思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

2022年のロシアによるウクライナ侵攻では、その前後にロシア側からと思われるフィッシングメールなどが、電力事業者や金融業界関係者に送られている。その後、プロパガンダを目的としたスピアフィッシングメールが、EU圏のウクライナ語話者に送られたことも確認されている。

本来、フィッシングメールは、大量のアカウント情報を入手することが目的である。ピンポイントで狙うスピアフィッシングは効率がよくないが、対象の個人や属性に価値があれば有効だ。

最新の事例や手口は対策事業者のサイトを活用

注意しなければならないパターンは、ほかにもある。SNS、ゲームなどのアカウントを凍結する、税金や補助金の還付をかたるフィッシングも定番だ。地震や豪雨などの災害、大きなニュースの直後は義援金・寄付を募るパターンもある。

フィッシングの例は、枚挙にいとまがない。文面や事例も社会情勢や出来事にあわせて変化する。特定の事例を示してもすぐに古くなるので、文面の事例については、都度、ニュースなどを確認して認識をアップデートしておく必要がある。

最新の攻撃メールが確認されると、フィッシング対策協議会（APC）やドコモなどの通信事業者が、ホームページを適宜更新するので参考にするとよい。自分が利用している金融機関や企業（をかたる）のフィッシングが流行っているのか、と注意喚起に役立つ。

また、さまざまなサイトにフィッシングサイトを見分けるポイント、正規ドメイン名かどうかの判定ポイントなどが公開されている（ドメイン名が正規のものか、意図的な誤植が含まれていないかなど）ものの、これだけで見分けるのは難しい。

リンク先の確認は心がけとして常に意識しておくべきことだが、現在のドメイン名の仕組み、URLの使い方は複雑で、「ここを見れば偽物かどうかわかる」というポイントは存在しないと考えたほうがいい。

正規サイトでも、キャンペーンごとにドメイン名を個別にするなど、企業名と連動しないものが増えている。

短縮URLやQRコードも注意が必要だが、これらは目視確認が困難だ（リンク先アドレスをコピーしてテキストファイルなどに張り付けて確認する必要がある）。特定の文字列が含まれていればOK、NGという判定方法に頼るのは、かえって危険である。