オンライン詐欺:スパム送信者がよく使う5つの手口

2018年12月18日

スパムフィッシングは、密接に関連していることが多いものです。人々から情報をだまし取ろうと、詐欺師たちはメールやメッセージを大量にばらまきます。大手メディアで繰り返し報道される内容を見ても、Kaspersky Labが独自に行っているスパムフロー分析を見ても、個人情報が詐欺師たちにとって何としても手に入れたい貴重な資産なのだということがよく分かります。スパムの一般的な目的は、フィッシングメールやソーシャルエンジニアリングの手法を通して、あなたのアカウントやクレジットカード番号を手に入れることなのです。

この記事では、スパム送信者がよく使う5つの手口を見てみましょう。

1.SNSから届いたように見せかけた偽通知

多くの人が使っているSNSから届いたように見える偽通知メールは、よく使われる手口です。SNSからは新しい友達の参加や友人たちのアクティビティ、コメントや「いいね!」が付いたことなどを知らせる通知が届くことがありますが、そういった通知に見せかけてあります。偽メールは本物と見分けがつきにくいことが多く、本物との違いはフィッシングサイトへのリンクが含まれていることくらいですが、ぱっと見てすぐ「フィッシングサイトへのリンクだな」とは分かりません。リンクにアクセスすると、偽のログインページが現れ、ユーザー名とパスワードを入力するように求められます。

SNSから来たように見える偽通知には、別のタイプもあります。こちらは不安をあおるような内容で、「あなたのアカウントで不審な活動が検出されました」「新しい機能が導入されました。同意していただけないお客様はブロックされます」などと書かれています。この場合も、メッセージの中にはフィッシングサイトのログインページにリンクしたボタンがあります。

フィッシング詐欺師がよく使う手口:SNSからの通知を装ったメール

フィッシング詐欺師がよく使う手口:SNSからの通知を装ったメール

2. カード情報を狙うフィッシング

クレジットカード情報の入手を目的とするフィッシングは、今でも詐欺師の常套手段です。このタイプの偽メールは、銀行や決済システムの名前で届くことがあります。よくあるのは、アカウントのブロックや「疑わしい活動」に関連する件名が付いたメールです。

アカウントへのアクセスを復旧するため、本人確認のため、取引を取り消すためなどの口実で、カード情報の入力を求める内容となっていますが、入力先に指定されているのは偽のWebサイトです。CVV/CVCコード(セキュリティコード)の入力まで求められることもあります。データを手に入れた犯罪者は、その人の口座からすぐにお金を引き出します。決済システムからのメールを装った場合も基本は同じですが、この場合はアカウントへのログインが求められるだけです。

フィッシング詐欺師がよく使う手口:銀行や決済システムからの通知を装ったメール

フィッシング詐欺師がよく使う手口:銀行や決済システムからの通知を装ったメール

3. 著名なサービスや販売サイトから届いたように見せかけた偽通知

同じように、大手オンラインストア、宅配サービス、予約サイト、マルチメディアプラットフォーム、求人サイトなど有名どころのオンラインサービスの名をかたって、偽の通知が送られてくることがあります。サイバー犯罪者は、送った通知の何通かはそういうサービスを実際に使っている人に届くこと、受け取った人が慌ててリンクをクリックまたはタップしてくれることに賭けているのです。

フィッシング詐欺師がよく使う手口:各種サービスやオンラインストアからの通知を装ったメール

フィッシング詐欺師がよく使う手口:各種サービスやオンラインストアからの通知を装ったメール

4. メールサービスから届いたように見せかけた偽通知

この手のスパムメールの目的は、メールサービスのユーザー名とパスワードを集めることです。よくあるタイプは、大きく分けて2種類です。パスワードの復元を要求するタイプと、メールボックスがいっぱいなので容量を増やすようにと促すタイプです。後者の場合、「ストレージ容量を増やすにはこちらのリンクから」という形でフィッシングサイトへのリンクが書かれていますが、今どきはクラウドサービスが普及していて大量のデータを保存する必要性も高まっていることから、すぐには怪しいとは感じないかもしれません。

フィッシング詐欺師がよく使う手口:メールサービスからの通知を装ったメール

フィッシング詐欺師がよく使う手口:メールサービスからの通知を装ったメール

5. 「ナイジェリアの手紙」系の詐欺

最後にご紹介するのは、昔からある手法の1つです。亡くなった大富豪の親戚や弁護士が前金と引き換えに財産分与を約束する、というタイプのスパムメールが以前流行りましたが(いわゆる「ナイジェリアの手紙」)、これがいまだに出回っているのです。この手の話にはバリエーションがあって、困難な状況に陥った著名人のふりをしたパターンもあります。不幸に見舞われた大金持ちが複数の銀行口座に留め置かれた資金を引き出す手伝いを引き受けてくれたら高額の報酬を差し上げる、というのが詐欺の大筋です。協力して報酬を受け取るには、当然ながら、まず自分自身の情報(パスポート情報、口座情報など)を送らなければならず、少額の事務手数料も請求されます。

フィッシング詐欺師がよく使う手口:「ナイジェリアの手紙」系の詐欺

フィッシング詐欺師がよく使う手口:「ナイジェリアの手紙」系の詐欺

犯罪者が好む話題や手法はこれ以外にもありますが、紹介した5つは最も効果が高く、それ故によく使われています。

被害者にならないために

用心することが一番の対策です。といってもこれでは漠然としていますから、もう少し具体的に説明しましょう。

  • どこかの会社やサービス事業者から通知を受け取ったら、正規のアドレスから送信されているかどうかを確認してください。たとえばGoogleの場合なら、通知の送信元アドレスは「no-reply@accounts.google.com」が本物であり、「no-reply@accounts.google.scroogle.com」のようなアドレスは偽物です。
  • 受信したメッセージに記載されているリンクにアクセスする場合には、上記と同様の要領で、偽のWebサイトではなく正規のWebサイトへのリンクであることを確認してください。
  • スパム対策やフィッシング対策機能を備えた、信頼できるセキュリティ製品を使用しましょう。詐欺メールを検知し、分かりやすく警告してくれます。