スマホに怪しいメールが届いても「見分けよう」としてはいけない理由

© ITmedia Mobile フィッシングメールによる詐取の仕組み

　「メルカリ、クレカ不正利用とフィッシング詐欺の補償額は32億円に」

　最近、このようなフィッシング詐欺被害のニュースを目にする機会が増えてきました。フィッシング詐欺の仕組みを解説すると次のようになります。

1. 実在する企業や公的機関の名をかたった偽のメール（フィッシングメール）を悪意のある第三者が一般消費者に送り付ける

2. メール受信者がメールに載っているURLをタップ、クリックするとアカウント情報の入力が求められる偽サイトが画面表示される

3. そこではメール受信者のアカウント情報（メールアドレス・パスワード）やクレジットカード番号の入力が求められる

4. 情報を入力すると、その情報はフィッシング詐欺業者に渡り、その情報を元に勝手に買い物をされたり、現金化されたりする。あるいは、現金そのものが引き出される

　これがフィッシング詐欺の一般的流れです。ちなみにURLをクリックすると、個人情報の入力ではなく、アプリのダウンロードを求められる場合もありますが、この場合もアプリを介して個人情報が抜き取られるケースもあります。被害額、被害の種類はさまざまですが、「パスワードなどの個人情報が盗まれることが全ての発端」であることは共通しています。これだけでは済まされず、被害者の個人情報が別の詐欺業者に売られ、さらなる被害につながる可能性もでてきています。

　フィッシング対策協議会のTOPページにある「緊急情報一覧」でフィッシングメールとして挙げられているものを拾ってみると（2022年8月15日現在）、国税庁、Google翻訳、経済産業者 資源エネルギー庁、JR西日本、えきねっと、ETC利用紹介、冒頭で挙げたメルカリなど、枚挙に暇がありません。

　フィッシング詐欺のうち、携帯電話のSMSが使われたものは「スミッシング」と呼ばれていますが、近年ではこのスミッシングを使ったフィッシング詐欺が増加しています。スミッシングの文面でよくあるのが「アカウントが一時的にロックされています」「支払い方法変更のお願い」「荷物の不在通知」「携帯料金未納のお知らせ」といったように、こちら側の不安をあおるようなものばかりです。

　逆に言えば、このような重大なことをSMSで一方的に伝えるだけで、郵便物での告知などもしてこないものは怪しいと考えていいでしょう。

●一番確実な対策：メールに添付されているURLをうかつにクリックしないこと

　フィッシング対策協議会は、メールに載っているURLリンクをうかつにクリックしないことを推奨しています。もちろん、eSIMのプロファイルのインストール、ダウンロードなどの場合は、URLリンクを踏まないとeSIMがアクティベートできないので、例外も存在します。こういった場合は除きますが、メールのURLリンクを踏むよりも、公式アプリや公式サイトから、あるいは事前に登録したブックマークからアクセスした方が安全です。

　これらの方法で公式サイトにログインしても、メールに書かれた内容の真偽が判明しないのであれば、店舗や公式サイトのカスタマーセンターに問い合わせしましょう（メールに添付されているカスタマーセンターへの問い合わせは避けること）。例えばAmazonには「本当にAmazon公式から送られたメール」を確認できるアカウントサービス「メッセージセンター」もあります。

　KDDIの通信障害における返金対応の案内が8月16日からSMSにて送付されましたが、KDDIでは配信するSMSのメール本文にはリンクURLを添付しない、個人情報の入力を求める箇所も設けないといった対応をとっています。au、UQ mobile、povo（1.0、2.0）を利用している方で、KDDIの返金対応のSMSを受け取った方は、もしSMSにリンクURLがついていたり、個人情報を入力する欄があったりした場合、そのSMSは100％フィッシングメール（偽メール）なので、無視しましょう。

　フィッシングメールの見分け方として、メールの送信者名、送信アドレス、添付されているURL、文面を確認することの重要性もうたわれていますが、今やそれらも偽装できる時代です。第一、公式サイトから送られてくるメールアドレスを一言一句覚えている人などほとんどいないでしょう。正しいメールアドレスを覚えていなければ、メールアドレスの相違に気付くことなどできません。

　フィッシングサイトに関しても、今のフィッシングサイトは本物のサイトのHTMLをそっくりそのままコピーしたものがほとんどなので、まず見分けがつきません。「不自然な日本語で書かれたサイトは、ほぼフィッシングサイト」とも言われてきましたが、最近はそういうサイトも減ってきました。機械翻訳の精度が向上してきているのも原因でしょう。

　繰り返しになりますが、自分に身に覚えがないメールが届いたら、うかつにURLをクリックしないこと。そして、フィッシングメールとフィッシングサイトを見分けようともしないこと。やるべきことは直接、公式アプリ、公式サイトからログインし、メールの内容が正しいのか確認すること。このことは強く意識しておきましょう。

●フィッシングメールの手口はますます悪質に

　そうはいっても、人によってはメールに添付されているURLをクリックしてしまうのではないか？　と思われるフィッシングメールの例を2つ挙げます。フィッシング対策協議会に挙げられているもので筆者が巧妙だと思ったのは、auをかたる2つのフィッシング（2022年4月12日当時）事例です。

　1つ目のSMSは、フィッシング詐欺の予防策を逆手に取ったのか、「セキュリティ上の理由から、他のデバイスを使用してアカウントにログインしないでください」ともっともらしい理由をつけて、メールを開いた人にURLからログインさせようとしています。

　2つ目のSMSは「お客さまの月間データ通信量がご利用中のプランの上限を超過したため、通信速度を低速に制限しております。通信速度制限中にそのまま使い続けた場合、超過料金は発生しますので、早めの解除手続きの程よろしくお願い致します」といったように、「超過料金」という語句で不安をあおったものです。

　データ容量が0になったときのSMS通知は、本当に各携帯電話会社から配信される場合もあるので、こちらのSMSに関してもクリックしてしまう方も多いのでは、と考えられます。本物の通信速度を戻す案内のSMSが届いた場合、面倒でもアプリまたは公式サイトなどからデータ量を追加して通信速度を元に戻しましょう。

●事前対策はOSの更新、パスワード管理、セキュリティソフト

　メールそのものに警戒するのと同時に、日頃からフィッシング詐欺を含めたセキュリティ対策全般も重要になってきます。iOS、Android OSの小まめなアップデートに加え、アプリやサービスにログインするためのパスワードを使い回さないことも大切なことです。

　また、フィッシング詐欺とは方法が違いますが、（メールを介さずに）あるサイトを訪問→ソフトウェア（アプリ）をダウンロード→スマートフォンにインストールという流れでも、情報が盗み出されたり、スマートフォンが乗っ取られたりすることもあります。

　このような悪意あるプログラムは「マルウェア」と呼ばれていますが、マルウェアは「ドライブバイダウンロード」という形でスマートフォンに侵入される危険性もあります。ドライブバイダウンロードはスマートフォンのセキュリティの脆弱（ぜいじゃく）性を狙ったもので、サイトを訪れた際、自動的にウイルスがスマートフォンにダウンロードされてしまう攻撃手法です。

　今まで携帯電話番号が送信元になっているSMSが届いたことはありませんか？　あれは、スマートフォンがウイルスに侵された後、悪意ある第三者によってスマートフォンが遠隔操作され、大量のフィッシングSMSを無差別に送る羽目になってしまった人の携帯電話番号です。

　こういった被害はドライブバイダウンロードが原因とも言い切れませんが、ドライブバイダウンロードを含め、マルウェアへの一番の対策はOSを最新の状態にアップデートすることです。

【更新：2022年9月2日9時00分 ドライブバイダウンロードについて、誤解を招く記述がありましたので、修正いたしました。】

　これらの被害を避けるためには、セキュリティソフトもスマートフォンに入れておいた方がいいでしょう。もちろん、セキュリティソフトを入れても万全とは決していえませんが、二重三重の防御策をとっておいた方が安全です。

　ただし、セキュリティソフトを入れておくだけで放置しておくのもよくありません。注意したいのが、サブスクリプション型のセキュリティソフトを契約していて、その料金を携帯電話の料金と一緒に支払うキャリア決済をしている場合。その携帯電話会社を解約したり、他社に乗り換えをしたりすると、セキュリティソフトも自動解約となります。

　その後、何も対策を講じなければスマートフォンは常にドライブバイダウンロードなどのウイルスの脅威にさらされることになります。フィッシングメールだけに気を付けていればいいわけではないのです。セキュリティソフトを利用している方は、セキュリティソフトがきちんと機能しているか、たまにチェックしておきましょう。

●不安をあおってこないメールにも要注意

　以上、この記事では「フィッシングメール・サイトを見分けよう」ではなく、「怪しいと感じたら公式サイトへ」というスタンスで解説してきました。フィッシング詐欺の手口は日に日に変化しており、その見分け方をここで解説しても必ずしも役に立つとは限らないからです。

　最後に、「現状では、フィッシングメールのような文面ではないが、今後こういった内容のメールもフィッシングメールとして報告されるケースが増えてくるかも」と思われるものをお伝えします。

　筆者の携帯電話には「ソフトバンク（Y!mobile）と思われるところから」キャンペーン情報の告知メールやサービス案内のメールが不定期に送られてきます。「【対象のお客様へ】最大5,000円相当のPayPayポイントプレゼント（条件あり）」「セキュリティ強化のご案内【Y!mobile】セキュリティパックプラス、初めてのご利用なら初月無料。詳細・お申込みはこちらのURLから」といった内容のものです。

　これらのメールはフィッシングメールで使われている「アカウント停止」「超過料金が発生します」といったように、こちらの不安感をあおるような表現にはなっていません。見た目はよくある宣伝メールです。しかし、これらのメールは本当にソフトバンク（Y!mobile）から送られてきたものなのでしょうか？

　それを確かめるため、ソフトバンク（Y!mobile）のカスタマーセンター、代理店窓口に問い合わせをしてみましたが、担当者いわく「そういったメールをお送りしたというデータは残っていない」とのこと。つまり、これらのメールはソフトバンク（Y!mobile）の名前を語っているだけの、なりすましメールあるいはフィッシングメールの可能性もあります。

　「緊急性の高い内容のメール」「不安をあおってくるメール」がフィッシングメールの代表例として注意喚起されていますが、それだけでなく、自分たちが想定していないような内容のメールも、今後フィッシングメールになり得るということを頭の片隅に入れておきましょう。

●著者プロフィール

吉田裕紀

　長野県出身。2009年「株式会社ディ・ポップス」に入社。NTTドコモ、au、ソフトバンクなどさまざまな通信キャリアを取り扱う携帯ショップ「TOP1」やY!mobileショップにて11年間携帯電話の販売に従事。

　現在はコンテンツマーケティング部署に所属。現場の経験を生かし、「携帯電話料金プランについて分かりやすい記事を書き、分かりやすく情報を発信する」をモットーに、日々売り場からの声や、最新の携帯電話に関する情報を収集し、記事の執筆にあたっている。

・スマホの料金プランに関する情報を随時更新→D-POPS スマホブログ