます…。
少し関係ないところからの派生ではありますが、結果として、昨今増えてきたフィッシング詐欺に対して、「あー、自分の場合はメールを分けているからフィッシングサイトに誘導されることはないだろうな…」と感じたわけです。そして、「せっかくなのでこの方法を伝えていけば社会の役に立つかも…」と思った次第です。
筆者自身も、既にメルアド登録し終えていたサイトを回って、一つひとつメールアドレスを変更して回った経験が何度かあります(やっぱりこのメルアド気に入らないから面倒だけど登録し直そう…等々)。このため、新旧メールアドレスの変更作業はとんでもなく面倒なことを嫌ほど認識しています(笑)。ただ、「それでもやる価値は十分にある!」とも思います。
メールの分類化にはこんなメリットも!?
メールを分類して管理していると、思った以上のメリットが実感できるはずです。たとえば、メーラーを開いたときに何関連のメールが何通来ているのか瞬時にわかりますし、急ぎじゃない分野のメールに対しては、「優先順位」を下げて後回し対応しやすくなります。
いちいちメールを開けずとも優先度の判断が成り立ちやすく、くだらないメールに自分の大切な時間を奪われることがなくなります。また、分類精度が上がってくると「〇〇に登録した後でスパムメールが増えてきたな…」といったこともわかるようになり、様々な企業評価にも役立ちます。逆に考えると、このようなメール分類メリットの延長上に「なりすましメールへの対策」も含まれているとも言えます。
ぜひ、お時間のある時に新しいメールアドレスを作成し、分野ごとにきっちりと仕分け登録してみてはいかがでしょうか。当コラムが皆さまの役に立つことを願っています。