パソコンは無料で処分できる!怪しい回収業者に廃棄させない方法とは
目次
フィッシングメール被害のサポート事例
先日、「Googleアカウントがおかしくなってしまったので見てほしい」というサポート依頼がありました。
早速お伺いして確認してみました。すると、メモしてあったというIDとパスワードをログイン画面に入力してもGoogleアカウントにログインできなくなってしまっています。
パスワードの間違いかもしれないので、心当たりのあるパスワードをいくつか思い出していただき入力しましたが、すべてログインできません。
そこで、パスワードを忘れた場合の復旧手続きを試してみましたが、なぜか途中でエラーになってしまいます。
詳しくお話を伺うと、少し前にGoogleからアカウントに関する通知というメールが届き、そのメール内のリンクからログインした記憶があるとのことでした。
しばらくたって再度Googleアカウントにログインしようとして、エラーで返されたのが事の始まりでした。何度ログインを試してもできず、他のパスワードも試したけれどできなかったそうです。
そこでパスワード変更や復旧情報などの変更も試みましたが、エラーが返ってくるのみ。
あせってあれこれやっているうちに、どの情報をどのように変更したのかさえも分からなくなってしまったとのこと。
一体なぜそのような状況になったのでしょうか。
状況から考えると、以前届いたというアカウントに関する通知メールというのは実はGoogleを装ったフィッシングメールだった可能性があります。その画面でログイン情報を入力した際に、IDとパスワードが抜かれたと考えられます。
正規のユーザーがログインできなくなっていることから、既にアカウントは乗っ取られてパスワードなどは改変されている可能性があります。この段階になると復旧は非常に困難になります。
幸い、そのアカウントは主に知人とのメールのやり取り用で不定期に利用していただけだったため、新しいアカウントを作成することで実質的な問題は解決できました。
しかし、もしネットバンキングや通販サイト、SNS、クラウドサービスなどで利用していたアカウントだったらどうでしょうか。
失うのはアカウントだけでは済まなかったかもしれません。
問題は、フィッシングメールが届いたことではありません。
メール内のリンクへアクセスしてしまったことです。
実は現在のフィッシング詐欺被害の多くは、このような「メールリンクへのアクセス」が原因になっています。
依然として蔓延しているフィッシングメール詐欺
「アカウントが停止されます」
「不正アクセスを検知しました」
「お支払い方法に問題があります」
「登録情報を確認してください」
このようなメールを受け取った経験がある方は多いでしょう。
しかし、まず知っておいてほしいことがあります。
フィッシングメールは受信しただけでは被害になりません。
被害の多くは、メール内のリンクを開くことから始まります。
近年のフィッシング詐欺は本物と見分けることが非常に難しくなっています。
そこで重要なのは「見抜くこと」ではなく、「そもそもメールのリンクを開かないこと」です。
なぜ攻撃者はメールリンクを踏ませたがるのか
攻撃者の目的は、利用者を偽サイトへ誘導することです。
偽サイトは本物のWebサービス画面や金融機関、通販サイト、SNSなどとほとんど区別がつかないほど巧妙に作られています。
そこへ誘導できれば、
- IDやパスワード
- クレジットカード情報
- SMS認証コード
- 個人情報
などを盗み取ることができます。
つまりフィッシングメールのメールリンクは、攻撃者が垂らした釣り糸の釣り針なのです。「フィッシング」という言葉が示すように、攻撃者からみれば攻撃は「釣り」で被害者は「獲物」なのです。
警告や不正の通知で動揺させる手口
フィッシングメールの多くは、人を焦らせる内容になっています。
例えば、
- 金融機関を名乗る不正利用通知
- 通販サイトを装った購入済み通知
- SNSを装ったログイン異常通知
- 宅配業者を名乗る再配達通知
- 本社や取引先からの緊急連絡を偽装した通知
などです。
攻撃者は利用者が冷静に考える時間を与えません。
「今すぐ確認してください」
「24時間以内に手続きしてください」
などの文言で焦らせ、リンクをクリックさせようとします。
焦らせる内容ほど、一度立ち止まって疑うことが大切です。
「自分は大丈夫」という人ほど危ない
フィッシング被害者はITに詳しくない人だけとは限りません。
むしろ、
「自分は騙されない」
「怪しいメールは見分けられる」
という自信を持つ人が被害に遭うこともあります。
攻撃者は攻撃の技術だけでなく、人間心理を研究し利用しています。
人は何かに気を取られると判断を誤ることがあります。
運転中にスマホに気を取られて事故を起こす、家庭内で不和があると仕事でミスをするなど、プロでも間違いを犯します。
要するに何らかの懸案中の出来事が起きている人に、タイミングよく届いてしまうフィッシングメールは最も危険なのです。
タイミングが悪いと危険度は一気に高まる
一般の人は「心当たりがない怪しいメール」に警戒しますが、本当に危険なのはむしろ「心当たりがあるメール」です。
例えば、
- 通販サイトへ返品や交換を依頼している
- クレジットカードの利用に不安がある
- 金融機関と手続き中である
- 宅配便の到着を待っている
- SNSアカウントのトラブルを抱えている
- 仕事上の問題や契約上のトラブルを抱えている
このような状況のときに、
「お手続きに問題があります」
「確認が必要です」
「不正利用を検知しました」
というメールが届くと、人は警戒心より不安のほうが増大します。
実際には偶然であっても、自分が抱えている問題と内容が少しでも一致すると、
「これは本当に関係する連絡かもしれない」
と思い込みやすくなるのです。そして、不安がそれを増幅し冷静でいられなくなることさえあります。
攻撃者はこのような心理状態を狙っています。
そのため、何か気になる問題や手続きの最中であるほど、メールのリンクを開かず、自分で相手に直接訪ねたり、公式サイトや公式アプリから確認する習慣が重要になります。
AIと標的型フィッシングで危険はさらに増す
最近増えているのが標的型フィッシングです。
攻撃者はSNSやインターネット上から情報を集め、氏名・勤務先・利用サービス・趣味や所属団体などを調査したうえでメールを作成します。実際に利用しているサービス名や知人の名前が書かれていると、多くの人は信じてしまいます。
さらに生成AIの登場によって、状況は大きく変わりました。
これまでのフィッシングメールは、不自然な日本語や誤字脱字が見分けるポイントでした。しかし攻撃者は今や、
- 自然な日本語
- 利用者ごとに異なる個人向けの内容
- 実際の企業に似た文章
- 法律違反や犯罪などに巻き込まれたかのような内容
など精巧なメールを短時間で大量に作れるようになっています。
今後はメール・SMS・SNS・チャット・音声通話・ビデオ通話などを組み合わせた複合的な攻撃も増えていくでしょう。
「怪しい文章を見抜く」という従来の対策だけでは、もはや限界があります。
スマートフォン利用者は特に注意
スマホへのフィッシングは特に警戒が必要です。最近はスマートフォンを狙ったフィッシング被害が増加しています。
スマホはパソコンよりも手軽さがメリットですが、以下のような点でフィッシング被害に遭いやすい面があります。
- URL全体が見えにくく、リンク先の確認が難しい
- 画面が小さく、偽サイトとの違いに気付きにくい
内容を調べたり確かめたりする作業はスマホでは難しく面倒です。一方でリンクへのアクセスはワンタップで完了します。スマホの手軽さが、そのまま被害につながりやすい環境になっているのです。
メールリンクを開かない習慣を身につける
最も効果的な対策は非常にシンプルです。
サービスを利用するときは、
- 公式アプリを開く
- お気に入りからアクセスする
- 自分でURLを入力する
という方法を徹底してください。
メール内のリンクは利用しない。
この習慣だけで多くのフィッシング被害を防ぐことができます。
メールリンクを開きにくいフィッシング対策環境を作る
メールリンクをクリックしない習慣づけも大切ですが、そもそもリンクを開きにくい環境を作っておくことも有効な対策です。
メールソフトやWebメールの設定を見直すだけで、リスクを大きく下げられます。たとえば、受信メールをプレーンテキスト表示に切り替えると、次のようなメリットがあります。
- HTMLの偽装リンクや画像による誘導を防げる
- URLが装飾されずそのまま表示され、不審なドメインに気づきやすい
- フィッシングメールの見分けがつきやすくなる
セキュリティ意識の高い企業や組織では、テキストメールを推奨しているところもあります。個人でも同様の設定に切り替えておくことをおすすめします。
本物かどうか必ず別の方法で確認する
メールの内容が気になった場合は、メールリンクから確認してはいけません。
金融機関や通販サイトの名前が書かれていても、公式アプリ・公式サイト・公式サポート窓口など別の手段で確認しましょう。
スマホに届いた場合は、パソコンで確認するのも有効です。
また、メール本文をAIに見せて「このメールはフィッシングの可能性がありますか」と尋ねると、不自然な表現や典型的な詐欺の手口を指摘してくれる場合があります。
ただしAIはあくまで補助的な手段のひとつです。最終確認は必ず公式情報と合わせて行いましょう。
まとめ:メールリンクは開かない
フィッシング対策で覚えておきたいことは3つです。
① メールのリンクは開かない
② 気になる内容は公式サイト・公式アプリで直接確認する
③ 慌てさせる内容ほど疑う
AIの進化によって詐欺メールはますます巧妙になります。
だからこそ重要なのは見抜く力ではなく、「メールリンク」という危険な釣り針にかからないようにする習慣です。
「メールリンクは開かない。」
その習慣こそが、あなたの個人情報と財産を守る最も強力な防御策なのです。
NetProve ネットプローブ「情報管理サービス」
九州インターワークス
http://www.kumin.ne.jp/kiw/security.html
