2022/06/08

詐欺メールやメッセージが届いたときの対処法は?実際のケースをもとに対応方法を解説

近年ますます件数の増えるフィッシング詐欺の被害。

フィッシング詐欺とは、興味を惹く言葉や焦って対応を急がせるようなメッセージを送り、本物を装ったホームページに誘導した上で、IDやパスワード、クレジットカード情報など個人の大事な情報を盗み出す詐欺のこと。盗んだ情報をもとに金銭的な被害などを発生させる。最近では手口がどんどん巧妙化しており、本物と区別がつかない事例が増えてきている。

そういった背景を受け、インターネット事業者と通信事業者が連携して、6月9日を「サイバー防災の日」としてインターネット上の防災意識の啓発に取り組み始めた。

今回は、この取り組みの一環として詐欺メッセージの事例を紹介するので、自分の行動に照らして考えてみてほしい。

詐欺メッセージ対策啓蒙画像

ケース1:このメッセージが届いたとき、あなたはどうしますか?

KDDIを騙る偽メッセージ ※画面内文字の見えにくい方は、二本指で画面を拡大してご覧ください。

Aさん詐欺メール1「文章に不自然な日本語はないし、いつも利用している電話会社からの通知のようだ。とりあえずリンク先を確認してみよう。」

Bさん詐欺メール1「未払いが発生していれば急いでURLにアクセスする必要があると思うけど……今回は特に心当たりがないので無視しよう。」

Cさん詐欺メールoro「この携帯電話が使えなくなってしまうと困るので、急いでリンク先を確認しよう。」

Dさん詐欺メール1「今月もきちんと料金を支払っていたはずだけど…詐欺メールかもしれないし、何か手違いが発生しているかもしれないので、念のため公式サイトかアプリから確認しよう。」

【解説】

この場合に適切な行動をとっている人は、Dさんだ。

Aさんの場合、会社名や文章が不自然でないかを確認したうえで、本物のメッセージだと判断してリンクにアクセスしようとしている。まず文章を読んで詐欺かどうか疑うという行動は良いが、詐欺メッセージは公式からのメッセージを参考にしたり、そのままコピーしたりして作られていることが多い。見た目では本物と見分けがつかないと思っておいた方が良い。

Bさんは、今回は運良く、未払いに心当たりがないので無視したことから、詐欺サイトへのアクセスを回避できているが、心当たりがあるときにタイミング悪く詐欺メッセージが届くこともある。心当たりがあってもなくてもメッセージのURLをそのままクリックすることは避けておきたい。

Cさんは、携帯電話が使えなくなるという「焦り」からリンクにアクセスしているので、詐欺サイトに誘導されてしまっている。

このケースでは、Dさんのようにメッセージの内容が気になったとしても、文中にあるURLをそのままクリックせず、「公式アプリ」や、あらかじめショートカットやブックマークしておいた「公式サイト」から状況を確認することがもっとも適切な行動だ。

それでは、この解説を踏まえて次のケースを見てみよう。

ケース2:このメールが届いたとき、あなたはどうしますか?

au PAYを騙る偽メール ※画面内文字の見えにくい方は、二本指で画面を拡大してご覧ください。

Aさん詐欺メール1「文章に不自然なところはなく、いつも使っている決済サービスからの通知に見えるので、確認のためリンク先にアクセスしてみよう。」

Bさん詐欺メール1「この日時に使った記憶はないけど、文面をよく読むと「身に覚えがない場合はこちら」という記載があるので、念のため案内のあるリンクから確認しよう。」

Cさん詐欺メールnico「パッと見たところ、いつも来ている利用通知メールだろうか。確認しなくても問題なさそうなので無視しよう。」

Dさん詐欺メール1「以前届いたメールと同じような内容だ。もしかすると残高不足があったのかもしれないけど、詐欺メールかもしれないので、念のため公式サイトかアプリから確認してみよう。」

【解説】

この詐欺メール事例は、実際にある決済のご利用案内そっくりの内容で利用者を騙す文面だ。本物と見分けがつかないだけでなく、「身に覚えがない場合はお問い合わせください」と案内することで、身に覚えがある人もない人もリンク先にアクセスさせようとする、とても巧妙な手口となっている。

ケース1を踏まえると、Aさんの場合は、やはりまず文章の自然さで見分けようとすることが「適切ではない」と理解できたのではないだろうか。文面では公式からのメールか詐欺メールかを見分けるのは困難なため、メールの不自然さでは見分けようとせず、リンクを踏まないことが適切な対応だ。

Bさんは、ケース1では「身に覚えがない」から無視することができていたが、今回は「身に覚えがない場合の手続き」までメール内で案内されていたため、そちらに誘導されてしまっている。やはりケース1と同様に、身に覚えがあるかないかに関わらず、メール内のリンクへはアクセスせず、公式サイト・アプリから確認することが重要だ。

偽メールは文章中のリンクをクリックせず公式アプリからアクセス

Cさんの行動も、長いメールをきちんと読まずに無視したため、たまたま詐欺サイトへのアクセスは回避できているが、詐欺メールである可能性を考慮できていない。

ところで、Cさんだけでなく、この事例を見た人のなかには「メールを無視すればそもそも詐欺に引っかからない」と思ってしまった人もいないだろうか。だが、このような通知メールは詐欺メールではなく、本物のお知らせの可能性もある。その場合は、実際に不正利用されてしまっていても見過ごすことになり、別の被害につながってしまう危険性があることを考慮してほしい。

詐欺メール・メッセージによる攻撃者の目的は、リンク先の詐欺サイトにアクセスさせることだ。真偽を確かめるためには、やはりDさんのように、メールに記載のリンクにアクセスせず、公式サイト・アプリから確認することがもっとも適切な対応となるということだ。ぜひとも覚えてほしい。

ちなみに、ここまでは実際に自分が使っているサービスからの通知例をもとに解説してきたが、利用した覚えのないサービスから通知があった場合は、無視して良いのだろうか。

基本的には無視して良いと考えるが、過去に登録・加入したまま、自分が忘れていることも考えられる。念のため、過去のメールを検索して利用履歴がないかをを確認したり、公式サイト・アプリを確認したりするなど、万が一を想定した対応も頭に入れておきたい。

フィッシング詐欺の対策は?

ここまで見てきたように、フィッシング詐欺は巧妙化しており、公式からのメールと詐欺メールを区別するのは不可能だと思った方が良い。また、メールを単純に無視することも適切ではない。ではどうすればよいのか?あらためて対策を整理しよう。

偽メールや偽メッセージ、フィッシング詐欺の対処法まとめ

今回「サイバー防災」に参画している企業でも詐欺メール・メッセージ等の対策強化に日々に取り組んでいるが、攻撃者も社会的関心の高い出来事や時事ニュースにあわせて文面や手口を変えてきており、日々その手口は多様化している。

今後もこのTIME&SPACEやau公式サイトでも最新の事例と対策を発信していくので、この記事を参考に、自ら身を守ることを心がけてほしい。

もっと知りたい
フィッシング詐欺にだまされないために|au
もっと知りたい
au, UQ, povoのセキュリティ対策|KDDI
もっと知りたい
auに寄せられたSMSを用いたフィッシングメッセージ事例
もっと知りたい
さまざまなフィッシング事例一覧|フィッシング対策協議会
サイバー防災2022


文:TIME&SPACE編集部
監修:KDDI システムセキュリティ部