実在する企業やサービスを装うなりすましメールや、有料動画の未納料金があるから電話するよう求めるSMS(ショートメッセージ)などが、毎日多量にばらまかれています。偽物と気付かずに指示に従った結果、マルウェア(ウイルス)に感染したり、クレジットカードやキャリア決済を不正利用されたり、プリペイドカードを騙し取られたりといった被害も多数出ています。もっともらしい文面や絶妙なタイミングで届く内容に惑わされてしまいがちですが、偽物はしょせん偽物。本物になり切れないところがあります。今回は、偽メールの見分けるためのポイントをご紹介します。
<INDEX>
■基礎編:偽メールの「よくある特徴」をチェックする
心当たりがない内容、あいまいな内容
不自然な日本語
不安をあおる文面、焦らせる文面
★会員サイトは必ずブックマークに登録を
■上級編:「差出人」と「リンク先」をチェックする
「差出人メールアドレス」の確認方法
「誘導先URL」の確認方法
<以下本文>
まずは、メールの開封前や開封直後に即断できそうな偽物の特徴をご紹介します。よくできた偽物を見分けられるほどの精度はありませんが、このレベルの偽物はまだたくさんあるので、基礎知識として押さえておきましょう。ほぼ確実に偽物を排除できる最重要ポイントは後半にご紹介します。
●心当たりがない内容、あいまいな内容
使用していないサービスから届いたもの、サービスは利用しているが登録していないメールアドレスや電話番号宛てに届いたもの、相手が誰なのかよくわからないものは無視しましょう。心当たりがない内容やよくわからない内容のものは、本物の場合もありますが、「何だろう?」と思って相手に連絡するのは禁物です。相手はそれを狙っているのかもしれません。
心配な方や「おかしい」と思った方は、メールに記載された連絡先やリンク先ではなく、公式サイトやその運営会社のサポート窓口、あるいは公的機関の相談窓口を利用して下さい。もよりの消費生活相談窓口を紹介してくれる「消費者ホットライン」(電話番号「188」番)や、「警察相談電話」(短縮ダイヤル「#9110」番)に電話をかけると、いつでも無料で相談できます。
図1 身に覚えのない内容を送りつける架空請求SMS:アマゾンを装う例(左)と名乗らない例(右)
●不自然な日本語
公式メールのコピーや違和感のない日本語を使う攻撃者も増えてきましたが、まだまだ出来の悪い偽物がたくさんあります。落ち着いて読めば、英文を機械翻訳したようなおかしな日本語に気づくはずです。請求書を装うメールなども、本物をコピーされると識別が難しくなりますが、身に覚えのない請求が突然来るので、前掲の「心当たりがない内容」として処理しましょう。慌てて本文にあるキャンセルをクリックしてはいけません。
図2 Yahoo! JAPANを装う不自然な日本語メール(上)、楽天カードを装う精巧なメール(下)
●不安をあおる文面、焦らせる文面
不正アクセスや支払いの問題、パスワード等が変更されたなどのそれらしい理由をつけ、確認や更新を求める偽メールが多数あります。手続きしないと利用できなくなると脅したり、24時間以内にというような短い期限をつけて焦らせたりするのも常套手段ですが、過度に不安をあおったり、焦らせたりする文面は警戒が必要です。
こうした問題は、実際に発生して本物の通知が届くことがある一方で、この本物のメールをコピーした偽物がばらまかれることもあるので厄介です。つい先ごろも、何らかの方法で入手したメールアドレスとパスワードのリストを使って不正ログインを試行する「リスト型攻撃」を受けた大手コンビニの会員サイトで、全会員のパスワードのリセットが行われました。ネット上では、届いた通知が本物なのか偽物なのかで一時ざわつきましたが、この手の通知は、公式サイトにアクセスして確認するのが手っ取り早く確実です。公式サイトの告知や実際にログインして確かめるのです。
★会員サイトは必ずブックマークに登録を
会員サイトに入会したら、その場でブラウザのブックマーク(お気に入り)に、そのサイトのトップページとログインページを登録しておきましょう。以後、そのサイトへは登録したブックマークからアクセスするようにすると、偽サイトに誘導されず安全です。スマートフォン用の公式アプリが配布されている場合には、それを利用するのも一計です。
差出人のメールアドレスと誘導先のURLは、本物と偽物を見分ける重要なポイントです。本物を知らないと真偽を判断できませんが、偽物に騙されないようにするためには必須の情報なので、事前に確認しておきましょう。
メールアドレスは、会員登録時やパスワードなどの変更時に届く「確認メール」の差出人を覚えておくか、アドレス帳に登録しておきます。URLは、公式サイトにアクセスし、トップページ、ログインページ、会員ページのアドレスバーの表示を覚えておきます。特に重要なのは、「ドメイン名」の部分です。
ドメイン名は、メールアドレスは「@」の右側、URLは「://」と最初の「/」間に注目します。「.」で区切られた文字列の右端から、第1レベル(トップレベル)、第2レベル、第3レベル、第4レベルと数え、図のような第2~第4レベルで「ドメイン名」が構成されます。覚えておくのは、図の下線が引かれたこの「ドメイン名」の部分で、ここが公式のものと一致しているかどうかで、本物と偽物を見分けます。
図3 メールアドレス/URLの仕組みとドメイン
●「差出人メールアドレス」の確認方法
メールの差出人の表示名やメールアドレスは、郵便物と同じように送る側が自由に設定することができます。偽メールの多くは、この部分を偽装して本物に見せかけようとするので、あまりあてにはできませんが、それでも半分以上の偽物を振るい落とすことができるでしょう。
差出人の表示名は、たいてい偽装されているので、それらしい名前になっていても信じてはいけません。メールアドレスまで偽装したものとなると、その数はかなり少なくなります。差出人のメールアドレスが正しいからといって、必ずしも本物とは限りませんが、違う場合はほぼ間違いなく偽物です。中には、差出人名に公式のメールアドレスを設定して、ごまかそうとするメールもあるのでご注意ください。
表1 差出人の偽装パターン
表示エリアが狭いスマートフォンの場合には、標準ではメールアドレスが非表示のものや、表示しても一部しか見えないことがほとんどです。機種やメールアプリにもよりますが、差出人の長押し (タッチしたまましばらく押し続ける) や、「詳細表示」のタップでたいてい確認できるので、重要なメールは必ず確認してください。
図4 差出人メールアドレスの確認方法:スマホは「差出人」名や「詳細表示」をタップすると差出人のメールアドレスが確認できる
●誘導先URLの確認方法
誘導先URLが公式サイトのものかどうかを確認すると、ほぼ100%偽物を見分けることができます。本物のURLで偽サイトに誘導することは不可能ではなく、今年に入って国内でも事例が確認されましたが、メールと組み合わせた事例は今のところありません。メールの誘導先のURLが正しければ本物と考えてよいでしょう。
注意しなければいけないのは、見た目は本物に見えて、実際のリンク先が異なる偽装リンクです。見た目は、「アカウント確認」などの文字列やボタンになっていて、URLが見えない場合もあるので、メールのリンクをクリック(タップ)する場合には、本当のリンク先のURLを確認しなければいけません。
パソコン版のメールソフトやWebメールの場合には、マウスカーソルをリンクの上に移動すると、ツールチップやステータスバーで本当のリンク先が確認できます。ただしブラウザベースのメールソフトやWebメールのツールチップは、偽装されていることがあるのでご注意ください。信頼できるメールで事前に確認し、ツールチップのみの表示の場合はツールチップを。それ以外はステータスバーの表示を確認するようにします。
図5 パソコンでのURLの確認方法(マウスオーバー)
スマホの場合は、リンクの長押しで確認します(リンクをタップすれば、サイトを開く前に真のリンク先を確認できる機種もあります)。
図6 スマホでのURLの確認方法(長押し)
偽メールには、公式サイトとは違うURLが記載されています。正規のキャンペーンメールの中には、公式サイトとは違うURLにもかかわらず本物というケースもありますが、偽物の識別が難しくなるだけなので、全て偽物と割り切って無視するのが無難です。
(執筆:現代フォーラム/鈴木)