こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- フィッシングメールの見分け方を知りたい人
この記事の目的
私はネット証券を始めとしたいろいろなサービスをインターネット経由で利用しています。
こうしたサービスを利用する上で、必ず必要なのが電子メールアドレスです。
サービス提供元と利用者である我々の間の重要な連絡手段です。
しかし電子メールは当事者以外でもメールアドレスさえわかれば送りつけることができますから、以前からスパムと呼ばれる無差別のメッセージ送信が問題になっています。
そして最近活発なのがフィッシング(Phising)と呼ばれる詐欺行為で、攻撃者が電子メールを送りつけて金銭的な利益を得る行為が流行していますね。
フィッシングメールは詐欺行為ですから、利用者が正しい知識を持って悪意のあるメールを見抜けるようになることがもっとも効果的な対処方法であると思います。
フィッシングメールは実は意外と簡単に見分けるポイントがありますので、今回は実際のフィッシングメールを例に解説します。
資産運用とセキュリティ
個人が資産運用を続ける中で資産を守ることができるのは他でもない運用者本人だけです。
資産運用にはさまざまなリスクがありますが、意外と見落とされるのが利用者のITリテラシーの部分です。
ITセキュリティはITリテラシーで担保されると思って差し支えありませんので、基本的なことがらを押さえていきましょう。
【基本】安全な電子メールの使い方
電子メールを安全に利用するための基本的な決まりごとをおさらいしましょう。
大切なことは以下の2点です。
悪意のある攻撃者はこのどちらかの方法を使ってウイルスに感染させたり、パスワードを盗んだりします。
以降で説明しますが、今回のメールもよく見ると添付ファイルが付いています。
何でamazon.co.jpが添付ファイルを付けてメールを送ってくるのよ、って感じです。
その他のセキュリティ対策については以下の記事でまとめてありますので参考にしてください。
ブログ管理者宛に届いたフィッシングメール
4月下旬にAmazon.co.jpをかたったフィッシングメールが届きました。
送信者メールアドレスは正規のドメインですし、件名やメール本文もパッと見は問題ありません。
今回はこの実際のメールを例にして、どのようにしてフィッシングメールであることを特定できるのかを解説していきます。
フィッシングメールの見分け方
大きくは以下の3ステップになります。
ただしほぼすべてのケースで1と2のみで十分です。
特に2でリンク先URLを確認すれば簡単に見分けることができます。
3については興味がある人だけ調べ方を覚えればよいでしょう。
ですので割と簡単に見分けられると思いますよ。
それでは見ていきましょう。
メール全体を確認する
以下の点をざっと確認しましょう。
誰が、誰に、何の用件で、といったことが確認できます。
今回の場合は、
といった内容になります。
この時点で、自分に該当しなければフィッシングメールであるという判断が付くことが多いと思います。
今回の私の場合では以下のとおりです。
ここまでで私には無関係であることが確定できます。
ですので、aのamazon.co.jpは成りすましである可能性が高いでしょう。
関係ないのでそのまま無視すればよいです。
それから先にも述べましたが、今回のフィッシングメールには添付ファイルが付いています。
「ATT00001」というファイル名で、何のことかまったくわかりません。
こういう意味不明なファイルを添付して疑問に思わせて開いて確認させる手口かと思われます。
もちろん絶対に触ってはいけません、これも無視しましょう。
というわけで、怪しいことがわかっていれば無視すればよいだけですので話は簡単です。
しかし中には自分が関係あるサービスのフィッシングメールが届く可能性もあり、判断が付かないケースもあるかもしれません。
ここから先は自分が該当するかもしれないケースや判断が付きにくいケースにお役立てください。
リンク先URLを確認する
フィッシングメールの本文にはほぼ必ずリンクやボタンが配置してあります。
ここを確認することで動かぬ証拠を押さえることができます。
確認方法は至って簡単、リンクやボタンにマウスポインタをかざしてリンク先のURLを確認するだけです。
あくまでもマウスポインタをかざすだけで、クリックはしないように注意しましょう。
今回の場合ですと、「支払い方法の情報を更新する」というボタンがリンクになっていますから、ここにマウスポインタをかざすと、画面左下にリンク先が表示されますのでこれを確認します。
これでリンク先URLが送信者のドメイン(今回ならamazon.co.jp)のものなら正規のメール、そうでないならフィッシングメールという判断ができます。
今回の例では、xxxxx-ama-zon-jp.liveという、何やらAmazonドメインをもじった感じで如何にも怪しいことがわかります。
こうやってリンク先を見るだけで簡単にフィッシングメールを見分けることができます。
なおポイントとしては、ドメインを見て怪しいかどうかを判断できることが条件ですので、判断が付かない場合は、以下の記事で紹介したWEB評価サイトでURLのチェックをすることもできます。
今回表示されたドメインをVirusTotalで調べたところ、バッチリ警告されていました。
赤枠でGoogleがPhishingと、以下の無料ウイルス対策ソフトでおすすめしているSophosがMaliciousと判定しています。
Sophosは日本だとあまり馴染みがないかもしれませんが、英国の上場会社ですからさすがですね。
メッセージヘッダーを確認する
ここまででほとんどのフィッシングメールを見分けられると思いますが、さらにメールアドレスの成りすましを見分ける方法を紹介します。
今回はamazon.co.jpが送信者となっていますが、これは実際の送信者ではありません。
じゃあ本当の送信者は一体誰なのかを確認します。
まずはメールのメッセージヘッダーを取得しましょう。
以下の画像はWEB版のoutlookメールの例ですが、メールの右上の三点リーダ > 表示 > メッセージのソースを表示、で取得できます。
ポップアップ画面でメッセージヘッダーが表示されるので、内容を一番上から下までコピーします。
次に以下の記事で紹介した、メールのメッセージヘッダー調査サイトを使って調べます。
今回はMessage Header Analyzerを使いました。
先程コピーしたメッセージヘッダーを「Paste headers here」エリアへ貼り付けて「Analyze headers」ボタンを押すと、人間が見やすいように整理して表示してくれます。
今回の場合は、とりあえず表形式になっているReceived headersの1行目を見て、一番最初の送信元メールサーバがg******k.netという正体不明な出所であるということがわかりました。
Received headersはこのメールの経路を表していますので、1行目が発信元になります。
つまり本当の送信者はg******k.netというドメインなんだけど、amazon.co.jpをかたった悪意のメールだと判断することができます。
ちなみにメールで表示されているドメインと、送信元メールサーバが必ず一致するとは限りませんので、判断できない場合はWhoisでドメインの所有者を確認する場合もあります。
今回の場合も一応所有者を確認したところ、どうもスペインのリオハあたりの登録者が出てきてamazon.co.jpとは無関係だろうと判断しました。
【豆知識】フィッシングという言葉の由来
フィッシングのつづりは、
ですので覚えておきましょう。
語源としてはFishingを文字ってPhishingとなっているらしく、インターネットの海からパスワードを釣る、といった攻撃者用語だそうです。
またインターネットで攻撃者のことをハッカーといったりしますが、これも正しくは以下のとおりです。
特に日本語でハッカー、ハッキングは悪い意味で使われることが多いですが、ライフ・ハック(人生術・暮らし術)というようによい意味でも使われます。
【重要】判断が付かない場合の対応方法
ここまでは自分で調べる方法を紹介してきました。
こうした調査のポイントや調べ方を知っているだけでもインターネットを安全に利用できる可能性を高められると思います。
しかしやや技術的な内容が入ってくるので難しいと感じる人もいると思います。
そういう場合の基本的な対処方法としてはズバリ、
が正解です。
今回の場合ならamazon.co.jpに問い合わせましょう。
しかし注意点として、
成りすましかもしれないメールに返信してしまうと、成りすましている人がウソの回答を送ってきますから危険です。
問い合わせる場合はWebサイトから新規で問い合わせましょう。
こうすることで当人が送ったメールかどうかが確認できますからもっとも確実な方法です。
こうした「受信メールとは別経路で送信元へ確認する」という方法は、以下で紹介している情報処理技出者試験でもセキュリティインシデントの対応方法として出題されています。
まとめ
フィッシングメールもイタチごっこなのが現状ですが、今回紹介したような方法で少しでも自分の身を守れるようにすることも大切ではないでしょうか。
あらためてフィッシングメールの見分け方と対処方法をまとめると以下のとおりです。
知恵をつけて安全第一で資産を増やしていきたいですね。