フィッシング詐欺

「アカウント情報を更新してください」は詐欺

2019年10月8日の日経新聞に、フィッシング詐欺急増との記事があった。フィッシング詐欺とは、偽サイトへ誘導してユーザーIDやパスワードをだまし取るネット特有の詐欺のことだ。

だまし取られた情報は悪用され、あなたの銀行口座からは海外の見知らぬ人物の口座へ送金され、クレジットカードは勝手に高額な商品を買われてしまうだろう。

まずは、記事の内容を要約しておくと…

金融機関を標的としたフィッシング詐欺が増えており、今年は9月末の時点で3万件を超える被害がでている。過去最高だった2014年をすでに上回っているとのこと。

日本クレジットカード協会によれば、不正使用の被害額は2018年が188億円で2年前から倍増しており、今年もそれを上回る勢いだという。

私はこの記事を見て、毎日届く迷惑メールの実態を理解した。私の元へは毎日のようにAppleやAmazon、楽天などを騙るメールが届く。三井住友や東京UFJなどの金融機関を騙るものもある。

メールが届くたびに「また、詐欺メールか」と思う一方で、これだけ懲りずに毎日のように送ってくるには騙されてしまう人がいるから続けているのだろうとも思っていた。

ただ、私が考えていた以上に深刻な問題だったようだ。クレジットカードの不正利用だけでも近年は200億円弱もあり、金融機関を併せたら倍の金額では済まないだろう。今回は簡単に騙されない詐欺メールの見分け方を、次回は具体的な手法や対応方法を、2回に分けて解説していこう。

詐欺メールの見分け方

毎日、私へ不本意ながら詐欺メール以外にも、家族や友人、仕事のクライアントから「こんなメールが届いたんだけど…」と相談されることが少なくない。当人も怪しいと感じていたのだろう。そのメールを見せてもらうと十中八九、詐欺メールだ。

詐欺メールの簡単な見分け方は以下の3つ。順に解説していこう。

  • 日本語がおかしい
  • 常識から逸脱している
  • 送信元のメールアドレスが不自然

日本語がおかしい

一つ目のポイントは、日本語がおかしい。詐欺メールを読んでみると、外国人が書いたような文章だ。私に届いたメールから引用すると…

  1. 何卒お願い伸し上げます。
  2. 悪意のある注文の拡散とアカウントの盗難により~
  3. 情報と注文を管理、処理してください。
  4. ご注意ください!
  5. なぜこのメールを受け取ったのだろうか?

もし、楽天やAmazonからこのような文章が含まれているメールを受け取ったら、日本語が不自然とは感じないだろうか?

1は漢字が間違えている。「伸し上げます」ではなく「申し上げます」が正しい漢字だし、変換機能も正しい方を表示するはずだ。中華圏から送られる詐欺メールは日本では使われない漢字が含まれていることも多い。

2や3はどうだろう。私はこれまでの人生で一度もこのような言い方をされたことがない。「注文の拡散」「注文を管理、処理」これは、インターネット上の翻訳機能を用いた結果、おかしな日本語に変換された例なのだ。

4と5も同様に、日本の良識ある企業の社員が顧客に対してビックリマークやクエスチョンマークを使って文章を書くことなどありえない。親しい間柄であれば、年賀状や暑中見舞いで「お元気ですか?」とクエスチョンマークを使うこともできるだろう。

しかし、そうではない相手に対して、ふさわしい書き方ではないのは明白だ。「!」や「?」は外国語の文化であって、正しい日本語では使われない。5など意味すら分からない。

このような過ちは日本語をネイティブで使っていない人物が犯す典型的な間違いなので、騙されないための判断基準にして欲しい。外国人が日本の文化を理解せず、自動翻訳などを用いて詐欺のメールを書いている場合は、このような文章が含まれる。

常識から逸脱している

二つ目は常識的に考えてみよう。仕事の取引先やお客様、プライベートの恩師や先輩などへ宛名も書かずに手紙やメールを送るだろうか。まず初めに相手の名前を書き、簡単な挨拶をして本題に移る。そして、最後に自分の名前を書いて締めくくる。これが当たり前の流れだ。

しかし、詐欺メールの送信者はあなたの名前を書きたくても書けない。そもそも知らないのだ。不正に入手したメールアドレスへ一斉に詐欺メールを送っているため、名前も知らない不特定多数のアドレスへ常識とかけ離れたメールを送っているに過ぎない。

親しい関係であれば省略しても差し支えないことでも、企業が顧客に対して名前を書かないのは常識を逸脱している。顧客全員へ送るようなメール配信なら「お客様各位」ぐらいは書いてあるだろう。

私が知人から詐欺かもしれないメールが届いたと相談されたときは、そのメールを確認した後に2つだけ今後のアドバイスをしている。それが、先に挙げた日本語と常識に関する点だ。インターネットの仕組みや、パソコン・スマホ操作に不慣れな人でも高確率で詐欺メールが判別できる。

具体的には、このように伝えている。

「私が〇〇さんへメールを送るときは、必ず双方の名前を書きますし、あいさつの一文も書きます。添付ファイルやリンクには理由を一文書き添えています。インターネットは特別な世界ではなく、我々が生活する世界の一部ですから、常識的に考えてヘンなメールは詐欺だと判断しても大丈夫ですよ」と。

送信元のメールアドレスが不自然

メーラー(メール閲覧アプリ)では送信者の名前やメールアドレスが表示されるが、ここでも判断できる。

日本のAmazonなら「〇〇@amazon.co.jp」のような送信元になっているはずだ。japan(日本)のcorporation(企業)であるamazon(アマゾン)が送信元だとamazon.co.jpというメールアドレスになる。楽天ならrakuten.co.jpとなる。インターネット発祥の地であるアメリカだけは国を示す“jp”のようなものはなく“com”が用いられている。

少し分かりにくい例だと、三井住友銀行のsmbc.co.jpが挙げられる。Sumitomo Mitsui Banking Corporationの略がsmbcになるのでsmbc.co.jpが使われている。メールアドレスを入力する場合は短い方が便利なので略された頭文字がアドレスになっているのだ。

ここで、私の元に届いた詐欺メールのアドレスを挙げてみよう。ここで重要な点は@(アットマーク)の右側で、ここを偽ることはできない。一方で@の左側は任意に詐称できるので、左側はカモフラージュに使われる。

amazon@0949.co.kr(Amazonを騙った詐欺メール)
apple_support@0984352345.com(Appleを騙った詐欺メール)
noreply@09071.com(楽天を騙った詐欺メール)

@の右側は意味が分からない数字になっているのが分かるだろう。嘘がつけない部分だからだ。反対に@の左側は、それっぽいアドレスになっている。左側は簡単に嘘がつける部分なため、少しでも騙してやろうという魂胆が見え見えだ。

このようなメールを受け取ったら、信用してメール内のリンクをクリックしたりせずに破棄してしまって構わない。ちなみに“kr”はKorea(韓国)のアドレスだ。

まずは、詐欺と気づき未然に被害を防ぐことが大切。インターネットに疎くても常識で判断できることも多いから臆することはないのだ。ヘンなメールが届いたら、素直に“ヘンだ”と判断すればいい。次回はフィッシング詐欺の手法や対応方法を解説していく。