思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

例えば、宅配便業者や大手ECサイトを装うなど、相手を本物だと思わせて、ログインIDとパスワード、カード番号と暗証番号といった情報を盗み出す。これが基本的な手口で、個人情報を入手できた時点でフィッシングは成功となる。

システムやサービスのログイン（アカウント）情報は、公私を問わずあらゆる場面で必要になる。攻撃者から見れば、ログイン情報があればたいていのことはできてしまうので、苦労してプログラムの欠陥をついて侵入するより、表から堂々と中に入れて利用価値が高い。

どんなメールが届くのか

フィッシングや詐欺メールの見極めは困難だと思ったほうがいい。以前のフィッシングメールは、本文の日本語がおかしかったり、日本語フォントではない漢字が交ざっていたり、見るからに怪しいメールだった。

最近のフィッシングメールは、多少稚拙な文面でも、ありがちなシチュエーションを利用することも多く、専門家でも簡単に見分けられるものではない。よくあるのは、宅配便の不在通知を装ったものだ。

（写真：筆者提供）

荷物の受け取りに身に覚えがなければ不審に思う内容だが、たまたま頼んでいたものが届く予定があれば、この内容でいとも簡単にだまされてしまう。

ほかにも有名リゾートホテルやテーマパークのチケットの当選を装ったもの。ECサイトや動画サイトのアカウントを無効化するというもの。クレジットカードの不正が確認されたとするもの。これらは典型的なフィッシングメールといってよい。

こうした不特定多数に同一文面でメールを送りつける「ばらまき型」がフィッシングメールの基本だが、この対極にあるのが「スピアフィッシング」と呼ばれる手法だ。

スピアフィッシングとは、メールなどの文面が特定の相手、特定の企業・業種を狙ったフィッシングだ。文面にも標的の個人名や会社名、差出人の個人名や組織名が記載され、内容も業界内部のやりとりになっている。

例えば、親会社・得意先、業界団体・学会からの連絡、所轄省庁からの連絡などを装って、「担当部署の変更」「業界に法改正や新しい規制が導入された」といった文面でだましにかかってくる。