なりすましメールとは？その見分け方と対処法

銀行や企業などになりすましてID、パスワードや個人情報を盗むフィッシング詐欺など、なりすましメールを起点とする攻撃は以前からありましたが、その手口は巧妙さを増しており、被害事例も減少しているように見えません。

気がついたら銀行口座から金銭が引き出されているなどの被害から自分の身を守るためにも、なりすましメールの見分け方や対策について解説します。

 

1.なぜなりすましメールが届くのか？

そもそも、なぜなりすましメールが届いてしまうのでしょうか？

なりすましメールの対策をするにあたって、なりすましメールが届く仕組みや、そこから発展する不正行為などについて確認しておきましょう。

1-1.なりすましメールとは

なりすましメールは悪意のある第三者が銀行や企業などを装った偽物のメールのことで、本文に記載されたリンクから偽装サイトにアクセスするように誘導し、住所や電話番号、口座番号などの盗み取りを目的としています。

以前はEメールから届くことが一般的でしたが、SMSやLINE、TwitterやFacebookなどのSNSを利用したなりすましメールなど、手口のバリエーションが増すとともに巧妙さも増しています。

1-2.なりすましメールが届く仕組み

メールはエンベロープという封筒にあたる部分と、ヘッダーという封筒の中身にあたる部分で構成されており、この2つの部分に含まれる情報が異なっていても問題なく相手にメールが届く仕組みを持っています。

なりすましメールはこのメールが持つ仕組みを利用した詐欺であり、中身は偽物でもメールソフトで送信元メールアドレスを偽装すれば、相手になりすましメールが届いてしまうのです。

1-3.なりすましメールを起点とするリスク

なりすましメールによる不正行為は、大きく分けて次に挙げる3つに分類できます。
セキュリティ向上のためにもなりすましメールのよくある手口について、この場でしっかり理解しておきましょう。

1-3-1.マルウェア感染

多くの人が不用意に怪しいメールを開封してはならない、そのようなメールのリンクをクリックしてはならないと知っているはずなのですが、それでもマルウェア感染源の多くがメールであるという事実は変わっていません。
近年のマルウェアはその多くが密かに活動するトロイの木馬であるため、仮に感染したとしても気づくことはかなり困難と思われます。
そのようなメールのリンクをクリックしたことが無かったとしても、セキュリティソフトは必須です。以下にあるような無料体験版を試してみると良いでしょう。

1-3-2.フィッシング詐欺

フィッシング詐欺は冒頭でも述べた通り、企業や銀行などになりすましてメールを送り、偽のサイトに誘導し(稀に本物のサイトに侵入して改変していた例もあります)クレジットカード番号や銀行口座番号、パスワードなどの重要な個人情報を盗み取ろうとする詐欺です。もしフィッシング詐欺でこれらの情報が盗み取られてしまうと、勝手に買い物をされたり、口座にある金銭を勝手に引き落とされるなどの被害にあう可能性があります。

こちらは、実際に届いたフィッシング詐欺が疑われるなりすましメールです。メッセージアプリのLINEを偽装していますが、このメールに騙されてアクセスすると不正なサイトに誘導される可能性があります。

 

1-3-3.クリック詐欺

クリック詐欺はなりすましメール内にあるリンクをクリックさせて、偽装サイトに誘導して架空請求などを行う詐欺です。この詐欺は「支払日は〇月○日までです」や、「有料サービスの未払いが発生しています」など、相手の不安を煽る文面が特徴の1つとして挙げられます。また、偽装したリンクを1回クリックさせるだけでなく、数回クリックさせることで本物のように見せかける手口も見受けられます。

こちらも実際に届いたメールにあったリンク先に表示された、詐欺が疑われる画面です。会員登録がすでに完了していることを強調し、会費の支払いを求めています。

 

2.なりすましメールの見分け方と有効な対策

なりすましメールの被害に遭わないためには、適切な対処法を知っておくことが重要です。
そこで次に、なりすましメールの見分け方と有効な対策を解説します。

2-1.有名なブランドやサービスの悪用が多い

ゆうちょ銀行になりすまして「資金口座のセキュリティ向上のためにバージョンアップを行ったので、すぐに口座の更新をお願いします。」などと言って偽装サイトに誘導するといった例や、Amazonや佐川急便を名乗り「配送があります」とメールする例など、なりすましメールは有名なブランドやサービスの悪用が多く見られます。先ほどLINEになりすましたメールをご紹介しましたが、このように多くの人が利用しているネットサービスを偽装するパターンが多く見受けられます。

したがって、届いたメールがよく知る企業や銀行などからのものだったとしても、IDやパスワードの入力を求める内容であれば、リンクをクリックせず、ネット検索をしたり公式サイトなどを確認して、なりすましメールの注意喚起がされていないか確認しましょう。
もし、検索結果に注意喚起のために掲載されている文面と届いた文面が同様であれば、なりすましメールだと考えて良いでしょう。

ログインをするにしても、メールのリンクではなく、自分で公式サイトに訪問してログインするように習慣付けておくとより安全です。

2-2.ログイン画面でなりすましを見極めるのは困難

一見して詐欺だと見極められれば良いのですが、なりすましメールに用いられる偽装サイトは本物のサイトのデータをコピーして作られていることが多いため、画面だけで偽サイトだと見極めるのは事実上不可能です。

ログイン画面の見た目で詐欺かどうかを判断するのは危険なので気をつけましょう。

2-3.サイトアドレスを確認する

なりすましメールによる詐欺はログイン画面では見極められないことが大半なので、訪問したサイトのURLを確認する方法が有効です。
ただし、「サイトアドレスにブランド名が入っているから本物だ」などと考えてしまうのは危険です。正規のアドレスが「ブランド名.com」(たとえば、amazon.com)の場合、似たようなスペル(たとえばannazon.com やamazom.com)でそれを偽装したり、それを偽装しているサイトのアドレスが「ブランド名-●●●.com」(たとえば、amazon-market.com)といったように、よく似たアドレスになっていることもあります。この場合、ブランド名が含まれているから安全かというと、そうではないことが分かります。

先にも述べたように、メールに記述されるリンクからサイトに訪問するのではなく、自分でサイトに直接訪問する習慣をつけておくとより安全です。

2-4.キャンペーンやトラブルの告知が本物であるのか確認

なりすましメールは新商品や新サービスの発表に乗じてキャンペーンを装って送られるケースがあります。そのため、「ログインするだけで抽選できます」や「今ログインすると、5,000円がもらえます」などのキャンペーンや、「アップデートにともない不具合が発生したので、早急にログインしてご確認ください」などのトラブルの告知が入ってきたら、公式サイトでこれらの告知に関する情報が掲載されているか確認しましょう。

先ほどご紹介したLINEになりすましたメールにも「異常ログインされた」という文言があるので、不安を煽ることでリンクに誘導する手口であることが分かります。

もし公式サイトに該当するキャンペーンやトラブルの告知がなければ、なりすましメールの可能性が高いと判断できます。

3.なりすましメールの被害を未然に防ぐ対策

なりすましメールに適切に対処し、被害を未然に防ぐ４つの対策を解説します。

3-1.一番の対策は無視すること

なりすましメールの被害を未然に防ぐ一番の対策は、リンクや添付ファイルがあっても開かずに無視することです。「なりすましメールの見分け方と有効な対策」で解説した方法でなりすましメールだと判断した場合はもちろん、なりすましメールだと確信が持てない場合でも、怪しいと感じたメールは基本的に無視する方が被害に遭うリスクを回避できます。

3-2.メールの情報や掲載URLが公式なものか確認する

届いたメールに「口座が凍結されるので〇日までにログインしてください」などといった文言が書かれていると、焦ってログインしてしまいそうになるかもしれませんが、すぐに反応をせずにまずは一呼吸おいて落ち着きましょう。

次に、公式サイトで届いたメールの情報が本物であるかどうか確認しましょう。なりすましメールは本物と見分けがつかないほどに巧妙であるケースも増えてきたため、公式情報で詐欺の注意喚起がされていないか確認するとともに、メールに記載されているURLと本物のURLを比べてみることも非常に重要です。

また、メールの件名や文言をそのままコピーして検索をかけると、「これは詐欺です」と注意喚起がされている情報を見つけられるケースもあるので、併せて確認するとより安心です。

3-3.二要素認証を設定しておく

ネットバンキングやキャッシュレス決済サービスなどでは、IDとパスワードの他に二要素認証(サイトによっては二段階認証と表記されています)を設定することが一般的になってきています。

二要素認証とは従来のパスワードに加えて、発行された認証コードやワンタイムパスワードを入力して認証する仕組みのことであり、これらの認証コードは使用するための時間制限があるため、設定しておけば第三者は簡単にログインすることはできません。

この仕組みにより、もしなりすましメールでパスワードを盗み取られたとしても不正アクセスの防止が可能なので、二要素認証の設定を強く推奨します。

3-4.知らない人からのSNS登録申請は承諾しない

TwitterやFacebookなどのSNSや、LINEからの友人申請からもなりすましが発生しています。

気軽に承諾してしまうと場合によってはアカウントの乗っ取りが発生するリスクがあることに加えて、乗っ取られたアカウントの個人情報を利用してなりすましメールに不正利用される恐れもあります。したがって、たとえ友達申請をしてきたユーザーが見覚えのある企業などであっても、身元が分からない場合は安易に承諾しない方が賢明です。

4.なりすましメールに情報を送信してしまった場合の対処法

もし、なりすましメールに記載されていたリンクにログインして情報を送信してしまった場合は、早急に次に解説する対処法を行い、実際に被害に遭うリスクをできる限り回避しましょう。

4-1.パスワードを変更する

なりすましメールに個人情報を送ってしまったことに気付いた時点で、すぐにパスワードを変更しましょう。
早めに対処することで、流出した恐れのあるパスワードによる不正ログインの防止が可能になります。

4-2.二要素認証を設定する

仮に情報を送信したとしても、二要素認証が設定されていれば、即座に同じIDとパスワードでそのサービスにログインされる危険性は低いと言えますが、設定していない場合はパスワードの変更を行った後に二要素認証も設定しましょう。

面倒かもしれませんが、普段から二要素認証があるサービスについては予め設定しておくと安心です。

4-3.同じIDとパスワードを使い回しているサービスがないか確認する

全てのオンラインサービスに対して別々のログインIDとパスワードを使用する方が安全ではありますが、ログインIDはeメールアドレスを使用するサービスも多いため、IDはそのままにパスワードのみを違うものに設定していらっしゃる方は多いと思います。

しかし、もしパスワードも同じものを使いまわしているサービスがあるとしたら、そちらのサービスもパスワードを変更し、二要素認証を設定するべきです。

攻撃者はパスワードリスト攻撃によって、入手したログインIDとパスワードでいろいろなオンラインサービスのログインを試みる可能性があり、もし他のサービスにログインされてしまった場合に損害を受ける可能性があります。

4-4.不正利用されているサービスが無いか調べる

もし、なりすましメールで送られてきた偽装サイトからクレジットカード情報を送信してしまった場合は、カードが不正に利用されていないか使用履歴を確認しましょう。

ショッピングサイトあれば、不正購入された品物がないか購入履歴を確認しましょう。

もし、不正に利用されたクレジットカードを発見したり、不正購入された品物があれば一時的にクレジットカードを利用停止にするなどの対処が必要になります。

5.まとめ

なりすましメールはEメールだけでなく、SNSやLINEにも届くなど種類が増加傾向にあるうえに手口も巧妙さを増しています。
そのため銀行や決済サービス、よく知った企業などからメールが届いた場合は、セキュリティ向上のためにもなりすましメールである可能性を考慮するようにしましょう。

そして本記事で解説した見分け方や未然に防ぐ方法を参考に、正規のメールであることが確認できてから対応すれば、なりすましメールの脅威から身を守ることにつながります。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。