フィッシングメールは、銀行や宅配業者、大手ECサービスを装って、パスワードやクレジットカード情報を盗もうとするメールです。年々手口が巧妙になっており、一見すると本物のメールと区別がつきにくいものも増えています。この記事では、フィッシングメールに共通する特徴と、確認すべきポイントを説明します。
送信元アドレスを確認する ¶
フィッシングメールの多くは、表示名を本物らしく見せていますが、実際の送信元アドレスは全く異なるドメインになっています。メールソフトで送信者名をクリックすると、実際のアドレスが表示されます。「info@hushedoceanretreat.com」のように、本物のドメイン(amazon.co.jp)とは異なるアドレスが使われていることが多いです。
リンク先のURLを確認する ¶
メール内のリンクをクリックする前に、リンク先のURLを確認する習慣をつけてください。パソコンの場合、リンクにマウスを乗せると、画面下部にURLが表示されます。表示されているテキストと実際のリンク先が異なる場合、フィッシングの可能性があります。また、「http://」(sなし)で始まるURLや、長くて読みにくいURLも注意が必要です。
「今すぐ確認してください」という表現 ¶
フィッシングメールには、「アカウントが停止されます」「24時間以内に確認してください」といった、急かす表現が使われることが多いです。焦らせることで、冷静な判断をさせないようにする手口です。このような表現があったときは、メール内のリンクをクリックせず、公式サイトに直接アクセスして確認する習慣をつけてください。
不審なメールを受け取ったときの対処 ¶
フィッシングメールかどうか判断できないときは、メール内のリンクをクリックせず、添付ファイルも開かないことが基本です。公式サービスのサポートページに直接アクセスして、同様の連絡が来ているかどうかを確認してください。職場で受け取った場合は、情報システム部門や上長に報告することも重要です。
フィッシングメールの手口は変化し続けています。Hushed Ocean Retreatの情報セキュリティ基礎コースでは、最新の事例をもとにした演習問題を通じて、判断力を身につけることができます。