巧妙化するフィッシングメール〜最新の手口と対策〜 | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > 巧妙化するフィッシングメール〜最新の手口と対策〜

情報セキュリティ

巧妙化するフィッシングメール〜最新の手口と対策〜

サイトウアヤ

サイトウアヤ

2021.03.05

 

巧妙化するフィッシングメール

昨今、メールやSMSを起点としたフィッシングサイトへの誘導による、アカウント奪取の被害が急増しています。SMSを使ったものは「スミッシング」とも呼ばれています。

フィッシングサイトで情報を盗む方法は目新しいものではないのですが、メールやSMSに偽装するその手口は、セキュリティに精通している者ですら油断すると見破れない程、巧妙化しています。

今日は実際のフィッシングの手口を紹介してみます。

 

実際に届いたフィッシングメールの例

 

写真1 実際に届いたフィッシングメールの画面

普段から気をつけていても、ふとした隙に、油断したタイミングに届くフィッシングメール。特にスマホに届くメール(いわゆるキャリアメール)にはより一層の注意が必要です。写真1は実際に届いたメールですが、実に巧妙に偽装されており、一見するとキャリアからの重要な通知メールにしか見えません。

買い物した直後でなければ「あれ、何か買い物したかな?」と思って気付く事ができますが、いわゆるキャリア決済などで月額サービスを利用している場合などは「サブスクの支払い先になってたかな?」と判断してしまいます。

そして、このメールが届いたタイミングが朝寝起きなどの時間帯であれば、まだ寝起きでぼんやりしているところで、よく詳細を確認せずリンクをクリックしてしまうのです。

もちろん、リンク先は本家本元と全く同じように作られたフィッシンングサイトであり、キャリアアカウント(今回の例は「au id」ですね)と電話番号を入力した後、住所の入力を求められた段階で気づく事ができました。

 

実害はなかったのか

フィッシングサイトに入力した情報だけでは、例えば今回のキャリアアカウントの情報だけでは、買い物やプリペイドへのチャージなどは出来ないため、通常は他要素認証(SMS認証)の情報が追加で必要になります。このSMS認証情報を抜き取る手口も、フィッシングサイト側では自動化されているようで、SMSメッセージが入力した電話番号に届きましたが内容が文字化けしており、さすがにこちらの内容までは完璧に偽装する事はできなかったようです。(ただしSMSの差出人はきっちりキャリアに偽装されていました)

ここでもしSMSに届いたメッセージに従い情報を入力してしまうと、キャリアアカウントが乗っ取られてしまい金銭的な被害に合う事になったでしょう。

もし入力してしまった場合でも、気づいたタイミングでキャリアアカウントのアカウント名とパスワードを変更し、すぐにサポートセンターに連絡すれば被害を防ぐ事が出来るかもしれません。

 

クリックしてしまった原因

今回のケースは、

・普段から利用しており自動的に決済される(サブスクの月額利用料支払いなど)ものと誤解

・寝起きのぼんやりしているところでメール内容をよく確認せず見てしまった

・スマホのキャリアメールに届いたので詳細な情報を確認出来なかった

などの理由がありますが、そもそもスマホに届くメールではメールの詳細内容まで確認することが難しいという点があります。今回届いたメールもよく差出人のメールアドレスを確認すると明らかにおかしいアドレスであることがわかります。

写真2 差出人のメールアドレスが明らかにおかしい

また、メッセージ内容も「お支払い方法が銀行によってブロックされてる」「あなたのカードは銀行によって拒否されました」銀行側が対応するはずのない内容が記載されています。支払いを銀行がブロックする事も、カードを銀行が拒否することもないです。銀行の残高不足で引き落としが出来ないだけです。カードの決済が通らない場合でも銀行が拒否という事にはなりません。

つまり、冷静によく落ち着いてみれば気付くポイントはあったわけですが、まさか本人も騙されるとは思ってない、という油断も合間ってあやうく危機一髪というところだった訳です。

 

どのように対処していくべきか

フィッシングメールに引っかからないようにするにはどうするか?

端的にはキャリアメールを使わない事です。特にキャリアメールである必要がないものであれば尚更なので、Gmailなどをスマホで利用する事でGmailに備わっている強力な迷惑メールフィルターを使う事が出来ます。

またキャリアメールは転送設定が出来ることが多いので、Gmailに転送してGmailでメールを確認する、という手段も地味ですが有効な方法です。

 

最後に

フィッシングメールはますます巧妙化され、今後もなくなる事はないでしょう。

キャリアメールで届く内容で、本当に重要なものをスルーした場合に起こり得る問題(例えば料金支払いの催促などであっても)と、アカウントが乗っ取られてしまって被る損害とを比べると、乗っ取られた時の損害の方がはるかに大きいので、スマホに届いたメールはもうこの際、全部スルーしておいても実害はないかもしれません。

 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ