スマホに届く怪しいメールやSMS。「詐欺?本物?」と迷ったときにやるべき3つのこと

スマホに届いたメールや通知。なにげなくチェックしようとして「ん?(これ怪しくない? 詐欺?)」と手を止めた経験はありませんか? 怪しいものには触らないのが一番!……とはいえ、ニセモノか本物か悩んでしまうケースもあります。

「Amazonアカウントが不正利用されています」なんてメールが届いたら、不安になってしまう人も多いはず。「これ詐欺? 本物?」と迷ったとき、見分ける方法はあるのでしょうか?

今回は「迷惑メールやフィッシング詐欺の撃退法」について、NTTドコモ、au、Softbank等にセキュリティサービスを提供しており、あらゆる迷惑メールや詐欺の最新事情に詳しいトビラシステムズ株式会社の岩渕るみさんに教えていただきました。

実は詐欺かも。こんなメール見たことないですか?

あなたのスマホに、こんな怪しいメールが届いたことはありませんか?

・○○運輸からの荷物を持ち帰りました(心当たりのない不在通知)
・通販サイトのアカウントが不正利用/凍結されています
・クレカに問題が発生し、料金が未払いになっています

……などなど。

本物だったら大変!と焦ってしまうかもしれません。でも、慌ててリンクをタップするのはNG! なぜなら、こうしたお知らせの中には「フィッシング」と呼ばれる詐欺メールが紛れ込んでいる可能性があるためです。

★フィッシング詐欺って何?

ログインやアンケートなどを装って、個人情報を盗む詐欺のこと。メールで偽サイトのURLに誘導し、そこでパスワード等を含む個人情報を入力させる手口が一般的です。「フィッシング詐欺」と同じ手口で、SMS(ショートメール)から個人情報を抜き取ろうとする「スミッシング」というものもあります。

ちょっと画像も見てみましょう。下記は、私のスマホに実際に届いた詐欺メールのスクショです。

(赤線部分はこちらで伏せました)

上の3つは、なんとすべて詐欺! メールの中のリンクをうっかり触ってしまうと、個人情報を抜き取られたり、不正なアプリをDLさせられたり、スマホがウイルスに感染して連絡先の友人知人にまで被害が及んでしまったりする恐れがあります。

トビラシステムズの岩渕さんによると、フィッシング詐欺が名乗る(=悪用する)ことが多い業界トップ3が、こちら。

【悪用された業界ランキング2021】※トビラシステムズ調べ
1位 宅配事業者(ヤマト運輸、佐川急便など)
2位 EC事業者(Amazon、楽天など)
3位 通信事業者(NTTドコモ、au、Softbankなど)

また、最近の事例では「えきねっと」を名乗る詐欺メールが有名です。このケースでは、「1年以上ログインが無いので自動退会処理をします」と、ログイン画面を装うリンクに誘導しています。

▲「えきねっと」を名乗る詐欺メール(実物のスクショ)

「えきねっと」を名乗る詐欺メールは、上記のとおり。送り主の欄も一見普通だし、ちゃっかりJRのロゴまで載せていますね。巧妙すぎる!

(※現在、本物の「えきねっと」は自動退会について事前にお知らせするメールの送信を廃止しています。また自動退会完了後のメールは配信していますが、メール内にURLの記載はしていません)

自分はもちろん友達にまで被害が及んでしまう、詐欺メール。そんな事態を防ぐためには、どんなポイントを意識すれば良いのでしょうか?

ポイント1「詐欺メールを見分けようとしない」

まずは、気になる「詐欺メールの見分け方」を専門家である岩渕さん聞いてみたところ……、

岩渕さん「詐欺メールを見分ける手段は、基本的にはありません」

とのこと! 結構ショッキングな回答ですが、いったいなぜ見分けられないのでしょうか?

 

岩渕さん「仕事柄、私や会社の同僚たちは普段から迷惑メールやフィッシング詐欺の文面を見慣れています。それでも詐欺メールの文面やURLは巧妙で、パッと見て本物かニセモノかを判断するのは非常に難しいことです。

とくに、疲れているときや片手間でメールを開いたときなどは、油断しているため騙されそうになるタイミングです。

宅配便の不在通知など、誰に届いてもおかしくない内容を装った詐欺メールも多いですし、知識がある詐欺師には送信元の偽装も比較的カンタンにできてしまいます。メールアドレスや名前の欄まで偽装されてしまったら、一般の方が見た目で判別することはまず不可能です。

つまり、“こうすれば見分けられる” という自信を持つこと自体が危険と言えます。基本的に “詐欺メールは見分けられない” という心構えでいましょう」

なるほど、そこまで巧妙だとたしかに「見分けられる」と思いこむ方が怖いですね……。でも詐欺か本物か見分けられないなら、どうやって被害を防いだら良いのでしょうか?

ポイント2「メール内のリンクに触らない」

岩渕さんいわく、詐欺メールを撃退する方法として一番カンタンなのは「メール内のリンクに触らない習慣をつけておくこと」とのこと。

岩渕さん「フィッシング詐欺では、メールやSMSから偽サイトに誘導し、ID・パスワード、氏名、住所、銀行口座といった個人情報を入力させる手口が一般的です。

詐欺師はこうして盗んだ情報を別の悪徳業者に売ることもあり、そうすると、いわゆるカモリスト(=騙されやすい人のリスト)に載ってしまう恐れもあります。

そんな事態を防ぐためには、普段から “メール内のリンクには触らない” と決めて、習慣づけておくのが一番効果的です」

なるほど。詐欺メールを見分けることができない以上、全てのメールに対して「詐欺かもしれない」と警戒しておくほうが良い、ということですね?

岩渕さん「そうです。本当に重要なお知らせなら、本物の企業の公式サイトや公式アプリに掲示されているはずですよね。

公式のサイト・アプリからマイページにログインして、自分宛にお知らせが届いているかどうかを確認してみましょう。もしもマイページに届いていなければ、そのメールは詐欺であると判断できます」

さらに、SMSで送信元を偽装された場合、過去のスレッド(本物の会社からのメッセージ画面)に、詐欺メッセージが紛れ込んでしまうこともあります。

例)公式のお知らせ(SMS)にフィッシング詐欺が紛れ込んでしまった実例を、Softbankが公開しています。↓
https://www.softbank.jp/mobile/info/personal/news/support/20200304a/

手口はどんどん複雑になっているので、普段から「メールで届いたリンクには触らない」を徹底しておきましょう。

ポイント3「迷ったときはコピペで検索してみる」

本物かニセモノか迷ったときは、メールの件名や文章を一部コピペしてネット上で検索してみるのもオススメです(コピペする際も、リンクに触らないよう気をつけましょう!)。

岩渕さん「タイトルや文面の一部をそのまま検索にかけてみると、公式サイトが出している注意喚起にたどり着けることがあります。また、同じ詐欺メールを受け取った人がSNSやブログで注意喚起をしているケースも結構多いです」

たとえば、先ほどスクショを載せた「えきねっと」を騙る詐欺メール。こちらのタイトルである「【重要】えきねっとアカウントの自動退会処理について」をそのままコピペしてGoogle検索にかけてみると、注意喚起のページがたくさん出てきます。

岩渕さん「ただし、新しい偽メールが出始めたタイミングなど、公式の注意喚起や他の受信者からの情報が上がっていない場合もあります。またSNS上では曖昧な情報が飛び交っている可能性もあるため、ネットの情報を鵜呑みにするのではなく、あくまでも参考程度に検索しつつ、リンクを触らないことを徹底しましょう」

不安なとき、もしものときは専門窓口に相談を

フィッシング詐欺について不安になったとき、「騙されてしまったかも」と思ったときは、次の窓口に相談できます。

・フィッシング110番(警察庁)
https://www.npa.go.jp/cyber/policy/phishing/phishing110.htm

・フィッシング対策協議会
https://www.antiphishing.jp/

・迷惑メール相談センター
https://www.dekyo.or.jp/soudan/index.html

迷ったときや困ったときは、焦らず慌てず専門家の助けを借りましょう。

また、フィッシング詐欺対策アプリを提供している企業もあります(トビラシステムズでも迷惑電話や迷惑SMSを自動的に拒否する「トビラフォンモバイル」というアプリを提供しています)。今回ご紹介した基本の対策に加えて、こうしたアプリを活用するのもオススメです。

詐欺メールに騙されないための方法・まとめ

詐欺メール(フィッシング詐欺)に騙されないための対策をまとめます。

  • 詐欺メールは「見分けられない」と思っておく
  • メール内のリンクに触らない
  • 重要なお知らせは公式サイトやアプリでチェック
  • メールの一部をコピペして検索してみる
  • 専門の相談窓口を知っておく

これらを心がけるだけでも、詐欺メールによる被害リスクを大きく減らせます。ぜひ今日から実践してみましょう!

文・構成 豊島オリカ
取材協力 トビラシステムズ株式会社