初回投稿 2018年1月7日
<危険>Eメールアカウント乗っ取る詐欺フィッシング10例と偽ログイン画面
手元に届く怪しい不審なEメールの目的は、いったい何?
容量不足? プロバイダーや Web メールを騙る迷惑メール
加入しているインターネット接続の プロバイダー を名乗ったり、Eメールアカウントの 受信箱の容量不足 を指摘する怪しい 迷惑メール (スパムメール) を受信しています。 

この系列の迷惑メールの特徴として、詐欺師が成りすます対象先の間口の広さがあります。
~ 不審なEメールで成りすまし対象 ~
インターネット接続プロバイダー
Web メールサービス
レンタルサーバー
ネット通販サイト、銀行、クレジットカード会社を名乗る典型的な迷惑メールと異なり、全国的な知名度もなく地域色の強い ケーブルテレビ系プロバイダー を騙る場面も目立ちます。
- So-net アカウント
- BIGLOBEアカウント
- OCNアカウント / OCN メールアカウント
- auアカウント
- gooアカウント / goo メールアカウント
- Yahoo!メールアカウント / Yahoo! JAPANメールアカウント
- さくらインターネット メールアカウント
- ODN WEBメールアカウント
- Plala WEBメールアカウント / ぷらら メールアカウント
- Asahi Net WEBメールアカウント
- Active! mail ビジネス向け Web メール
など
■ 迷惑メールの文章は明らかに不自然な日本語!
肝心の迷惑メールの作りは、かなり雑です。 

日本の企業が利用者に向けて日本語で配信するEメールの文章や外観デザインと大きく乖離していて、不自然な言い回しの文章だらけで、怪しさレベル 100% かと思います。
「アクティベーション停止リクエストを確認してください」
「メンテナンス作業のお知らせバージョンアップ」
「メールボックスがいっぱいですサービスメールアカウントは停止されます」
「メールボックスの使用率は90%を超えています」
「メールボックスまもなく上限値に達します」
機械翻訳の Google 翻訳や DeepL 翻訳も、ここまで酷い日本語にはならないと思うんだけど…。
怪しい迷惑メール誘導先は? 偽ログイン画面の実例スクショ画像
Eメール本文に記載されてあるリンクや URL をクリック・タップして踏むとどうなる?
フィッシング詐欺を狙った偽ログイン画面 の不正なページへ誘導する、多種多様なスクショ画像で紹介です。
プロバイダーの Web メールサービスを装う偽ログイン画面
Google アカウント情報を盗む偽ログイン画面
Eメールアドレスとパスワードを盗む偽ログイン画面
Eメールアカウント情報を盗むフィッシング詐欺
受信するEメールの完成度はショボいのとは裏腹に、誘導された偽ログイン画面の完成度は高い場合が多い印象です。
見た目の外観デザインに騙されて偽ログイン画面という異常に気づくことなく、案内されるがまま情報を外部に流出させる危険性は免れません。 

■ 目的は何? Eメールアカウントの乗っ取りハッキング狙いか
無警戒なユーザーさんを欺き、偽ログイン画面に誘導して入力するよう案内する情報は、たいてい次の 2 つでしょう。
- Eメールアドレス
(ログインID) - パスワード
ここから、迷惑メールを送りつける詐欺師の狙いは、赤の他人が保有している 「Eメールアカウントを操作する権限を奪取する」 ことが目的ではないかと推測されます。 

Webメールサービスのアカウントを標的としたフィッシングに関する注意喚起 (JPCERT)
https://www.jpcert.or.jp/at/2021/at210049.html
Web メールサービスのメンテナンスやお知らせなどをかたったメールが送られており、メールの本文中のリンクへ接続すると、同サービスのログイン画面になりすましたサイトに誘導されます。
そのサイトでメールアドレスとパスワードなどを入力して情報を送信すると、攻撃者にアカウント情報が詐取されます。
また、詐取されたアカウント情報は、別のフィッシングメールを送るための踏み台として攻撃者に悪用され、さらなる攻撃が展開されます。
フィッシング詐欺師はどのようにしてメールアカウントを盗むのか (カスペルスキー)
https://blog.kaspersky.co.jp/email-account-stealing/23995/
ログイン名とパスワードを盗む目的で作られたフィッシング詐欺メールは、私たちが実際に利用しているメールサービスから届いたように見せかけられている場合がほとんどです。
一般の個人がターゲットの場合は、多くの人に使われている Web メールサービスを装います。
企業メールアカウントのハッキングを試みる場合は、業務用メールサービス、つまりメールサーバーから送られたように見せかけます。
- Eメール受信箱の中身を詐欺師が盗み見する目的
- 乗っ取ったEメールアカウントを踏み台として悪用する目的
(同じようにEメールアカウントを盗もうと画策した迷惑メールを大量に送信する) - 別のサイバー攻撃を仕掛ける時、不正なEメールを送信するインフラを構築する目的
サイバー攻撃の例として、企業を攻撃ターゲットにする ビジネスメール詐欺 が知られています。
これは詐欺師が会社の経営陣 CEO などを名乗り、会社に所属している会計担当の従業員を騙す戦術です。
たとえば、取引先との大きな商談が成立しそうなので、契約金を準備して振り込むよう従業員に嘘の指示を出して、実際には詐欺師が用意した銀行口座に契約金を送金させて盗みます。 

効果的なフィッシング詐欺メールのセキュリティ対策
この手の怪しいEメールを受け取ると、本物か偽物か真正を見極めようと頑張るユーザーさんがいるかもしれません。
ただ、そういう判定作業を行う対処方法は 時間のムダ です。 

- 判断付かない怪しいEメールはサッサと 無視 して OK
- ブラウザを起動して公式ウェブサイトへ直接アクセスする
このセキュリティ対策を徹底していると、怪しい通知メールや巧妙なEメールに構う場面が減ります。
結果として、不審なEメールにいちいち振り回されなくなり、フィッシング詐欺の被害に遭うリスクを低減して効果的です。
関連するブログ記事
これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。