1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. フィッシングメールの事例を解説

フィッシングメールの事例を解説

セキュリティニュース

投稿日時: 更新日時:

フィッシングメールの事例を解説

フィッシングメールとはソーシャルエンジニアリング攻撃の一種で、ログイン認証情報やクレジットカード番号などのユーザーデータを盗むためによく使用されます。最近ではフィッシング攻撃は多様化しており、インスタグラムやXなどのインスタントメッセージやLinkedInなどのビジネス職のあるSNSなどのメッセージなどでも悪用されています。

フィッシングメールで狙われる個人情報

フィッシングメールでは、サイバー犯罪者は多くの場合、以下の情報を要求します。

  • 生年月日
  • 社会保障番号
  • 電話番号
  • 自宅住所
  • クレジットカードの詳細
  • ログイン詳細
  • パスワード(またはパスワードをリセットするために必要なその他の情報)

サイバー犯罪者はこの情報を利用して、ユーザーになりすまし、クレジットカードやローンを申請したり、銀行口座を開設したり、その他の不正行為を行ったりします。

一部のサイバー犯罪者は、最初のフィッシング メールで収集した情報を使用して、被害者についてさらに詳しい情報を得ることを目的としたスピアフィッシングやビジネスメール詐欺などにより標的を絞ったサイバー攻撃を開始します。

また、AIを利用した文章作成によりフィッシングメールは急増していますAI作成の文章は人間が作成したものより品質が高いものも存在し、フィッシングメールの見分けはより困難になっています。

フィッシングメールで要求されるアクション

フィッシングは、被害者が緊急の対応を要求する詐欺メールに従って行動したときに発生します。フィッシングメールで要求されるアクションの例は次のとおりです。

  • 添付ファイルをクリックする
  • Word文書でマクロを有効にする
  • パスワードの更新
  • ソーシャルメディアの友達リクエストや連絡先リクエストに応答する
  • 新しいWi-Fiホットスポットに接続する

サイバー犯罪者は毎年フィッシングの手口を巧妙に使いこなし、技術を改良し、無防備な人々を騙して盗み出す新しい方法を試しています。

フィッシングメールの攻撃事例

1. 偽の請求書送付詐欺

最もよく使われるフィッシングメールの例としては、偽の請求書を送付する手法が挙げられます。多くのフィッシングメールと同様に、この詐欺は受信者に恐怖感と緊急性を利用して、受信者に注文も受け取っていない商品やサービスの支払いを迫ります。

関連:国税庁を語る なりすましメール(フィッシングメール)が大量配信

法人の例ではこれらの種類の攻撃の標的となるのは財務部門が主ですが、騙される可能性のある潜在的な被害者は数多く存在します。

2. メールアカウントアップグレード詐欺

メールアカウントアップグレード詐欺とは、MicrosoftやGoogleなどの信頼できる電子メールプロバイダー、または会社のIT部門からのメールで、すぐに対処しないとアカウントが期限切れになってしまうという内容で、電子メールアカウントのアップグレードを要求する手法です。

このメールにおいては目立った文法上の誤りはなく、複雑な要求もしてきません。メールのリンク自体は、何も知らないユーザーにとっては安全な「https」ウェブページへのリンクのように見えます。見分けるためのヒントとしては、個人情報の入力を求められたときにリンク自体にマウスを合わせることが有効です。テキスト自体がリンクの実際のリンク先を表していないことが多いため見分けるヒントとなります。

3. 前金詐欺

昔からある手法ですが、外国人から資金を取り戻すために助けてほしいとメールが届く手法です。特段手の込んだ手法ではありません。

メールの文章の中で、詐欺者はあなたの銀行口座の詳細と引き換えに多額のお金を送金します、と記載してあります。仮にこの手口に乗ってしまうと、あなたは一銭も受け取れないだけでなく、あなたの口座からお金が抜き取られることになります。

4.ソーシャルメディアを活用したフィッシング詐欺

ソーシャルメディアのフィッシングメールは、Facebook、LinkedIn、TikTok、X(旧Twitter)、 Instagram詐欺の起点となる可能性があります。

通常、これらの詐欺はプラットフォームのブランドやロゴを模倣し、悪意のあるリンクをクリックさせたり、機密データを漏らさせたりします。

ソーシャル メディア詐欺に関連するフィッシング攻撃は、多くの場合、次のようなものです。

  • アカウントが無効化または削除されるのを防ぐために、直ちに行動を起こすようお願いする。
  • 侵害されたパスワードをリセットするか、ログイン資格情報を確認するように要求する。
  • 誰かが管理者にあなたを報告したというアラートの記載がある。

5. Amazonのフィッシングメール

最近、私たちの多くは定期的にAmazonで買い物をし、同時に複数の注文をしています。Amazonを利用した詐欺師はこれを利用し、受信者に迅速に行動するよう圧力をかけ、偽のWeb サイトへのリンクを含むメールを送信します。これらのリンクをクリックすると、マルウェア感染や情報盗難につながる可能性があります。

Amazon のフィッシング メールの例は次のとおりです。

  • ロックまたは停止されたアカウントに関するメッセージ。
  • 注文していない商品の発送メール。
  • 支払い情報を更新するよう促します。
  • 偽のギフトカードアンケート。

6. Google ドキュメント詐欺

Googleドキュメント詐欺とは、電子メールの文章中に、リンクをクリックして「ドキュメント」を表示するように促し、クリックするとGmailのログインページとほぼ同じバージョンが表示されます。アカウントを選択すると、Googleアカウントへのアクセスを許可するよう求められます。つまり、攻撃者はあなたのアカウントで自由に行動できることになります。

7. PayPal詐欺

海外ではPayPal詐欺も有名です。約 2 億人のユーザーを抱えるPayPal は、サイバー犯罪者にとって非常に儲かるツールとして認識されています。大量のアカウントがあるだけでなく、PayPal は詐欺師に対して、クレジットカードや銀行口座に直接リンクされたプラットフォームを利用する機会を提供しています。

これらのメールには PayPal のロゴが含まれていることが多く、メールの下部には説得力のある細字の文章が書かれています。この詐欺も、被害者にパニックを起こさせようとしており、多くの場合「アカウントに問題があります。ここをクリックして修正してください」といった内容のメッセージが表示されています。また、本物らしく見える細字の文章も含まれているので注意が必要です。

8. HR(人事)フィッシング詐欺

詐欺者が会社の人事になりすましてメールを送付する手法です。HRフィッシングメールには、悪意のある添付ファイルやリンクが含まれていることが多く、クリックすると、コンピューターやデバイスに悪意のあるソフトウェアがインストールされます。

送信ボタンを押す前に、個人情報の要求が正当なものかどうかを HR の送信者に直接確認する必要があります。

9. CEO フィッシングメール

CEO フィッシングメールは、CEO などの高位の役員になりすました詐欺師から送られてきます。

このタイプのフィッシング(エグゼクティブフィッシングとも呼ばれます) は、従業員をターゲットにして、個人情報を要求したり、ベンダーや顧客への電信送金の完了などの緊急のタスクを実行するよう懇願したりします。その結果、資金や機密データが盗まれます。

10.偽の求人詐欺

偽の求人フィッシングメールは、多くの場合、高給でスキルは不要と約束し、在宅勤務詐欺に人々を誘い込むことを目的としています。

これらの不正な求人には、前払い金が必要であったり、開始するために社会保障番号や銀行口座の詳細などの個人情報を求めたりすることがあります。また、マルウェアが添付されていることもあります。

11. Dropbox フィッシング詐欺

オンライン共有およびストレージプラットフォームであるDropboxを利用した詐欺手法です。手法自体はユーザーにリンクをクリックさせるというお決まりの手法ですが、模倣攻撃も増加傾向にあります。

Dropboxフィッシングメールは通常、ユーザーにメールで送信された「ファイル」が大きすぎるため、「このリンクをクリックして」開く必要があると通知します。攻撃者は偽のDropboxランディングページを用意しています。ここでの利用者のアカウント情報の取得を狙っています。

12.地方税フィッシング詐欺

地方税フィッシング詐欺は、さまざまな巧妙なメッセージを使って個人情報を漏らすよう仕向けてくるため、特に厄介な攻撃です。

地方税フィッシング詐欺は通常、税金の還付を約束したり、あなたにとってはプラスに働くような間違いがあったとして、緊急にすぐに行動するよう連絡をすることが多いです。これらのメール内のリンクをクリックすると、デバイスがマルウェアに感染したり、偽の Web サイトに誘導されて社会保障番号などの個人情報を入力するよう求められたりする可能性があります。

税金の個人情報盗難から身を守るには、予期しない税金関連のメール内のリンクをクリックしたり、疑わしいメールに返信したりしないでください。自治体等は通常、郵便で連絡を取り、メールで個人情報を尋ねることはありません。

13. 異常なアクティビティフィッシング詐欺

「あなたのアカウントに不審なアクティビティがあります」というメールやテキストメッセージを受け取ると、警鐘が一斉に鳴り始めます。被害者は緊急性とパニックに直面するだけでなく、混乱にも直面するため、この詐欺は詐欺師にとって非常に効果的です。銀行や Instagramアカウントなど、あらゆるアプリ、Web サイト、プラットフォームが、この有害な手法に攻撃者によって利用される可能性があります。

まとめ

今回の記事では13種類のフィッシングメールの事例について解説しました。サイバー犯罪者はさまざまな方法でユーザーを騙して情報を入手しようとしており、その攻撃手法も日々変化をしております。被害者とならないために、トレーニングと実践を通じてサイバーセキュリティに対する高い意識を身につけていきましょう。

関連記事

標的型攻撃メールとは標的型攻撃メールとは フィッシングメールとは 概要や手口を解説フィッシングメールとは 概要や手口を解説 @gilt.jpドメインでなりすましメール(フィッシングメール)が大量送信されている@gilt.jpドメインでなりすましメール(フィッシングメール)が大量送信されている クラウドストライクはデルタ航空がIT障害の為の無償支援を拒否したと主張クラウドストライクはデルタ航空がIT障害の為の無償支援を拒否したと主張 @costcojapan.jpドメインでAmazonの不振な活動を警告する なりすましメール@costcojapan.jpドメインでなりすましメール(フィッシングメール)が大量送信されている 国税庁を語る なりすましメール(フィッシングメール)が大量配信国税庁を語る なりすましメール(フィッシングメール)が大量配信 Microsoft Power BI で機密情報を公開する脆弱性Microsoft Power BI で機密情報を公開する脆弱性を確認 Mastercardとアマゾンを語るなりすましメール(フィッシングメール)が大量送信されるMastercardとAmazonを語るなりすましメール(フィッシングメール)が大量送信される えきねっと を語るなりすましメール(フィッシングメール)が大量配信えきねっとを語る迷惑メール(フィッシングメール)が大量配信