フィッシング詐欺を見分けるための注釈付きフィールドガイド

フィッシングはお好きですか？バンドも、美味しいシーフード料理も、トロピカルな種類も好きではありません。私が言いたいのは、フィッシングメールを見分けるという知的チャレンジです。フィッシングメールは、多くの場合、ログイン認証情報や金融情報など、個人情報を聞き出そうとしたり、訓練を受けたオペレーターがあなたからお金を奪おうとする電話番号に電話をかけさせようとしたりします。

フィッシングは深刻な問題となっており、セキュリティ企業SlashNextのフィッシング状況レポートによると、2022年には2億5,500万件以上のフィッシング攻撃が発生し、前年比で61%増加したとされています。Verizonの2022年データ漏洩調査レポートによると、フィッシングメールをクリックする従業員はわずか2.9%ですが、標的となるメールアドレスが数十億件あることを考えると、実際の数字は依然として高い水準にあります。

LastPassの侵害（2022年12月24日の記事「LastPass、セキュリティ侵害の詳細を公開」参照）や、Twitterユーザー2億人以上のメールアドレスを含むデータ漏洩のニュースが出る前から、Gmailの一般的に効果的なスパムフィルターをすり抜けるフィッシング詐欺が増えていることに気づいていました。Gmailのせいばかりではありません。多くの場合、メールをキャッチするのが難しいのは理解できます。

過去には、多くのフィッシング詐欺は明らかに偽物であり、しかも意図的に行われていました。なぜなら、経験不足、騙されやすい、あるいは簡単に騙されてしまうような人を騙して、詐欺に加担させ続けるだけでよかったからです。しかし今では、より巧妙で、すぐに見分けるのが難しいフィッシング詐欺が見受けられます。

私は長年フィッシング詐欺を調査してきたため、他人を騙す手口を想像するのは難しいので、Gmailのフィルターをすり抜けた最近のフィッシング詐欺をいくつかご紹介します。それぞれのメッセージについて、私がフィッシングだと判断したいくつかの点を詳しく説明しました。皆さんも、きっと簡単に偽物だと判断できただろうと思うでしょう。しかし、多くの人はメールをじっくり読まずに、あっという間に読み進めてしまうことを覚えておいてください。私がフィッシング詐欺の特徴をいくつか説明したことで、皆さんやこの記事を転送した相手が、フィッシング詐欺に引っかからないための一助になれば幸いです。

パスワードのリセット

このフィッシング詐欺は、私のメールドメインを担当するシステム管理者を装い、ボタンをクリックするように仕向けています。テキストはあまり良くありませんが、ボタン自体は綺麗で、テキストを読まずに素早くボタンをクリックする人物がいることは容易に想像できます。しかし、それは間違いです！

1. このメッセージの件名は、tidbits.com がどのように運営されているかを知っているので、私にとっては目立ちます。私も管理しているんですから！ですから、この件名で騙されることはないと思いますが、自分のドメインが特定される同じようなメッセージを受け取った人が、IT部門から送られたと思い込む可能性は十分に考えられます。件名にメールアドレスを入れると、個人的なメッセージのように感じられるので、クリックする人もいるかもしれません。
2. メッセージの差出人欄もtidbits.comになっているのが奇妙に感じます。管理者がパスワードリセットの必要についてユーザーにメールを送信する場合でも、ここには名前か役割が記載されているはずです。
3. メッセージ本文を見れば一目瞭然です。フィッシング詐欺師は明らかに私の名前を知らず、ユーザー名宛てにメールを送信しているのでしょう。しかし、新たなデータが常に漏洩しているため、フィッシング詐欺師がメッセージをより徹底的にパーソナライズし始めないという保証はありません。この文章のもう一つの問題は、英語を母国語とする人が書いたとは思えないことです。単に文章を書くのが苦手な人と英語で考えない人では違います。「パスワードの再確認をお願いします」というフレーズは「非ネイティブスピーカー」という印象を与えます。（フィッシング詐欺は海外のユーザー向けにローカライズされていると推測しますので、「英語」をご自身の母国語に置き換えてください。）
4. これらのボタンはなかなか良いものです。見た目も公式なもので、文字も大文字で統一されており、どれか一つがデフォルトであることも明らかです。しかし、「パスワード」という単語を含み、クリックを促してくるものには警戒すべきです。
5. フィッシャーはボタンだけで済ませるべきだった。この小さなテキスト、すごくいい。見ているのはシステム通知であってメールじゃない、返信はできない、とでも言いたげなんだろう。ああ、そうか、相棒。
6. 最後に、AIが書いたかのような、さらに短い文章があります。一見真実のように見えますが、大部分は意味不明です。窮地に立たされたシステム管理者が同じような陳腐な文章を書くのは想像できますが、私には不快です。

興味深いことに、これらのボタンのいずれかをクリックすると（忠実な読者の皆様、リスクを負ってでも！）、左側に進行状況ダイアログが表示されるWebページに移動し、右側のダイアログでログインを促されました。私はそれ以上先に進みませんでした。フィッシングメール内のボタンやリンクは絶対にクリックしないでください。クリックすると、メールアドレスが「クリックするだけの騙されやすい人」のリストに登録され、さらに多くのフィッシングメールが届く可能性があります。

ボイスノート通知

次の例は、音声メモの通知を装っています。繰り返しますが、音声メモシステムを設定するのは私なので、このフィッシング攻撃は私には無意味ですが、IT部門の動向を誰も把握していない大規模な組織では、あり得ないことではないでしょう。

1. 件名に問題がないので、誰かがこのメッセージを開くのは理解できます。件名にメールアドレスが記載されている場合は、おそらくスパムメールだと考えがちですが、誰もがそう考えるかどうかは分かりません。コピーエディターとしての私の性格上、「VoiceNote」と「Notification」の間にスペースが2つ入っていることと、「To」が大文字になっていることにも注目します。プロフェッショナルではなく、見た目も悪いですが、実際のメールでも同じような間違いがある可能性があります。
2. 前回と同じフィッシャーなのかな？ 今回も、このメッセージは私のドメインのシステム管理者からのものだと思い込ませようと、不器用に仕組まれている。実際、ここで起こっているのは、フィッシャーが私のアドレスを偽造したことだ。私のメールクライアントであるMimestreamは、私のアバターと右側の「送信済み」タグを表示することで、そのアドレスを識別している。このメッセージは私から私宛てに届いたように見えるが、多くの人はこのような微妙な兆候に気づかないだろう。
3. 「VoiceNote」のキャメルケースは、件名と一致しており、製品やサービスを特定できるものなので、特に気になりません。しかし、「MailBo x Arrived」の大文字表記と余分なスペースは明らかに不適切です。「You have received a VoiceNote.（VoiceNoteを受信しました）」と書いていたら、もっと多くの人が信じたかもしれません。スパム対策の編集提案をしているなんて信じられませんが、ChatGPTのようなサービスがあれば、フィッシング詐欺師は簡単により良い文章を書けるでしょう。彼らは少しずる賢くならなければならないでしょう。ChatGPTは悪意のある人を助けないようにしているのですから。
   
4. 「120秒」にアスタリスクとピリオド、そしてスペースがないのは一体どういうことだろう？VoiceNoteサービスとの連携を謳う通知なら、もっと簡潔なテキストを期待する。タイムスタンプも疑わしいほど正確だ。真のプロダクトデザイナーなら、こんな細かい情報まで許容するとは思えない。
5. このボタンには本当にがっかり！このフィッシング詐欺師はアスタリスクに執着しすぎていて、商品名さえ統一できず、突然AudNoteに切り替えてしまった。

そして実際、あのつまらないボタンをクリックすると…ドラムロールをお願いします…前回と同じフィッシング詐欺メールが届きました！同じ進捗状況ダイアログに続いて、同じログインダイアログが出てきます。最初のメールが届いたのは1ヶ月以上前なので、このフィッシング詐欺メールがまだ私のことを探り続けているのは興味深いですね。リンクをクリックすると、また新しいメールが来るのでしょうか。

PayPal 送金リクエストと請求書

次の2つの例は、フィッシングに関する警告文が複数含まれた、本物のPayPalメッセージを使用しているため、非常に巧妙です。しかし、景品が付いてくるケースも存在します。これらは1週間間隔で届き、ほぼ間違いなく同じフィッシング詐欺師によるものです。

1. 左側のメッセージの「To」行には、無作為の人物が記されています。フィッシング詐欺師は通常、「To」行からあなたのアドレスを入手できるため、これは明白ですが奇妙な間違いです。また、「Resent-From」行も手がかりとなります。Mimestreamは、メッセージが同じ人物に送信され、同じ人物から送信されたという事実を指摘しているからです。
2. 右側のメッセージでは、宛先欄に「PayPalユーザー」とだけ書かれており、差出人欄には別の名前が使われています。これはそれほど分かりにくいかもしれませんが、あなたのことを知らないように見えるメッセージや、知らない人から送られてきたメッセージには、常に警戒すべきです。（そして、もしあなたがTyrecia Waggonerという人物を知っているなら、さらに難しい問題になります。）
3. 左側のメッセージもまた、パーソナライズが不十分です。この行の書式設定は私には不自然に見えるものの、正規のPayPal送金依頼と比較すると、私の名前が使われている点以外は全く同じです。もしフィッシング詐欺師が「宛先」と「再送信元」の行に表示されている人物のメールアドレスではなく、私の名前を使っていたら、もっと説得力があったでしょう。
4. これら2つのメッセージは、同じフィッシング詐欺師からのものだと私は考えています。このメッセージは「PayPalユーザー」宛てになっていることから、この詐欺師はPayPalメッセージを巧妙に改ざんする方法を学んでいると考えられます。これだけでは説得力に欠けますが、今後ますます説得力を持つようになることは容易に想像できます。
5. カルビン・テンツラーって誰？ ご存知でなければ、ノートン セキュリティのサブスクリプションが自動更新されるという偽のメッセージを読んでも、この依頼には騙されないでしょう。電話番号を試してみましたが、繋がりませんでした。もしかしたら、このフィッシング詐欺を受け取った12月当時は、その番号は既に使われていたのかもしれません。
6. PayPal詐欺は進化を続けています。知らない人の名前ではなく、偽のノートンセキュリティのサブスクリプションの更新された請求書を装ったメッセージが表示され、自動更新を希望しない場合は特定の電話番号に電話をかける必要があります。記憶力が低下した人がノートンセキュリティに加入したかもしれないと思い込み、確認のために電話をかけるというのは容易に想像できます。他の番号と同様に、その番号もすでに使用されていませんでした。

左側のメッセージにある「今すぐ支払う」ボタンをクリックすると、正規のPayPalログイン画面に飛ばされました。言うまでもなく、それ以上は進みませんでしたが、PayPalがこのアカウントを停止していない限り、料金徴収を行っている可能性があります。右側のメッセージにある「請求書の表示と支払い」ボタンをクリックすると、正規のPayPalページに移動しましたが、請求書が利用できなくなったというエラーが表示されました。

PayPalを装ったフィッシング詐欺を受け取った場合は、PayPalに報告するようお願いいたします。メッセージを[email protected]まで転送し、削除してください。スパムとしてマークしないでください。そうしないと、正当なPayPalメッセージがスパムフィルターに引っかかってしまう可能性があります。

Norton 360 請求書

次の2つの例は1日違いで、非常によく似ています。繰り返しになりますが、特定のスパマー（おそらく上記のノートンセキュリティ詐欺を試したスパマーと同一人物）が、異なる手法を試しているようです。

1. これらのメッセージの件名はどちらもかなり効果的です。どちらの場合も、内容を確認するために開封してみる価値はあるでしょう。特筆すべきは、どちらもスペルミス、大文字小文字の使い分け、文法上の重大な誤りがないことです。
2. このフィッシャーは怠け者で、差出人欄にランダムな文字列を入れただけです。これは完全にバレバレで、もし私が普通に仕事をしていたら、これらのメッセージをすぐにスパムとしてマークしていたでしょう。
3. 宛先欄に「非公開受信者」と表示されていることに注目してください。Bccで送信されたメッセージで、表示される宛先欄にこのような内容が記載されていることは珍しくないので、それ自体はそれほど気になりません。しかし、これらのメッセージは個別の請求リマインダーを装っており、顧客ID番号まで記載されています。私のID番号を知っている企業が私の名前も知らないというのは、理解できません。
4. ここで添付ファイルに注意してください。どちらもJPEG画像で、名前はそれほど目新しいものではありません。請求書がメッセージウィンドウに表示されるのは、Mimestreamが添付画像をそのように表示しているからです。
5. Mimestreamがメッセージ本文に添付ファイルを表示しない場合、表示されるのは1行のテキストだけです。左側に「Thanks for your」、右側に「Asap（できるだけ早く）」と表示されます。フィッシング攻撃はこのようにGmailのフィルターをすり抜けます。メッセージを自動的にスパムとして分類するには、情報が少なすぎるからです。私たちは皆、1行のテキストと添付画像だけの短いメッセージを送ったことがあるでしょう。
6. 左側では、NortonLifeLockのロゴが横に圧縮されています。これは私にとって大きな兆候です。基本的な能力を持つ大企業が、企業ロゴが圧縮された状態でメールを配信することを許可するはずがありません。右側は違います。そして、より良いです。
7. 電話番号以外は両方とも同じ内容で、しかもかなりひどい。英語と、フィッシング詐欺師が話す言語が混在する中で、なぜあんなに大文字で単語を書くのでしょうか？Shiftキーが痙攣しているように見えるメッセージは、ほぼ間違いなく本物ではありません。
8. 表は巧妙な工夫で、メッセージがより本物らしく見えます。特に、消費税が課されていないことを示す行が気に入っています。メッセージが本物らしく見え始めたら、注意深く見てください。このような表をちらっと見ただけで、注意深く読んでいないと何かをクリックしてしまう可能性があります。また、左側の最初のメッセージの翌日、フィッシング詐欺師はノートンのロゴを潰さずに済む方法を見つけ、より適切な場所に移動させたことにも注目してください。
9. 最後に、右側を見ると、フィッシャーが再びノートンライフロックのロゴを使用しているのがわかります。ただし、これは一種の署名として、適切なアスペクト比で使用されています。左側のTeam Nortonのテキスト署名よりもはるかに本物らしく見えます。つまり、グラフィックには注意が必要です。簡単にコピーでき、メッセージをより本物らしく見せるための簡単な方法です。

サーバーメンテナンス

最後の例として、私の会社のITサポート部門を装ったこのメッセージを見てみましょう。このメールはあなたのメールのパスワードを盗もうとしています。攻撃者があなたのメールを掌握すれば、他のサイトでパスワードをリセットしたり、より機密性の高いアカウントに侵入したりできるからです。何よりもまず、メールのパスワードを保護してください！

1. このメッセージの件名は、今回もなかなか良いですね。私がこのメッセージを開くのは、TidBITSサーバはすべて私が管理しているにもかかわらず、ArcustechやDigitalOceanといった企業にホストされているからです。これらの企業からは計画停止などの通知を既に受け取っているため、この件名には私のメールアドレスが含まれていること以外、特に警戒すべき点はありません。
2. このメッセージは私のIT部門からの送信を装っているため、From行にドメインが表示されていることはそれほど問題ではありません。また、その下のTo行も正しいです。ただし、私のアバターと右側の送信済みタグが使用されている点にご注意ください。これは、フィッシング詐欺師がメッセージを偽造し、私から送信されただけでなく、私宛に送信されたように見せかけていることを示すMimestreamによるものです。すべてのメールプログラムがこのような表示を提供しているわけではありません。
3. このメッセージの表の書式設定、特に破線はかなり奇妙です。私には、破線は「偽物だ！」と叫んでいるように見えますが、他の人がそれに気づくかどうかはわかりません。何かがおかしいという直感に耳を傾けてください。
4. 改めて言うが、文章は粗雑で、多くの誤りがあり、英語を母国語としない、あるいは自動修正機能を使うことすらしない人物がメッセージを作成したことが窺える。IT部門がアカウントを無効化しているという主張は、読者を不安にさせるためだが、良識あるIT部門であれば、アカウントを無効化する前に、使用中かどうかを確認するためにメールを送信するはずがない。
5. この「確認して更新」ボタンは見た目が派手で、よく読まずに流し読みする人にとっては格好の標的です。もし自分がそうしているなら、気をつけてください！
6. この 2 番目のテキストは意味不明です。これを読む人なら誰でもそのことに気付くと思いますが、それはあまりに楽観的すぎるかもしれません。
7. フィッシング詐欺師が「MailBox Corporations」という架空のアドレスをでっち上げ、One Microsoft Way に置いたのは面白い。これはスタイル上の工夫だが、メッセージが我が社のITサポート部門から発信されているとすれば逆効果だ。このような不一致は、メッセージが本物ではないことを示す良いヒントになる。

全体的なアドバイス

厳選したフィッシング詐欺をいくつかご紹介しましたが、いかがでしたでしょうか。ご覧の通り、巧妙さや手口は実に様々ですが、注意深く見守っていれば、簡単に見破ることができるはずです。フィッシング詐欺を見分けるための私の主なアドバイスは以下のとおりです。

• メールの内容は、よく読んでからでないとクリックしてはいけないと決めつけてはいけません。受信トレイがいっぱいだと、ざっと目を通しただけで返信するのは簡単です。まさにそれが、フィッシング詐欺師が狙っていることです。
• メッセージの本文を読み、大文字、スペル、文法の間違いがないか確認しましょう。フィッシング詐欺師が正しい英語を書くことを妨げるものは何もありませんが、稀にしか起こりません。特に末尾の小さな文字に注目してください。フィッシング詐欺師は、騙し続けずにメッセージを正しく見せかけようとしているため、この文字こそが、フィッシング詐欺師が何を隠そうか、より重要な手がかりとなることが多いのです。
• 組織内で何かが起きているという主張は、あなたが真実だと知っていることと照らし合わせて評価してください。IT部門は、ほとんど警告なしにアカウントを無効化するといった極端な行動を取るでしょうか？たとえそれが不可能ではないとしても、無作為にボタンをクリックするよりも、組織内の誰かにメッセージが本物かどうか確認する方が安全です。
• 大きくて本物っぽいボタンを見かけたら、注意してください。簡単に作れるので、周りのテキストを注意深く読まない人を騙してしまう可能性があります。
• メッセージが添付された画像だけの場合、それはほぼ間違いなく偽物です。
• 上記の PayPal フィッシング詐欺のように、他の警告ベルを鳴らさないメッセージの場合は、見慣れない名前やメール アドレスに注意してください。

幸運を祈ります。安全にお過ごしください。