思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

荷物の受け取りに身に覚えがなければ不審に思う内容だが、たまたま頼んでいたものが届く予定があれば、この内容でいとも簡単にだまされてしまう。

ほかにも有名リゾートホテルやテーマパークのチケットの当選を装ったもの。ECサイトや動画サイトのアカウントを無効化するというもの。クレジットカードの不正が確認されたとするもの。これらは典型的なフィッシングメールといってよい。

こうした不特定多数に同一文面でメールを送りつける「ばらまき型」がフィッシングメールの基本だが、この対極にあるのが「スピアフィッシング」と呼ばれる手法だ。

スピアフィッシングとは、メールなどの文面が特定の相手、特定の企業・業種を狙ったフィッシングだ。文面にも標的の個人名や会社名、差出人の個人名や組織名が記載され、内容も業界内部のやりとりになっている。

例えば、親会社・得意先、業界団体・学会からの連絡、所轄省庁からの連絡などを装って、「担当部署の変更」「業界に法改正や新しい規制が導入された」といった文面でだましにかかってくる。

2022年のロシアによるウクライナ侵攻では、その前後にロシア側からと思われるフィッシングメールなどが、電力事業者や金融業界関係者に送られている。その後、プロパガンダを目的としたスピアフィッシングメールが、EU圏のウクライナ語話者に送られたことも確認されている。

本来、フィッシングメールは、大量のアカウント情報を入手することが目的である。ピンポイントで狙うスピアフィッシングは効率がよくないが、対象の個人や属性に価値があれば有効だ。

最新の事例や手口は対策事業者のサイトを活用

注意しなければならないパターンは、ほかにもある。SNS、ゲームなどのアカウントを凍結する、税金や補助金の還付をかたるフィッシングも定番だ。地震や豪雨などの災害、大きなニュースの直後は義援金・寄付を募るパターンもある。

フィッシングの例は、枚挙にいとまがない。文面や事例も社会情勢や出来事にあわせて変化する。特定の事例を示してもすぐに古くなるので、文面の事例については、都度、ニュースなどを確認して認識をアップデートしておく必要がある。

最新の攻撃メールが確認されると、フィッシング対策協議会（APC）やドコモなどの通信事業者が、ホームページを適宜更新するので参考にするとよい。自分が利用している金融機関や企業（をかたる）のフィッシングが流行っているのか、と注意喚起に役立つ。