以前、フィッシングサイトに関する記事を寄稿しました。
・精巧に模倣されたフィッシングサイトにご注意を -Amazon編-
・精巧に模倣されたフィッシングサイトにご注意を -Apple編-
2020年現在も相変わらず、大手金融機関やショッピングサイトに成りすましたフィッシングメールが横行しています。
多くは正規のWebサイトを精巧に模倣したHTML形式のメールで送信されており、本物かどうかを見分けるのが非常に難しくなってきております。
そこで正規のものかどうかを判断する3つポイントをご紹介します。
1.差出人のメールアドレス
差出人情報はメールのヘッダーで管理され、差出人名と差出人メールアドレスのほか、 送信日時、件名や宛先メールアドレスが構成されています。
差出人の情報は以下の形式で送信されます。
———————
差出人名<[email protected]>
———————
このヘッダー情報を意図的に操作すると、
・正規のメールアドレス
正規の団体名<[email protected]>
↓
・偽のアドレス
正規の団体名<[email protected]>
こちらで送信可能です。メールのアプリケーションによっては一覧をプレビューした場合、差出人の名前のみ表示される場合があり、 実在の企業からの送信と誤認しかねません。
※実際はメールアドレスも実在のアドレスで送信も可能です。フィッシングメール送信者は受信者の返信により足がつく可能性があるので、実在のメールアドレスで送信していないのではないしょうか??
2.本文中の「てにをは」
これまでに何通かのフィッシングメールを確認しましたが、日本語の助詞である「てにをは」の使い方が怪しいものが多いです。
通常、法人の場合はメールの送信前には本文チェックが行われ、不完全な内容で送信される可能性は低いと思われるので、本文中の文面に違和感を感じた場合はフィッシングメールである可能性が高いです。
3.リンク先のアドレスとWebサイトのSSL証明書
怪しいメールと感じたら本文中のリンクはをクリックしないことが原則ですが、クリックした場合はブラウザが起動しWebサイトが表示されます。ブラウザ側で偽サイトを判別し警告が出る場合もありますが、残念ながらブラウザのフィルタリングは完全ではありません。
ブラウザのアドレスバーの鍵マークをクリックするとWebサイトの証明書が表示されます。そもそも証明書がなくアドレスバーに「保護されていません」が表示される場合は、フィッシングメールの可能性が高いといえますが、「発行先」や「発行者」を確認し、正規のWebサイトと情報が一致していない場合も注意が必要です。
まとめ
フィッシングメールは「アカウントを停止しました」「不正利用の懸念があるため銀行口座やキャッシュカードを一時停止します」「不正なログインが発生したため、パスワードを変更してください」といったアカウント情報や銀行口座を入力させるような類のものが多いです。
フィッシング行為は心理的な隙をついたものが多いため、うっかり引っかかってしてしまうこともありますが、身に覚えのないメールを受け取った場合はひと呼吸をおき、差出人のアドレス・本文中の文章表現・リンク先をチェックし、冷静に対処しましょう。