トップ > 用語解説 > ネットワーク関係 > フィッシングメール
フィッシングメールは、送信者を詐称するなどした偽の電子メールを送信し、公式サイトを模倣した偽サイトに誘導するメールのことをいいます。 具体的には、金融機関やクレジットカード会社を装って偽サイトに誘導します。 フィッシングメールの目的は、偽サイトに誘導し、クレジット番号やユーザID、パスワードなど、情報を盗み出すことです。
フィッシングメールとスパムメールはどちらも「迷惑メール」なので混同しがちですが、定義が少し異なります。 スパムメールは広告付きメールで、無差別に送られてくるものです。 一方、フィッシングメールはメールを使った詐欺のことを指します。 両者の違いは目的です。スパムメールの目的は広告や宣伝なのに対し、フィッシングメールの目的は何らかの詐欺行為です。
なりすましメールは、実在する機関になりすましてユーザを騙すメールのことをいいます。 「フィッシング」と「なりすまし」は似た意味で使用されており手法もほぼ同じです。 フィッシングメールもなりすましメールも送信者を詐称した、メール送信により詐欺を行います。
フィッシングメールの手口は主に4つあります。
「サインインが行われました。心当たりがない場合はパスワードをリセットしてください」 といったメールを送り、ID・パスワード変更の催促をしてくる手口です。 メール本文には、リンクが貼られており、クリックするとまるで本物のようなホームページに飛びます。 このホームページでIDやパスワードなどを入力すると、それらの情報が攻撃者の手に渡ってしまうのです。 結果、アカウント乗っ取り、クレジットカード不正利用などの被害に遭います。
ECサイトで商品を購入した際に「購入確認メール」や「商品発送のお知らせ」が送られてきます。 これらのメールを装うのもフィッシングメールの手口のひとつです。 多くの人が商品を購入したことに身に覚えがないため、購入をキャンセルしようとメール本文にある「キャンセルはこちら」をクリックしてしまいます。 そうすると、クレジットカードやECサイトで利用するID・パスワードの入力を促すページに飛び、入力してしまうことでID・パスワードはもちろんのこと、 登録しているクレジットカード情報なども盗まれてしまいます。
宅配便の不在通知を装うフィッシングメールは、昨今見かけるようになった手口です。 この手口はパソコンへのメールではなく、スマートフォンのSMSでよく見られます。 一般的には、「荷物を届けましたが不在でした。リンクを確認してください」といったメッセージが届き、リンクをクリックすると、 金融機関などの偽サイトに飛んだり、不正アプリがダウンロードされたりします。結果的に、個人情報が盗まれる被害に繋がります。
これまでの手口では、金融機関やECサイトの偽サイトへ誘導するものでしたが、これら以外の偽サイトへ誘導する手口もあります。 たとえば、新型コロナウイルスに関する給付金に関する地方自治体を装った偽サイトや、企業ホームページにそっくりな偽サイトなどに誘導し、 アカウント情報(ユーザID、パスワードなど)、クレジットカード番号、暗証番号などを入力させて情報を盗み、本人になりすまして不正な取引を行う被害事例も増えてきています。