思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

厄介なのは、正規のドメイン名が攻撃者によって再利用されるパターンだ。サービスや製品ごとに取得したドメイン名が、サービス終了や廃番によって放置されていることがある。

攻撃者は、これらをフィッシングメールの誘導先に利用する。このようなURLは、セキュリティシステムのブラックリストや悪性サイトのデータベースで排除できないことがある。

ドメイン名は（ほぼ）任意の文字列で登録することができる。持ち主が更新を忘れたり手放していれば、同じドメイン名は誰でも取得可能だ。

企業名や商品名が含まれたドメイン名は、一度は正規ドメインとして運用されていたものであり、検索エンジンに登録されている可能性が高い。誘導、フィッシングに最適だ。

2023年、NTTドコモは自社サービスのドメイン名を失効させてしまい、その名前が競売にかけられたことがある。同社は自動入札で最高値落札を余儀なくされたという事件も起きている。

入力したアカウント情報はどのように利用されるのか

フィッシング詐欺によって直接被害を受けるのは、自分のアカウント（ID・パスワード等）やクレジットカードの情報だ。

これらが犯罪者の手に渡ることで、なりすましやカードの不正利用につながる。企業システムのアカウント情報であれば、そこから本人になりすまして会社のデータを盗んだり、マルウェアを仕掛けたりが可能になる。

フィッシングメールを送ってくる攻撃者は、入手した情報を自分たちで使うとは限らない。アカウント情報やカード番号・暗証番号は、アンダーグラウンドマーケットで商品として取引される（関連記事）。

では実際、フィッシングメールの被害を受けたらどうすればいいか。

よほど特殊な例でなければ、フィッシングメールを受信しただけ、開いただけで情報が抜き取られたり、マルウェアに感染することはない。受信・開封した時点で気がつけば、慌てずメールを無視することだ。会社や組織に報告の規定があればそれに従う。

もし、フィッシングメールとは気づかずに、文面内のリンクをクリックしてしまったとする。ここで気がついてサイトから離脱できれば、まだ直接の被害は起きていない。

だが、クリックした先で何らかの情報（たいていの画面はID・パスワード・暗証番号・そのほか個人情報の入力画面）を入力してしまった場合は、入力した情報が攻撃者の手に渡ったことになる。