フィッシング詐欺師はどのようにしてメールアカウントを盗むのか

メールは今でも、非常に重要なインタネットサービスですが、それゆえに犯罪者にはとても魅力的なものなのです。

電子メールは、メッセンジャーやSNSなど新しいアプリやサービスが次々に登場する中にありながら、今でも現代生活に不可欠なものとして不動の地位を保っています。メールを使わざるを得ないシーンはいまだに多く、少なくとも、何かのサービスやアプリやSNSで新規アカウントを作成する場合には欠かせません。

このようなニーズがあるからこそ、メールのログイン情報を欲しがる人々が存在します。今回説明するのは、ログイン情報を手に入れるためにサイバー犯罪者がどのようにフィッシングを利用するのか、その手口についてです。

フィッシングメール — 最もよく使われる手段

ログイン名とパスワードを盗む目的で作られたフィッシング詐欺メールは、私たちが実際に利用しているメールサービスから届いたように見せかけられている場合がほとんどです。一般の個人がターゲットの場合は、多くの人に使われているWebメールサービスを装います。企業メールアカウントのハッキングを試みる場合は、業務用メールサービス、つまりメールサーバーから送られたように見せかけます。

なりすましに使われることが多いのは、多くの利用者を抱えるメールサービスです。詐欺師は、詐欺メールをできるだけ本物らしく見せようとします。偽装にあたっては、いかにも本物っぽいメールアドレス、ロゴ、ヘッダーやフッター、公式サイトへのリンク、もっともらしいレイアウトなどが使われます。

アカウントを削除すると脅すフィッシングメール

アカウントを削除すると脅すフィッシングメール

—–

(本文抄訳)

あなたのアカウントは2019年4月24日に削除されます

あなたのアカウント(xx@xxxxet)は2年間使われていないため、2019年4月25日に削除されます。

注:このメールが該当するのは企業向け/個人向けMicrosoftアカウントです。学校向けアカウントには影響しません。

引き続きメールアカウントを保持したい場合は、Microsoftにアクセスして復活の手続きをしてください。詳細を見る

メールにアクセス

The Office 365 Team

—–

企業のメールアカウントを狙う場合は、メールサーバーや一般的なメールサービスから来ているように装ったフィッシングメールを、共用アドレス(管理者が使用するアドレスを含む)宛に送信するパターンがしばしば見られます。しかし、何らかの理由でスパム送信用データベースに登録されてしまった従業員個人のメールアカウント宛にも、このようなメールが届くことがあります。

自社のメールサーバーを持つ企業もありますが(特に大企業)、このような企業のアカウントのログインIDやパスワードも、攻撃者にとって魅力的です。詐欺師が送るメールは、送信元アドレスが無料Webメールサービスのものであったり誤字脱字が多かったりして偽物だと分かってしまうことが多いのですが、それでもあまりフィッシングメールを見たことのない人は本物だと思うかもしれません。

メールボックスがいっぱいであるという警告を装うフィッシングメール

メールボックスがいっぱいであるという警告を装うフィッシングメール

—–

(本文抄訳)

メールボックスがいっぱいです

ご利用者様、

お客様のメールボックスの容量がほぼいっぱいになっているため、メールの受信を停止しており、後に無効化されます。メールの受信を再開し、メールボックスの利用を継続するには、ファイルを削除するか容量を追加してください。

ファイルを削除][容量を追加

よろしくお願いいたします。
メール管理者

—–

特定の企業に対する標的型攻撃の場合は、可能な限り説得力のあるメールを作り上げるために、詐欺師たちは事前にできるだけ多くの情報を収集するのが普通です。また、ちょっとした信ぴょう性と独自性を持たせるため、標的のメールアドレスをフィッシング用のハイパーリンクに組み込んでおき、標的が偽ページにアクセスしたときに、そこにはすでにメールアドレスが表示されて、あとはメールボックスのパスワードを入力するだけになるようにする場合もあります。

フィッシングメールの形式

情報を要求するだけのシンプルなテキスト

メールサービスを代表する体裁で、さまざまな名目や口実でメールアドレスやパスワードなどの情報の提供を求める内容です。大抵は、送信元のアドレスとは別のメールアドレスへの返信を求めます。

このタイプのフィッシングメールは、もっと効率的な情報窃取方法を詐欺師が習得するまでは、非常によく使われていました。

パスワードなどのアカウント情報を要求するフィッシングメール。このような要求には決して応じないでください

パスワードなどのアカウント情報を要求するフィッシングメール。このような要求には決して応じないでください

—–

(本文抄訳)

Account UserID様、

こちらはメンテナンスセンターです。あなたのメールボックスが管理者データベースの設定する25GBの容量を超えているため、私どものテクニカルシステムは、あなたのメールアカウント内のファイルにエラーを検知しました。現在、あなたのアカウントでは容量割り当てを超える25.98GBを使用中であり、メールアカウントをアップグレードするまでメールの送受信を行うことができません。

メールアカウントをアップグレードして120GBまで利用できるようにするには、私どもの技術管理者サポートチーム(administrators@xxxx.com)までご連絡ください。

アップグレード承認フォーム;
*ユーザー名/ID:    
*パスワード:    
*パスワードの確認:    
*メールアドレス:    

注:上記の情報は、私どもが手作業であなたのメールボックスを確認し、容量を120GBに増やす際に必要です。

よろしくお願いいたします。
システム管理者

—–

フィッシングWebサイトへのリンクが付いたメール

現在最もよく見られるのは、リンク付きのフィッシングメールです。詐欺師はあらかじめ大量のリンクを生成しておき、メールを一斉送信するとき各メールにリンクを差し込み、本物そっくりのフィッシングページを作成し、窃取したデータの収集や処理を自動的に行います。

しかし、こういったリンクは、なりすましている企業とはまったく関係のないドメインへ誘導しようとしていたり、正規サイトのドメイン名に見えるがスペルが間違っていたりして、詐欺であることが露呈します。そこで詐欺師はリンク先のアドレスを隠そうとします。クリック可能なハイパーリンクのテキストやイメージを使って、リンクが直接見えないようにするのです。たとえば「Update your mailbox(メールボックスのアップデート)」といったようなテキストにハイパーリンクを付ける例や、また、表示されるURLとは違うURL(実際はフィッシングサイト)をハイパーリンクとして指定してある例があります。クリックする前にリンクを確認しない限り、気づかない人は多いでしょう。

フィッシングページへのリンクが含まれたメール。このようなリンクやボタンはクリックしないでください

フィッシングページへのリンクが含まれたメール。このようなリンクやボタンはクリックしないでください

—–

(本文抄訳)

xxx.com様

メールボックスのアップグレードのため、アカウントをご確認ください。
以下をクリックの上、アカウントのアップデートをお願いいたします。

[メールボックスをアップデート]

ただし、メールボックスの容量をアップデートしないと、あなたのアカウントはまもなく停止され、
メールのデータはすべて永久に失われます。

よろしくお願いいたします。
メール管理者

—–

フィッシングに使われる添付ファイル

フィッシングメールには、ファイルが添付されている場合があります。よくあるのはHTML、PDF、DOCファイルです。

DOC形式やPDF形式の添付ファイルの場合、フィッシングメッセージの本文とフィッシングページへのリンクが含まれていることも珍しくありません。これは、メールの本文をできるだけ簡潔にすることで、正当なメールに見せかけ、スパムフィルターを回避しようとしているのです。

フィッシングサイトへのリンクの入ったPDFまたはDOCファイルが添付されているフィッシングメールもある

フィッシングサイトへのリンクの入ったPDFまたはDOCファイルが添付されているフィッシングメールもある

—–

(本文抄訳)

皆様

お使いのWebメールを移行するにあたり、添付の手順を速やかに実行していただきますよう、お願い申し上げます。

よろしくお願い申し上げます。
ITサポートチーム

—–

HTMLファイルは、リンクの代わりに使われます。実は、HTML形式の添付ファイルそのものがフィッシングページなのです。詐欺師にしてみれば、HTML形式の添付ファイルは、インターネットに掲載しなくても完全に機能し、そのうえ詐欺行為に必要な要素もすべてそろっているというメリットがあります。

フィッシングメール自体にログインIDとパスワードの入力フォームが含まれている。このようなフォームには入力しないでください

フィッシングメール自体にログインIDとパスワードの入力フォームが含まれている。このようなフォームには入力しないでください

—–

(本文抄訳)

ご利用者様

あなたのアカウントは「拒否リストに掲載」されており、24時間以内にアカウント確認する必要があります。

注:メールはまもなく停止されます

より使いやすくするため、あなたのYAHOO!アカウントを確認してください:
・以下の添付内容に従ってアカウントを復活させます。
・[アカウント情報]ページにアクセスし、アカウント復活データをファイル上で確認します。

よろしくお願い申し上げます。
Yahoo

—–

フィッシングメールの内容

アカウント関連の問題を知らせる

よくあるのは、メールアカウントに何か問題がある、という内容です。たとえば、容量の上限に達した、メール配信に問題がある、不正ログインがあった、スパムが送られてきた、何らかの違反があったなどです。

問題への対処法もメールに書かれていますが、そのほとんどが、リンクをクリックするか添付ファイルを開くかしてアカウントのデータを確認または更新するように、という内容です。受信者を脅すために、「指示に従わなければアカウントをブロックまたは削除する」という文言もあります。


ほとんどの場合で、数時間から数週間の対応期限が設定されています。よくあるのは「24時間以内」というパターンで、猶予としては妥当ですし、メールを受け取った人がメールのことを忘れてしまうほど長くもありません。

「このアカウントはスパムを配信していたため24時間以内に削除されます」。脅迫とタイムリミットの設定は、フィッシングでよく使われる手口

脅迫とタイムリミットの設定は、フィッシングでよく使われる手口

—–

(本文抄訳)

sales1@xxx様

私どもの記録によると、あなたのアカウントでスパム活動が確認され、アカウントが拒否リストに追加されています。アカウントを確認してアップデートしなければ、24時間以内に、一時停止中のアカウントは永久的に停止されます。

アカウントを以下より確認してください。
あなたのメールsales1@xxx.comを確認

—–

業務関連のメールを装う

少し違うタイプのフィッシングメールもあります。メールやアカウント情報についての言及がなく、見るからに業務関連のメールらしく見える内容です。

フィッシングを目的とした偽の業務関連メールは、ここ数年増加しています。このタイプのメールは有害な添付ファイルの配信に使用されることが多いのですが、個人情報を狙うものも中にはあります。一般の人はフィッシングメールであることを見抜くのが難しい場合があり、サイバー犯罪者はそこを当てにしているのです。

企業アカウントを狙う場合、偽の業務関連メールがよく使われる

企業アカウントを狙う場合、偽の業務関連メールがよく使われる

—–

(本文抄訳)

ご担当者様

発注書をお送りします。

こちらの新規発注につきましては、以下より弊社までご連絡ください
発注書

最短納期および最低見積価格のご確認をお願いいたします。

よろしくお願いいたします。

Anderson Price/Buyer
プラント調達部門

企業名:BIxxxxN

—–

中には、まったく疑うことなくリンクをクリックしてログインし、存在しないドキュメントを見ようとしてしまう人もいることでしょう。

文書を表示するためと称してログインを求めるフィッシングサイト

文書を表示するためと称してログインを求めるフィッシングサイト

フィッシングサイトの例

ここまで、メールの形式と内容について見てきました。続いて、フィッシングサイト(またはフィッシングページ)とはどのようなものか、詐欺を見破るために注目すべきポイントは何かを見ていきましょう。

最初に注目したいのはリンクのURLです。URLを見れば、すぐに詐欺と分かることもあります。詐欺の典型的な特徴は次のとおりです。

  • 送信元の企業とは関係のないドメインである
  • 組織やWebサービスの名前が、ドメインではない場所に含まれる(例:www.example.com/outlook/)
  • スペルミスがある
  • URLの中に、記号が無作為に並んだ部分がある
  • 基本的なアルファベットに似た、別の言語の文字が使われている(cではなくç、aの代わりにáなど)

フィッシング詐欺師は、メールと同じように偽のWebページもできる限り本物に近づけようとします。しかし、細かいところに粗が残っていることも往々にしてあります。一方で、残念なことにそこに気付く人ばかりではありません。

そこは無理もない話で、自分が使っているオンラインサービスの公式ホームページがどんな見た目か、正確に覚えている人はほとんどいません。そのため、説得力のあるフィッシングサイトを作るには、配色やロゴなどの特徴的な要素をおさえていれば十分なのです。

Webメールの偽ログインページの例

無料WebメールのログインIDとパスワードを窃取するために設計されたフィッシングページでよく見られるのは、同じページで複数のWebメールサービスのフィッシングに対応しているパターンです。

フィッシングリンクをクリックすると、該当するサービスのログインページそっくりのウィンドウが現れます。このようにして詐欺師は、サービスごとに別々のページを用意するのではなく、1つのページで数種類のアカウントのデータを収集することができるのです。

Webメールの偽ログインページの例

Webメールの偽ログインページの例

特定のメールサービスを装うのではなく、よく使われているWebメールサービスへのフィッシングリンクが掲載されたフィッシングページに誘導し、該当するWebメールサービスを選ばせるパターンもあります。メールの件名は、直接的に情報を求める内容ではなく、業務関連メールのふりをするフィッシングメールの場合のように、一般的な内容が使われます。

さまざまなWebメールアカウントへログインするためのページを偽装するフィッシングページ

さまざまなWebメールアカウントへログインするためのページを偽装するフィッシングページ

フィッシングメールの項で説明したタイムリミットを設ける手口が、フィッシングページで使われることもあります。フィッシングページを開くと同時に、目立つ表示でカウントダウンが始まります。相手を慌てさせて個人情報を入力させるのが狙いです。

訪問者をせかして焦らせるフィッシングページ

訪問者をせかして焦らせるフィッシングページ

フィッシングページからデータを送信するとどうなるかは、場合によって異なります。ページにアクセスできなくなったり、エラーメッセージが返ってきたりする場合もありますし、入力したデータが正しくないのでやり直すようにというメッセージが表示される場合もあります。

最も危険なのは、最近よく見られるようになってきた手口でしょう。フィッシングページへのデータ入力が行われると同時に、そのWebメールサービスの本物のログインページにリダイレクトする手口です。入力した人は、ログインに何か問題があったのかと思ってもう一度ログインIDとパスワードを入力します。すると、今度は正常にログインできるので、その前に「変だな」と感じたことを忘れてしまいます。

フィッシングメールの検知

  • 送信元アドレスのドメインが、送信者が名乗る組織のものではない場合、特に、無料Webメールサービスのドメインである場合、そのメールは詐欺メールです。公式のメールは、必ず公式アドレスから届きます。
  • リンクのクリックを促す内容、送信元とは関係のないドメイン、誤字脱字やスペルミス、特殊な記号などがメールに含まれている場合、それは詐欺メールです。
  • あなたのアカウントで予期せぬ問題が発生したという内容で、リンクをクリックして期限内にログインするように迫るようなメールは、詐欺師が送ったメールです。

以上は、フィッシングメールを見分けるポイントです。これらを厳密に覚えていてその都度目を光らせなくても、信頼できるセキュリティ製品を使用すれば、フィッシングなどオンラインの脅威の管理を任せてしまうことができます。

ヒント