叡智の三猿

~情報セキュリティで森羅万象を捉える~

フィッシングメールの脅威

フィッシングによる個人情報等の詐取

IPAは「情報セキュリティ10大脅威 」を毎年発信しています。この2021年版では、個人における脅威の第2位に「フィッシングによる個人情報等の詐取」がランクインしています。フィッシング搾取は安定?した脅威です。

f:id:slowtrain2013:20210227193921p:plain:w500

昨年は新型コロナ禍に便乗して、特別定額給付金の給付を騙ったメールによるフィッシング搾取など、人の心の不安につけこむ悪質な攻撃が目立ちました。
www.soumu.go.jp
また、Amazonやゆうちょ銀行など、有名なショッピングサイトや金融機関を騙るフィッシングが継続して行われました。特にゆうちょ銀行は、被害額の大きさに加え、会社の対応が後手後手に回ったことで、組織としての情報セキュリティ対応の甘さを指摘され、社会問題となりました。

f:id:slowtrain2013:20210227200728p:plain:w500
2020年9月25日朝日新聞より

フィッシングメールに引っかからないための最低限の知識は必要です。

偽のAmazonからのメールから

下のメールは、偽のAmazonがわたしに送ってきたメールです。これはヤフーメールスマホアプリで開いています。標題に「セキュリティ警告」と書いてあるとびっくりするのですが、これは典型的なフィッシング詐欺です。ですので「Amazonにログインします」ボタンをクリックしてはいけません。

もし、このメールを見て「怪しい」と思わなければ、詐欺にひっかかる可能性が高いので注意しましょう。

f:id:slowtrain2013:20210227202058p:plain
このメール、差出人やAmazonのロゴは、変ではありません。ただ、日本語の表現に全体的な違和感を感じます。特に赤線部分はかなり変です。
f:id:slowtrain2013:20210227235612p:plain
ただ、表現に違和感を覚えても、海外の企業からのメールであれば、たどたどしい日本語はよく見ます。ですので、フィッシングであることを確定するために、メールアドレスを確認します。ヤフーメールのアプリであれば、差出人(From)をクリックすると、差出人のメールアドレスが表示されます。
f:id:slowtrain2013:20210228001431p:plain:w400
メールアドレスのドメインを見れば、Amazonからのメールでないことが明らかですので、これでフィッシングメールであることが確定できます。

Amazonのホームページには、Amazon.co.jpが使用する差出人Eメールアドレスとして使われるドメインは以下があることを伝えています。

差出人のEメール

いちばん安全なのは、メール文にあるリンクやボタンは、なんであれクリックしないことです。

メールアプリは、差出人のメールアドレスがなぜ、デフォルト表示されないのでしょうか!?ヤフーメールだけでなく、gmailもそうです。情報セキュリティの脅威を減らすため、メールアドレスはデフォルト表示して欲しいと思います。