フィッシングメールの中には「スピアフィッシング(標的型攻撃メール)」と呼ばれるより高度な手法でいかにも本物だと信じさせるようなメールがあります。
フィッシングメールとスピアフィッシング(標的型)メールの違い
スピアフィッシングとは元々は銛(もり)で魚をつく漁のことで、英語だと「spearfishing」と書きます。一方詐欺メールのほうは「spear phising」と2語からなる言葉です。
| 詐欺メールの種類 | フィッシング | スピアフィッシング |
| 攻撃 | 不特定多数 | 特定の人を狙う攻撃(標的型) |
| 本文の特徴 | メールアドレス以外に個人を示す情報は皆無 | 取引先や所属会社名、時には自分の名前といった個人に関係する情報が含まれる場合がある。 |
| 詐欺の成功率 | 低い | 高い |
フィッシングメール:
網で投げて魚を採るように特定の獲物を狙わず、下手な鉄砲も数撃ちゃ当たる方式。
スピアフィッシングメール:
狙った魚を銛(もり)で突くように特定のターゲットを狙うので成功率が高い。
スピアフィッシングメールの最大の注意点
・取引先のアドレスを語る場合がある。
・自社の関係者、上司のアドレスを語る場合がある。
・メール本文中に自分の会社名や氏名など個人に絡む情報が記載されている場合がある。
いきなりこんな情報が入手できるわけはないので、ソーシャルエンジアリングやダークウェブなどを通じて不正に個人情報を入手するわけです。
原始的なフィッシングメールは、メール本文のどこにも個人に関する情報が記載されていませんが、スピアフィッシングでは、
XXXX会社 所属の皆様へ
XXXX会社所属の皆様に重要なお知らせがあります。
旅路 太郎 様
このメールは旅路 太郎様への重要なお知らせメールですので、最後まで必ずお読みください。
といったような、いかにも内容を読んで状況によりクリックしてしまいそうなメールが届きますので、対策は相当厄介です。
スピアフィッシングから自分を守るために
基本的にはフィッシングメールと同じです。
(1) セキュリティ対策ソフトは無いよりずっと良いですが万能ではありませんので、入っていないものと考えて対処するのが一番安全です。セキュリティソフトには頼りきらないこと。
(2) 基本中の基本ですが、見慣れぬ発信者のメールは開かないこと。
(3) 社内・取引先・友人が発信人のメールであっても、URLが記載されている部分は絶対クリックしない。
(4) 少しでも不審に思ったら発信者に電話(メールではない)で発信した事実を確認すること。
(4) メールのURL部分は右クリックして「リンクをコピー」(アドレスをコピーとか表現はさまざまだがその文字列に含まれている実際のURLがコピーされる)して、メモ帳やテキストエディタにペーストし実際のURLを確認する。えきねっとの”eki-net.com”という文字列であっても、実際のURLは”xxx.xxx.live”とか全く異なるアドレスである場合がある、それは即詐欺メール。
メール本文にこのURLをクリックしてすぐに手続きをとかすぐに確認をといった記載があるものは、かなりの高確率でフィッシング・スピアフィッシングであると思えば間違いない。
まとめ
フィッシングメール、スピアフィッシングメールが飛んでくるのをゼロにするのはぼ不可能。
メール中のURLは基本的にはクリックしないで、自分でURLを入力してアクセスする。(詐欺Webへのアクセスを避ける)
URLが記載されていて、何の予告もなくいきなりこちらにアクセスして手続きをしないとなんちゃらが無効化されますとか、その手の文句を正規のビジネスサイトは絶対にメールで出さないので騙されないように。