1. スパムメールとフィッシングメールはどこが違う?気づくための注意点は?

ケーススタディ【vol.44】

2018.03.01

スパムメールとフィッシングメールはどこが違う?気づくための注意点は?

  • Facebook
  • このエントリーをはてなブックマークに追加

shutterstock_554705755メールを利用していると、いつの間にか届くようになる迷惑メール。届くだけでも迷惑ですが、うっかり添付ファイルを開いてしまったり、だまされて本文中にあるリンクをクリックしてしまうと、マルウェア感染やログイン情報の盗難など、大きな被害に遭ってしまいます。ここでは迷惑メールをスパムメールとフィッシングメールに分け、それぞれの特徴と見分け方、対処法を紹介していきます。

【目次】
・スパムメールとフィッシングメール
・迷惑メールの特徴
・迷惑メールの被害に遭わないために

スパムメールとフィッシングメール

さまざまなタイプのある迷惑メールですが、そもそもなぜ迷惑メールが届くのでしょう。これには、主に2つの原因が考えられます。

ひとつは、メールアドレスが流出している場合です。意外に多いのが、無料のサービスを利用する際に登録したメールアドレスが第三者の手に渡り、そこから迷惑メールが送信されるケースです。無料のサービスの利用規約には、「メールアドレス情報を第三者に提供することがある」と書かれていてることが多いのです。

もうひとつは、迷惑メールの送信者がメールアドレス生成機能を使用している場合です。この機能を使ってメールアドレスの文字の組み合わせを大量に作成し、その宛先に迷惑メールを送信します。メールアドレスが存在しない場合はエラーが返ってきますので、それを削除していくことで実在するメールアドレスのリストの精度を上げていくことができます。このリストに、たまたま該当してしまうことがあるのです。

このようにして届き始める迷惑メールですが、正式な定義はないものの、「スパムメール」と「フィッシングメール」の2つに大きく分けることができます。スパムメールは、いわゆる広告メールで、「SPAM」という缶詰のメーカーが「スパム」と連呼するコマーシャルを流していたことから、しつこく届くメールのことをスパムメールと呼ぶようになったといわれています。最近ではマルウェアが添付されているケースも増えているので、注意が必要です。

フィッシングメールは、メール詐欺です。銀行やクレジットカード、オンラインゲーム、クラウドサービスなどの名前を騙って、本物そっくりのメールでフィッシングサイトに誘導します。フィッシングサイトも本物そっくりで、そこにIDやパスワード、あるいは第2パスワードや秘密の質問、乱数表の内容などを入力させて、ログイン情報を盗み取ろうとする犯罪です。ただし、今後は双方の手法が組み合わさり、明確な区別ができなくなるかも知れません。


※正式な定義はないが、迷惑メールにはスパムメールとフィッシングメールがある

迷惑メールの特徴

迷惑メールは基本的に広告メールで、割引セールなどのタイトルで届きます。
たいていはHTMLメールとなっており、人気商品を格安で販売したり、入手困難な商品が必ず手に入るなどの謳い文句でクリックさせようとします。

クリックするとショッピングサイトに誘導されますが、そのほとんどは偽のショップで、クレジットカード情報などを盗み出そうとします。

たとえ購入操作をしてもエラーになったり、画面上では購入手続きが完了しても、商品が届くことはありません。

偽のショッピングサイトに誘導するケースでは、健康用品や医薬品、イベントチケット、ギャンブル、アダルトなどの商品が多くみられます。また、スポーツのワールドカップやオリンピックなど世界的なイベントの時期には、チケット販売などの迷惑メールが急増する傾向にあります。

また最近では、マルウェア感染を目的とした迷惑メールも増えています。
こちらは広告ではなく、「重要書類」や「請求書」「納品書」、あるいは郵便局や宅配便などの再配達メール、金融機関の引落不能通知など、利用者が気になるような件名のメールです。これらのメールには、それらしい名前の添付ファイルがありますが、ほとんどがオンラインバンキングを悪用して不正送金をしようとする「バンキングマルウェア」です。

一方、フィッシングメールは、「重要:必ずお読みください」「あなたのApple IDのセキュリティ質問を再設定してください」「あなたのアカウントはセキュリティ上の理由でロックされています」「このアカウントは一時的に停止されました」などの件名で、本文にあるリンクをクリックさせようとします。迷惑メールとの違いは、メールの文面やデザインが正規のものとほぼ同じで、リンク先のサイトも同様である点です。

最近では、「購入確認」として、購入した商品や価格が記載されており、購入をキャンセルするボタンが用意されているフィッシングメールがよく確認されています。メールを受け取った人は、「誰かが自分のアカウントに不正アクセスして商品を購入した」と思ってしまい、キャンセルのためにリンクをクリックして、IDとパスワードといったログイン情報を入力してしまうのです。

フィッシングメールでは、銀行のオンラインバンキングサービスや、オンラインゲーム、オンラインショッピングなど著名なサービスが利用されます。また、迷惑メールのようにマルウェアが添付されているような事例も見られます。

ウイルス付きの迷惑メールの例

迷惑メールの被害に遭わないために

迷惑メール対策には、多くのメーカーが対策製品を提供していますし、インターネット・プロバイダーがメールサービスとともに提供しています。しかし、最近の迷惑メールは件名や差出人によるフィルターが難しくなっており、対策をすり抜けるケースも少なくありません。また、思わず開いてしまうような件名が多いため、最終的には利用者の判断が重要になります。

まずは、差出人のメールアドレスに不審な点がないかをチェックしましょう。一見しただけではわからないような、「l」(小文字のエル)と「I」(大文字のアイ)、あるいは「1」(数字の1)などの違いがあるケースが多いです。また、メールの文面に、メールアドレス以外に個人を特定できる情報があるかどうかを確認します。宛名が「[メールアドレス]様」だけの場合は怪しいと考えられます。

メールアドレス以外の個人名やID番号などが正しく記載されていれば、正規のメールである可能性が高いといえます。迷惑メールの送信者は、メールアドレスしか知らないということを覚えておきましょう。また、スパムメールの請求書や再配達などの件名の場合は、差出人の情報がメールの末尾にあるかどうかを確認します。そしてフィッシングメールの場合も同様ですが、Webブラウザの「お気に入り」などからサイトをチェックし、同じ情報があるかどうかを確認します。

また、システム的な対策も重要です。マルウェアが添付されるケースが増えているため、セキュリティ対策ソフトの導入は必須といえるでしょう。さらに、アクセスしようとするWebサイトの安全性をチェックするような「Webフィルタリング」の機能を持つものがあれば最適です。このほか、脆弱性が悪用されないよう、WindowsやmacOSをはじめ、アドビ製品やマイクロソフト「Office」などのアップデートを欠かさないようにしましょう。

フィッシングメールのチェックポイント

 

yosizawa150-150吉澤亨史(よしざわ こうじ)フリーランスライター
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。
この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加

関連記事 | こんな記事もオススメです。