ネットに慣れている人ほど危ない!最近の詐欺メール!?
詐欺メールと聞くと、「おかしな日本語で、よくわからない内容が大量に送られてくる迷惑メール」といった印象がありますよね?
しかし最近の詐欺メールは、しっかりとした文章、本物そっくりのロゴやキレイなボタンが配置されている「リッチなメール(HTMLメール)」に変貌しています。
実はこういった手法は昔からあったのですが、ここ数年でそのデザインや文章のクオリティは一気に跳ね上がったと感じます。
「怪しい日本語のメールなんて引っかかるわけがない」
「偽物のメールはデザインがダサいからすぐわかる」
そんな風に思っている人ほど、今の詐欺メールは危険です。これらの感想は、もう過去のものとなっています。
実は、ネットの扱いに慣れているはずの筆者も、先日ついに騙されてメール内のリンク(ボタン)をタップしてしまいました…!
その時は幸い、ブラウザ(Chrome)のセキュリティ機能が働いてアクセスをブロックしてくれたため事なきを得ましたが、「自分でもつい押してしまうんだな」と身をもって恐怖を実感しました。
そこで今回は、ネットをよく使う人でも思わず騙されそうになる最新の詐欺メールの実例を紹介しながら、なぜこんなにリアルになったのか、そしてうっかりアクセスしないための確実な自衛策を解説していきます!
スポンサーリンク【実際に届いた「超リアル」な詐欺メールの例】
ここからは、私宛に届いた詐欺メールを例として紹介していきます。
あなたはこれらのメールが偽物だと一目でわかりますか?
今回のメールはすべて、送信元のアドレスを確認して『本物とは異なる=詐欺メールである』と判断しています。ただし、送信元のアドレスは技術的に偽装(なりすまし)が可能であるため、正規のアドレスに見える場合でも安全とは断定できない点に注意が必要です。
◆dポイントクラブを装った詐欺メール
公式キャラクターのイラストや「毎日くじ」という、一見するとおトクで無害なキャンペーンを装っています。画像はおそらく無断でDLしたものでしょう。
筆者はこのメールをクリックしてしまいました!
◆国税庁 e-Tax を装った詐欺メール
緑色の公式らしい安心できるカラーを使い、「未納額」や「納付期限」という言葉で心理的に焦らせています。
◆アメリカン・エキスプレス を装った詐欺メール
「プラチナ・カード会員様限定」「特別ご優待」といった高級感のある言葉を使い、特別感を演出して油断させる手口。メールアプリの迷惑メールフォルダに自動で振り分けられていたため、画像がブロックされてデザインが一部崩れています(画像が読み込まれていない状態です)。
◆iCloud+ を装った詐欺メール
いかにもアップルらしいフラットでシンプルなメールデザイン。「お支払いに失敗しました」という、日常的に利用しているサービスのトラブルを装ってボタンを押させようとする点も憎らしいですね。
◆三井住友カードを装った詐欺メール
「もれなくポイントプレゼント」という、おトクな情報で油断させて偽のログイン画面(VPASS)へ誘導しようとしています。やはり、「緑」という安心カラーをデザインに盛り込まれると、つい騙されそうになってしまいます。
◆Amazonプライムを装った詐欺メール
「24時間以内」「自動的に停止」など、短い制限時間を設けて冷静な判断を奪おうとしています。
短い時間制限は詐欺メールでよく見かける手法ではありますが、多くの方が利用しているであろうAmazonのサービスを装うことで「詐欺メールの質と量」を確保しています。
【なぜ?本物と見分けがつかなくなった理由】
最近の詐欺メールがこれほど本物そっくりなのは、すべて「HTML(エイチティーエムエル)メール」という仕組みで作られているからです。別名「リッチテキストメール」とも呼ばれます。
昔の迷惑メールといえば、怪しい日本語の「文字(テキスト)」だけが並んでいるシンプルなものが主流でした。しかし、HTMLメールは違います。
皆さんが普段見ているウェブサイト(ホームページ)と全く同じ仕組みで作られているのです。
ウェブサイトの画面をそのままメールの中に貼り付けたような仕組みです。昔の人ならガラケー時代にあったデコメールのほうがピンとくるかもしれませんね。
つまり、本物のサイトからロゴマークやイメージキャラクターのイラスト、キレイなデザインのボタンなどをそのままコピーして、メールの中に配置することができます。
一番の問題は本物みたいに「きれいなので安心できてしまう」ことです。
文字の大きさや色、背景のデザインまで自由自在に変えられるため、見た目だけでは「本物か偽物か」を区別することは、専門家でもほぼ不可能なレベルになっています。
【デザインが急にキレイになったのは「AI」を使ったから?】
「それにしても、急にデザインのクオリティが上がりすぎでは?」と感じる人も多いかもしれません。
断言はできませんが、その背景には、最新の「AI(人工知能)」技術が関係している可能性があります。
現在のAI(マルチモーダルAI)は非常に進化しており、本物のメールのスクリーンショット画像を1枚見せて、「これと全く同じデザインのHTMLコードを作って」と頼むだけで、一瞬にしてそっくりの偽物コードを自動生成できてしまいます。
以前、文章をAIに書かせているのではないか?という記事を書きましたが、今回はHTMLコードなのか?という疑問です。
つまり、詐欺メールを作る手間がかからないのです。
プログラミングの知識が乏しい犯人であっても、AIを悪用すれば、プロが作ったような美しいデザインのメールを大量に複製できてしまうのが今の現実。詐欺グループの手口は「質より量」から、「高品質なものを大量にばらまく」手法へと変化しています。
※商用の生成AIサービスには、フィッシング詐欺のテンプレート作成など、悪意のある目的での利用を防ぐ安全フィルターが実装されているため、詐欺目的のコード生成要求は基本、拒否されるようになっているようです。しかし、制限の緩いAIモデルなどを悪用すれば高品質なHTMLメールを複製できてしまうでしょう。(私は詐欺メールを作ったことがないし、作らないため未検証)
実際に、サイバーセキュリティの専門機関からも「犯罪グループが生成AIを使ってフィッシングメールや偽サイトを作っている」という警告が出されています。
今回私に届いたこれらのメールが、本当にAIで作られたかどうかについては「事実確認不可」であり、断定はできません。しかし、技術的にはいつでも簡単に作れる時代になっているのは事実です。そのため、「デザインがキレイでしっかりしているから本物だ」と信じ込むのは、絶対にやめましょう。
【画像を開くだけで足跡がつく?HTMLメールの隠れたリスク】
HTMLメールの怖さは、デザインの見分けにくさだけではありません。実は、「メールの中のボタンを押さずに、ただメールを開いて中身を見ただけ」でもリスクが生じることがあります。
HTMLメールにはロゴやバナーなどの「画像」が含まれています。
これらの多くは、メールの中に直接ファイルが入っているわけではなく、メールを開いた瞬間にインターネット上(犯人のサーバー)から自動的に画像をダウンロードして表示する仕組みになっています。
この仕組みを悪用されると、あなたがメールを開いて画像が表示された瞬間に、犯人側のサーバーに「画像を表示したよ」というサインが自動で送られてしまいます。
これによって、犯人に「このメールアドレスは現在も毎日使われている(アクティブなアドレスだ)」という足跡(通知)が伝わってしまうのです。使われているアドレスだとバレると、「このアドレスは騙せるかもしれない」とリスト化され、今後さらに迷惑メールや詐欺メールが増える原因となる可能性はあります。
「じゃあ、もう怖くてメールを開くこともできないの?」と思った方もいるでしょう。でも、安心してください。
実は、私たちが普段使っているGmail(ジーメール)や、iPhoneの標準「メール」アプリなど、優秀なメールアプリには、この足跡をブロックしてくれる機能が最初から備わっています。
たとえば、次のような仕組みであなたを守ってくれています。
◆代わりに画像を読み込んでくれる:
Googleなどの大企業のサーバーが、あなたの代わりに一度画像を読み込んでから画面に表示してくれる仕組みです。これにより、犯人のサーバーにはあなたの情報(スマホの場所や、あなたが直接開いたという事実)が伝わりにくくなります。
◆怪しいメールの画像を自動で止める:
迷惑メールフォルダに入ったメールや、見知らぬ人からのメールを開いたときは、アプリが自動的に画像を非表示(ブロック)にしてくれます。先ほど紹介したアメックスの詐欺メールで、画像が一部「リンク切れ」のようになっていたのは、まさにこの保護機能が働いて足跡がつくのを防いでくれた証拠です。
このように、最近のスマホやメールアプリはとても賢いので、メールを開いた瞬間にすべての情報が犯人に筒抜けになるわけではありません。
ただし、アプリの設定や種類によっては、最初から画像がそのまま読み込まれてしまう場合もあります。「念には念を入れて、自分で完全にガードしたい!」という人のために、次の章では今すぐできる設定変更もお伝えします。
【慣れている人こそ実践すべき!今すぐできる3つの対策】
「見た目で見分けられないなら、どうやって身を守ればいいの?」と思いますよね?
ここからは、ネットに慣れているベテランの人でも明日から絶対に実践してほしい、確実な3つの自衛策を紹介します。
【対策1】メールの中のボタンやリンクは「絶対に」押さない
これが一番の基本であり、最強の対策です。
もしドコモやAmazon、カード会社などから「ポイントが当たった」「支払いに失敗した」というメールが来たら、どんなに本物っぽく見えても、メール内のボタンは無視してください。
状況を確認したいときは、必ず「スマホの公式アプリを開く」か、あらかじめ自分で登録しておいた「ブラウザのブックマーク(お気に入り)」から公式サイトにアクセスして確認する癖をつけましょう!
【対策2】ブラウザやスマホのアプリを常に最新にしておく
今回、私はつい詐欺メールのボタンを押してしまいましたが、Google Chrome(クローム)のセキュリティ機能が「この先は危険なサイトです!」と画面いっぱいに警告を出して、アクセスをブロックしてくれたため命拾いをしました。
万が一の押し間違いから身を守るためにも、スマホのシステム(OS)やブラウザアプリ、セキュリティ対策ソフトは、常に最新の状態にアップデートしておきましょう!ここが一番簡単かつ重要な対策方法かもしれませんね。
【対策3】スマホのメールアプリで「画像の自動読み込み」をオフにする(任意)
Gmail(ジーメール)や、iPhoneの標準「メール」アプリであれば、普通に使っていても問題ないかと思われますが、どうしても不安だったり、他のメールアプリを使っていて不安な方は、メールを開いただけで「現在も使っているアドレスだ」とバレるのを防ぐために、メールアプリによっては画像表示設定を変更することもできます。
GmailやiPhoneの標準「メール」アプリなどの設定画面には、「画像を自動的に表示しない(外部画像をブロックする)」という項目があります。
やや、過度な防衛にも思えますが、これをオフにしておけば、メールを開いても画像が勝手に読み込まれなくなるため、犯人に足跡がつくのを未然に防ぐことができます。
【まとめ:デザインのキレイさに騙されない時代へ!】
昔の詐欺メールは「怪しいから気づく」ことができました。
しかし、これからの詐欺メールは「怪しいところがどこにも見当たらないこと」こそが最大の恐怖であり、特徴です。
ネットやスマホの扱いに慣れている人、自信がある人ほど、「自分は偽物になんか引っかからない」と油断して、今回のリッチなデザインに足元をすくわれてしまいます。私みたいに…。
これからの時代は、メールの「見た目のキレイさ」で本物かどうかを疑うのはやめにしましょう。大切なのは、どんなメールが来ても「メール内のルートは使わず、常に公式アプリやブックマークから確認する」という、あなた自身の確認の手順をルール化することです。
問題があるなら、公式アプリや公式サイト内で必ず通知が来ているはずです。
確認は、公式アプリ・公式サイト内で行うように意識を切り替えていきましょう。それがデザインのキレイさに騙されない時代への第一歩です。
みなさんも今一度、ご自身のメール設定や確認の手順を見直して、大切な個人情報や資産をしっかり守っていきましょう!
(*´▽`*)b
コメント