・Peatix漏洩のメアドに詐欺メールが来た(1) 概要と2020年~2021年受信分
・Peatix漏洩のメアドに詐欺メールが来た(2) 2022年の9月まで受信分と内容分析
上記2つのブログ記事で、Peatixにて2020年に漏洩した個人情報に含まれるメールアドレスに、詐欺メール(フィッシングメール)が多く届き始めていることを報告したが、本記事ではフィッシング詐欺について説明し、騙されないようにする注意点などを記述する。
なお、もし騙されてIDやパスワードを入力してしまった時の対応は次の記事に書く予定。
フィッシング(Phishing)とはインターネット上の詐欺手法の一つであり、ショッピングサイト(Amazon、楽天など)、銀行(みずほ銀行、paypay銀行など)、その他のサービスを騙(かた)って、利用者のIDとパスワードなどを騙(だま)し取り、それを悪用して最終的には金銭的被害をもたらすものである。
もう少し具体的には、上記サービスを騙(かた)った詐欺者作成の偽物Webサイトを案内するメール(フィッシングメール)を不特定多数に送り、下記のような文言でそのサイトへのアクセスそしてIDとパスワードの入力を促す。
「お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください」
「有効期限が過ぎる前に、ぜひごアカウントをご更新ください。」
「お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください」
「アカウント情報をすぐに確認して更新してください。」
(これらはすべてPeatix漏洩メールアドレスに届いた詐欺メールの実例)
本記事はPeatix情報漏洩を機会にして書いてあるが、もともとフィッシングメールは不特定多数に送り、その中の一部でも騙されることを目指しているため、電子メール(携帯メールを含む)を持っている人ならば誰でも受信する可能性がある。
このようにして奪ったIDとパスワードを利用して
・配達先を変更して高額な商品を注文。
・他人のアドレスに勝手に振込。
・信用情報を利用してローンを借り、現金化。
などが行われる。
(初心者レベル)1.上述のような詐欺メール(フィッシング)が横行していることをよくよく認識すること。
(初心者レベル)2.(残念なことであるが)電子メールの案内は疑ってかかる。特に本文中でURLアドレスが案内されていても原則クリックしないこと。
(中級者レベル)3.メールソフトの設定をHTML形式ではなくテキスト表示にしておく。HTML形式とはホームページと同じ表示方式だが、見た目はまっとうなURLアドレスに見せかけながら詐欺者の別なURLに案内することが可能になってしまう。テキスト表示にすることで、詐欺者のそのような行為を明示することが出来る。
Google検索「メールソフト テキスト表示」
ただし、これはそもそも「URLアドレス」がどんなものであれば怪しいのか、まっとうな企業のURLとはどういうものかを理解していないと意味がない。
(中級者レベル)4.電子メールでの案内ではクリックしないことが基本だが、信頼してしまってクリックした場合、もしブラウザ(ホームページ閲覧ソフト)の「オートコンプリート」というIDやパスワードを自動で入力する機能を使っているなら基本的に詐欺者のサイトではこれが機能しない。すなわちパスワードを入れ直さねばならぬ可能性が高い。
すなわち、いつもは自動でIDとパスワードが入るのに、わざわざパスワードを再入力しなければならなくなった場合には、偽物のサイトではないか確認すべきである。
ただしオートコンプリート機能はセキュリティ的に問題だと指摘する声も強く、特に共用のパソコンでは使ってはいけないと言われるのが基本。
(上級者レベル)5.独自ドメインを取得し、サービス会社毎に別なメールアドレスを用いる。こうしておくと届いたメールの宛先を見れば本当に自分が登録したサービス会社から届いているか、一目瞭然で確認することが出来る。(本ブログ主が行っている方法。難易度は高いがインターネットに本格的に関わろうとしている人ならば強くお勧め。)
・フィッシング対策協議会 Council of Anti-Phishing Japan
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html
