電子メールは、友人、家族、同僚など、人々と連絡を取り合うための一般的な方法ですが、多くの場合、取引先の企業から、サブスクリプションにサインアップすると、ときどきプロモーション メールが送られてきます。
本物だと思って届いたメールが、実は偽物で、何かをクリックさせたり個人情報を抜き出させたりしようとする偽メールだったというケースがあります。こうしたメールは悪意のあるもので、フィッシングメールと呼ばれています。
この記事では、受信したメールが正当なものなのか、それとも個人情報を詐取しようとする詐欺師のものなのかを見分けるためのポイントをいくつか紹介します。
フィッシングとは何ですか? なぜフィッシングが存在するのですか?
フィッシング メールは、本質的には、悪意のあるリンクをクリックさせたり、ハッカーが悪意のある目的で使用できる個人情報を渡させようとする疑わしいメールです。
こうした種類の電子メールには、正当な会社からのメールであると主張するリンクが含まれていることが多く、ユーザーをその会社の顧客として参照している場合もありますが、リンクをクリックすると、実際には本物のサイトの偽のモックアップに転送され、ユーザーの情報を盗むために入力を求められます。
卑劣な人間は、あらゆる悪意と目的のためにこのような行為を行います。最も一般的なものの一つは、個人情報の盗難です。しかし、このようなメールから身を守ることは可能です。そのための最善の方法は、フィッシングメールの見分け方と、もし遭遇した際にどう対処すべきかを知ることです。
受信したメールがフィッシングメールであることを示す兆候
Appleは詳細なサポートドキュメントで、フィッシングメールによくある特徴をいくつか解説しています。以下では、それらについてご説明し、できる限り分かりやすくご説明いたします。
1. メールヘッダーに誤った情報が含まれている
macOSのメールアプリでは、「表示」>「メッセージ」>「すべてのヘッダー」をクリックすると、より詳細なヘッダー情報を表示できます。これにより、送信者に関するより詳細な情報を確認できます。「受信」で始まる最後の行の情報が、表示されている会社の詳細と一致しない場合、メールが実際にはその会社から送信されていないと考えられる理由があるかもしれません。
たとえば、最近の購入に関するメールを「Walmart」から受信し、最後の受信行に「machax.org (123.456.789.120) から受信」のような内容が記載されている場合、おそらくそれは詐欺メールです。「machax」は Walmart とは何の関係もなく、IP アドレスも Walmart の Web サーバーの IP アドレスと一致しないからです。
2. メール内のリンクをクリックすると、本来あるべき場所とは異なる場所に移動します
フィッシング詐欺に遭ったことを示すもう一つの確かな兆候は、送られてきたメールに特定のウェブサイトにアクセスできると謳っているリンクが含まれているにもかかわらず、実際には別のウェブサイトに誘導される場合です。メール内のリンクにマウスオーバーすると、OS Xが自動的にリンク先のURLを表示します。
メール本文に「www.walmart.com」と記載されていて、マウスオーバーすると「www.machax.org」(あるいはその他、予想外の文字列)が表示される場合、おそらく不正なウェブサイトに誘導するリンクをクリックすることになります。予想外の文字列が表示された場合は、安全のため、リンクをクリックしないでください。
3. メールからアクセスしたウェブサイトは偽物です
メール内のリンクには多くの場合注意が必要です。ハッカーの中には、正規のウェブサイトを模倣した非常に精巧なモックアップを作成し、実際に開いてみると非常に本物らしく見えるものもあるからです。多くのウェブサイトはどれも同じようなデザインで、ロゴもすべて同じですが、サイトが正規のものかどうかを判断するかなり良い方法が1つあります。
Safari、Firefox、Chromeなど、多くのウェブブラウザの最新バージョンでは、ウェブサイトの正当性を確認するためのチェックが行われます。ウェブサイトの正当性を確認するためのEV(Extended Validation)チェックに合格すると、URLバーの会社名が黒ではなく緑色で表示されます。
ウェブサイトにアクセスすると、通常は URL バーに緑色の会社名が表示されますが、黒色で表示される場合は、クレジットカード番号などの貴重な情報や個人を特定できる情報を入力する前に、そのサイトから戻ることを検討してください。そのウェブサイトは、悪意のある目的でハッカーに情報を送信するのを待っている可能性があります。
4. メールでは、名前ではなく、一般的な言葉で言及されている
高級企業のメール配信登録では、ほとんどの場合、あなたの名前が記録に残っているため、正規のメールは通常、あなたの名前で呼ばれます。一方、フィッシングメールは、あなたの名前が何であれ、多くの場合、画像に当てはまるような一般的な名前で受信者を呼ぶことがよくあります。
たとえば、ウォルマートからのメールの冒頭が「こんにちは、アンソニー」だった場合、ウォルマートからのメールが「親愛なるお客様」で始まっている場合よりも警戒する必要は少なくなります。なぜなら、そのメールはあなたのことを知らない発信元から送られたもので、同じフィッシングメールを受け取っている何千人もの他の人に合わせるためにあなたを普遍的な名前で呼ぼうとしている発信元から送られたものではないからです。
5. 会社に知らせていないメールアドレスにメールが届いた
あるメール アドレス (メール A) で企業に登録し、別のメール アドレス (メール B) でその企業からのメールを受信することになった場合、そのメールに対して警戒すべき十分な理由があります。
会社にメールアドレスBを教えていないのに、どうしてあなたにメールが送られたと会社が知ることができたのでしょうか?そもそも、そのメールはどうやって届いたのでしょうか?あなたはメールアドレスAで登録しているので、そのメールはメールアドレスAの受信箱に届いているはずです。
メールが間違った受信トレイに届いた理由を説明できない場合は、そのメールは受信しないでください。メール配信を登録した正しいメールアドレスの受信トレイにのみメールが届くはずです。他のアカウントの受信トレイに届いたメールは、偽物である可能性があり、あなたを罠にかけようとしている可能性があります。
フィッシングと思われるメールから身を守る
上記のようなメールを受け取った場合、そのメールは個人情報の提供を誘い込もうとしている可能性が高いと考えられます。フィッシングメールを受け取った場合は、以下の安全対策を講じてください。
1. 新しいメールの情報を過去のメールと比較する
以前に Walmart などの企業から正当なメールを受信したことがある場合は、そのメールの連絡先の詳細と、同じ企業から送信されたと主張する別のメールを比較する必要があります。
たとえば、以前 Walmart からメールを受信していて、新しいメールも Walmart から送信されたと主張している場合、メール アドレスを比較して、送信者が Walmart のアドレスから送信されているかどうかを確認できます。
電子メール アドレスの偽装は可能ですが、最初に確認する場所としてここが適しています。なぜなら、時間をかけて自分の電子メール アドレスを適切に偽装するのではなく、個人の電子メール アドレスやまったく関係のない電子メール アドレスから電子メールを送信する愚か者もいるからです。
ウォルマートを名乗るメールが@Gmailアカウントから届いた場合、明らかに何かがおかしいと感じます。また、メール内でのあなたの言及方法など、メール内の言葉遣いにも注意してください。
2. 個人情報を提供しない
メールが正当なものであることを会社に確認しない限り、フィッシングメールであると思われるメールには個人情報を絶対に提供しないでください。
これには次のような個人情報が含まれます:
- あなたの住所
- クレジットカード情報
- あなたの社会保障番号
- 旧姓
- あなたのパスワード
- などなど…
通常、正当なメールが個人情報を尋ねることはありません。ユーザー名とパスワードでログインできるサイトへのリンクが貼られ、そこから情報が得られるというだけです。しかし、もしメールがサービスのログイン情報を尋ねてきた場合(ビジネス取引を行う企業からのメールとは考えにくいため)、アカウントを盗もうとする意図がある可能性があるため、絶対に入力しないでください。
これらのメール内のリンクにも注意が必要です。ウェブサイトにログインする前に、そのウェブサイトが正規のものであり、偽物ではないことを必ず確認してください。メール内のリンクをクリックするのではなく、ブラウザでウェブサイトを開いてログインし、どこで情報を入力しているのかを確認しましょう。
3. 添付ファイルをダウンロードしたり開いたりしない
メールがフィッシングメールであると疑われる場合は、そのメールに添付されている可能性のある添付ファイルをダウンロードしたり開いたりしないでください。添付ファイルの中にはマルウェアが含まれている場合があり、キー入力を盗み見たり、入力時にパスワードなどの重要な情報を盗み取ろうとする可能性があります。
正当な企業から送られる自動送信メールのほとんどには添付ファイルが含まれていることはほとんどなく、代わりに HTML で完全にコード化されているため、添付ファイルを開く必要はありません。
フィッシングの疑いのあるメールをAppleに報告する方法
Appleはユーザーの安全を第一に考えており、フィッシングメールへの対策に尽力しています。フィッシングメールと思われるメールは、メニューバーの「メッセージ」>「添付ファイルとして転送」から[email protected]宛てに転送できます。Appleはメールの詳細を確認し、適切な法執行機関に転送して問題に対処します。
Appleのサービスを装ったメールについては、専用のメールアドレスもご用意しています。Appleは、このような状況にはより個人的な対応を心がけています。App Store、iTunes、またはオンラインのApple Storeの担当者を装ったメールなど、このようなメールをご報告いただく場合は、[email protected]までご連絡ください。
もちろん、電子メールを報告してもメッセージが止まる保証はありませんし、正当な電子メールを報告しても問題は解決しません。したがって、明らかにフィッシング詐欺のメールや、個人情報を盗んだりコンピュータに損害を与えようとしているだけであると本当に確信できるメールのみを報告するようにしてください。
結論
フィッシングメールの被害者にならないようにしましょう。フィッシングメールの多くは、一部の人にとっては全く明らかなものですが、あなたのお母さんやおばあちゃん、あるいはあなたほどテクノロジーに詳しくない人にとっては、そう簡単には分からないかもしれません。この情報を広め、メールシステムを誰にとっても安全なものにしましょう!
この記事の情報が役に立った場合は、下のコメント欄でお知らせください。
