このNoteは私が主宰しているメルマガ「がんばりすぎないセキュリティ」のバックナンバーです。
このNoteは2019年11月4日に配信したメルマガです。

前回は、ショートメッセージサービス（SMS)を利用したフィッシン
グメール詐欺（SMS＋フィッシング＝スミッシング）が急増して
いることを書きました。

前回、その対策方法についても概略を示しましたが、今回はもう
少し詳しい対応方法を解説します。

フィッシングメールやスミッシングの攻撃方法などについては前号
をご参照ください。

バックナンバーをご覧いただけない方は、以下のURLでも公開して
いますので、ご利用ください。
「No131 SMSとフィッシングメール」
https://note.mu/egao_it/n/n319b5819cbc6

1. メッセージを見るだけでは被害は生じない

ショートメッセージが来た。
送り主は見知らぬ電話番号。

さて、あなたはどんな行動を取りますか？

１）とりあえずメッセージを見る
２）メッセージ自体を見ずに捨てる
３）その電話番号に電話する
４）その電話番号にメッセージを送る

正解は１です。

昔からＰＣ（文末参照）を使っている方なら「あれ？２じゃないの？」
と思うかもしれませんね。
メールがHTML形式の場合、それを見る（開く）だけでマルウェア
（文末参照）に感染する場合があります。
そのため「不審なメールはうかつに開かずに捨てましょう」という
アドバイスがされていました。
ですが、最近はHTML形式のメールも最初はテキスト形式（安全な形式）
で表示することが一般化しましたので、以前ほどは「不審なメールは
開かずに捨てろ」とは言われないようになりました。
もっともテキスト形式で表示してくれるかどうかはメールソフトに
よりますので、お使いのメールソフトのマニュアルをしっかりと確認
しておいてください。

ショートメッセージには最初からHTML形式が使えませんので、見る
だけでマルウェアに感染することはありません。
だから開いても安全、というわけです。

なお、ショートメッセージの送り元への電話やメッセージの送付は
してはいけません。
送り元が犯罪者の場合はわざわざトラブルに飛び込んでいくことに
なりますので、絶対に避けてください。

2. 内容が怪しいと思ったら、まずググる

さて、ショートメッセージは次のような内容だったとします。

通知
お客様宛にお荷物のお届きましたが
不在のため持ち帰りました配送物は
下記よりご確認ください。

これは実際に佐川急便を騙ったフィッシング詐欺メールで、
大量にばらまかれているものです。
http://goo.gl/xxxxx　※xxxxxは実際には別の文字列

よく読むと「お荷物のお届きました」など日本語が妙です。
が、心待ちにしていた荷物があり「受け取りそこねた！」
などと思った場合は、ついついリンクをクリックしたく
なりますよね。

さて、ここでは何をすべきでしょうか？

１）待てないからＵＲＬをクリックする。
２）ＵＲＬのドメイン（上記ならhttp://goo.gl/）を検索する
３）佐川急便の公式サイトに行く
４）文面をコピー＆ペーストしてgoogleで検索する

正解は３と４。

筆者のオススメは、４です。
googleのサイトで受け取った文面をコピー＆ペーストして、検索
してみてください。

フィッシング詐欺の情報は警察や消費者保護団体を含めた様々な
サイトで取り上げられています。
こういったサイトでは、具体的な文面を示して詐欺に騙されない
ように注意喚起をしています。

また、一般の方でもtwitterなどを通して「こんな詐欺メールが
来ました。ご注意を」といった注意喚起をされている方も多く
おられます。

検索をすることで、こういった情報を簡単に見つけられます。

このように検索した結果、全くヒットしないようであれば、本当
に不在通知のメールなのかもしれません。

その場合はメールだけでなく「不在連絡票」の投函を確認したり、
公式サイトの荷物追跡サービスなどで本当に持ち帰られたことを
確認するなどして、判断してください。

3. 短縮URLの確認はあまり価値がない

では、ショートメッセージに書かれたURLを検索することでも、
フィッシング詐欺を見破ることはできるのでしょうか？

これはケースバイケースです。
短縮URLというのは簡単に次々と発行ができますし、実際に犯罪者
側はたくさんの短縮URLを発行します。
ですから、あなたが受信したメールに書かれた短縮URLをgoogleで
検索しても見つかるとは限らないのです。

なお、フィッシング詐欺では一度の転送で目的のURLにたどり着か
せないようにします。わざとあちこちのURLを経由させて面倒に
することで詐欺であることがバレるまでの時間を稼ぐわけです。
最初の転送先だけがわかってもあまり価値はないのですね。

それに、多くのフィッシングサイトは短時間で閉じます。２時間や
３時間で閉じるフィッシングサイトも珍しくありません。
このように、フィッシング詐欺で用いるURLは短命ですので、検索
で有用な情報が見つからないケースが多いのです。

だからといって、安心してしまうのは非常に危険です。

だからこそ、本文を検索する（こちらは割と長期間使い続ける場合
が多い）方がヒット率が高く、信頼できるわけです。

4. 公式サイトでは何を調べればいいのか？

仮に本文の検索でフィッシング詐欺だと分かった場合はよいの
ですが、ヒットしない場合は、公式サイトでも確認を行いましょう。

ただし、間違っても受け取ったメール本文に書かれているリンク
をクリックしてはいけません。それが詐欺メールなのであれば、
そこのリンクが信用できるはずがないからです。

さて、公式サイトで最初に確認すべきは、そのサービスがショート
メッセージサービスを使っているかどうかです。

銀行や宅配便などのサービスではショートメッセージサービスを
利用しないと公言している会社が多いようです。
一部では多要素認証（二段階認証など）のためにショートメッセージ
を使うケースもありますが、それ以外でショートメッセージを使う
サービスはかなり少ないようです。

また、上で挙げたような不在通知なら荷物追跡サービスで真偽を
確認できますし、アカウント停止、払い戻し、不正利用などのトラ
ブルが発生しているのであれば、マイページなどにログインすれば
それが表示されるはずです。

そういった表示がなければ、フィシング詐欺であることが確実と
言えます。

それでも不安であれば、公式サイトから問い合わせをしてください。
間違っても、受信したメールの「問い合わせ」といったリンクを
クリックしてはいけません。

次回はこの続きとして、間違ってリンク先を押してしまった時の
対応方法について解説をします。

次回もお楽しみに。

「No133 フィッシングメール詐欺にひっかかったら？」は以下をクリック。
https://note.com/egao_it/n/n9cd740c229a9

－－－－－－－－
今回登場した用語
－－－－－－－－

○ＰＣ
　「ピーシー」と読む。
　パーソナルコンピュータのこと。いわゆるパソコン。

○マルウェア
　これは英語圏での造語で、malicious-softwareを縮めてmal-ware
　（＝マルウェア）と呼ぶ。
　malicious（マリシャス）は「悪意のある」とか「故意の」と
　いった意味。
　つまり、利用者が思ってもいないコトを裏でコッソリやるソフト
　ウェアの総称を指す。
　ウイルスと何が違うんだ？と思ったアナタは正しい。
　以前は「ウイルス」が悪事を働くソフトの代表だったので、
　それが総称を兼ねていた。
　ところが、ウイルス以外にも悪さをするソフトウェア、例えば
　ワーム、トロイの木馬、偽ソフトといった形式のソフトウェアが
　登場してきた。
　これらをいつまでも「ウイルス」で代表させていると区別がつき
　にくくなるため、マルウェアという言葉を「悪さをするソフト
　ウェア」の総称として使いはじめた。
　2019年現在、専門家の間では定着したが、一般ユーザではまだ
　まだ「ウイルス」と呼ぶ人も多い。