スパムメールが多くて怖いですよね。

スパムメール 詐欺メール セキュリティ


【概要】
 最近、Amazonやクレジットカード会社を名乗るスパムメール=迷惑メールが多いですよね。妻も危うくクリックしてしまうところだったと言っていました。そんなわけで、私は専門家ではないですが、自分が気をつけていることを紹介してみようかと思います。
【目次】




メールの歴史


 僕がインターネット、電子メールというのを知ったのはもう28年前。大学1年の情報処理の授業でしたね。それまではパソコン通信。インターネットはいろいろなネットワークが相互につながっていますが、パソコン通信は1つのネットワーク内で掲示板やメールをやり取りする仕組み。なのでA社のパソコン通信を使っている人は、B社のパソコン通信を使っている人にはメールを出せない。携帯電話に例えると、ドコモ回線の人はソフトバンクを使っている人には電話をかけられないイメージです。
 で、実際に電子メールを使うようになったのが、大学院生になってから。うちの大学はまだ学部生にはメールを割り当てず、教職員と大学院生に割り当てました。当時はまだ就職活動で電子メールを使うのも一般的ではなく、電子メールを使えると言うだけで、就職活動で優遇されていました。

 つまり四半世紀以上前からある仕組みです。当時はセキュリティに関してもまだそれほど気にしていなかった時代です。電子メールも性善説に基づいて作られていたシステムで、受信する際はパスワードが必要だったのですが、送信時にはパスワードも必要なく、メーラーの設定を書き換えれば、簡単に他人になり済ませられる時代でした。

 一方で、悪い人っていつからいるのか考えると、パソコン通信時代にもコンピュータウイルスはあったので、メールも性善説で仕様を作っていてはいけなかったんですよね。徐々にセキュリティの概念が取り入れられましたが、それでも2000年くらいでは、やはりちょっと勉強すれば他人になりすましてメールの送信が可能でした。

 最近届く迷惑メールをいくつか紹介してみます。




事例1


迷惑メール事例

 「TS CUBE CARD」を騙(かた)る迷惑メールです。これはわかりやすい事例です。「TS CUBE CARD」のホームページドメインは「https://tscubic.com/」ですが、記載されているURLが「https://my-ts3card-com」で始まっていて、一見それっぽいかも知れませんが、その続きを見ると全く関係ないアドレスであることがわかります。
 これはわかりやすい事例ですよね。

事例2


迷惑メール事例

 「アメリカンエクスプレス」を騙る迷惑メール。これもわかりやすいですが、URLを見ると「americanexprizss.com」と、どんなスペルミスだよ。本物のわけがないですよね。
 他にも「Amazon」を「Arnazon(エイ・アール・エヌ・エイ・ゼット・オー・エヌ)」と一見するとあっているようなスペルですが、よく見るとスペルを変えている場合もあります。「l(エル)」と「1(数字の1)」などよく言われるような似たような文字になっている場合もありますので注意です。

事例3


迷惑メール事例

 このメール作った人、どれだけバカなの?「UCSカード」を騙るメールですが、タイトルが「USCカード」わざとなの?天然なの?良心の呵責?
 誘導されるURLは、一見それっぽいですが、実はクリックしたときに飛ぶURLは必ずしも表示されているURLとは限りません。スマホの場合はその部分を長押しすると正しいURLが表示されますし、パソコンの場合はカーソルを当てるとブラウザの左下に飛び先URLが表示されます。実際は以下のようなアドレスに飛ばされます。
迷惑メール事例

 カード会社とは関係のないURLであることがわかると思います。

事例4


迷惑メール事例

 「JCBカード」を騙る例です。これは一見良くできています。でも先ほどと同じようにリンク部分を長押ししてみると
迷惑メール事例

 このように中国のサイトに飛ばされます。

事例5


迷惑メール事例

 最後は「Amazon」の例です。今まで誤字やURLの指摘をしてきましたが、この例では同じようにURLをチェックすればわかるのですが、別の観点でのチェックを紹介します。Amazonを利用している方は正規のメールがたくさん来ていると思いますが、個人宛のメールには「○○様」と書かれています。広告のように不特定多数に送っているメールでも、メールの一番最後に「このEメールは次のアドレス宛に送信されました」と記載があります。または現在のAmazonポイントの残高が書かれている場合もあります。
 メールアドレスの記載は迷惑メールにも記載される場合も多々ありますが、ここで言いたいのは、正規のメールと文体やスタイルが全く異なるようなメールは普通出さないと言うことです。なんかいつもとレイアウトやフォーマットが違うなぁと思ったら、迷惑メールを疑うべきです。つまり正規のメールを普段からよく読んでいることが大事です。




まとめ


 言わずもがなですが、迷惑メールを送る人たちの目的は、偽サイトに誘導してIDやパスワード、クレジットカード番号、住所などの個人情報を抜き取ることです。もし情報が漏れれば実際にそのクレジットカードを使われるかもしれません。保険付きのカードだったとしても審査に何ヶ月かかるかもしれませんし、その間お金は帰ってきません。実害がなくても携帯電話など毎月の引き落としの手続きも変えたり手間はかかります。ログインIDとパスワードは別のサイトでも使い回していたら他のサイトも乗っ取られる可能性があります。

【見分け方のまとめ】
  • 誤字脱字がないか?
  • 翻訳サイトで訳したような不自然な言葉ではないか?
  • 上記のようにURLを確認して妥当なURLか?特に検索サイト(も騙されることはあるようだが)から検索した正規のサイトからログインして確認する。
  • 上記で紹介しませんでしたが、差出人が自分であることもあるので確認する。
  • 変な請求ならば、正規のURLからログインして履歴を確認する。
  • 急がせたり(24時間以内にとか)、脅迫じみた(アカウントを凍結する)という文言はほぼスパム。(AmazonのようなECサイトは24時間以内に手続きしなくても困らないのに急がせるのは、スパムメールを受け取った人に考える・誰かに相談する時間を与えないため)
  • 通常どのサイトもパスワードや秘密のキーワードをメールで聞いてくることはない


【もしやっちまったら】
◆もし、偽サイトでIDやパスワードを入力してしまった場合は、
・すぐにパスワードを変更。できればアカウントを停止して必要なら別アカウントを作る
・使い回ししている別サイトのパスワードを変更する。
◆クレジットカード情報などを入力したら
・すぐにクレジットカード会社に連絡(遅れると保険が使えないことも)

【パスワードを使い回さないために】
 アルファベット、記号、数字を組み合わせて複雑なパスワードを作ることが好ましいとは言われますが、なかなか難しいですよね。
 文章の子音だけをとると良いというのを聞いたことがあります。
 例えば「私の趣味は山登りです。」だと、
 「Watashino Shumiha Yamanobori Desu.」 この子音だけを取り出すと、
 「WtsnSmhYmanbrDs」みたいに。。。

 いくら複雑なパスワードを作っても使い回したら意味がないですね。その場合登録するサイト名を組み合わせると良いと思います。

 例えば、楽天だと上記の文字列に「rkt」をつけ、Amazonだと上記の文字列に「amz」をつけるなど。そうすると1種類の文字列で使い回さないパスワードを作れます。




この記事へのコメント

コメントを書く

この記事へのトラックバック