フィッシングとは何か、なぜそんなに効くのか?
フィッシングとは、信頼されている組織 ── 銀行、宅配業者、行政機関、メールプロバイダーなど ── になりすました偽のメールを送り、受信者から認証情報、決済情報、個人情報を引き出そうとする手口のことです。
これがよく効くのには、とても単純な理由があります。引っかかるのに技術的な知識がいらないからです。よくできたフィッシングメールは、本物のメールとほとんど見分けがつきません。差出人名は合っている。ロゴも正しい。文章もきちんとしている。違いはどれも細かいもの ── ドメインがほんの少しおかしい、リンクが「言っている先」とは違う場所に飛ぶ、といったレベル ── で、受信箱を開くときにわざわざそこを探している人はあまりいません。
数の規模も尋常ではありません。フィッシングメールは1日に34億通以上送られています。2023年には、データ漏えい全体の36%にフィッシングが関与していました。そしてその攻撃面はいつも同じ ── あなたのメールアドレスです。
知っておくべきフィッシング攻撃の6タイプ
メールフィッシング ── よく知られたブランド(銀行、宅配業者、ストリーミングサービスなど)になりすます大量配信キャンペーン。広く撒いて、量で勝負します。
スピアフィッシング ── あなたの名前、勤め先、最近の行動などを使って「個別に書かれた」ように見せる標的型攻撃。マスキャンペーンよりはるかに説得力があります。
ホエーリング ── 経営層や高価値ターゲットだけを狙うスピアフィッシング。事前調査が緻密で、役員や法務部門になりすますことも多いです。
スミッシング ── SMS経由のフィッシング。短縮URLが使われがちです。メールのフィルタが強くなった分、急速に増えています。
ビッシング ── 電話を使った音声フィッシング。「先ほどお送りしたメールの件でお電話しました」と、メールの直後に電話することで信ぴょう性を演出する手口がよくあります。
クローンフィッシング ── すでに受け取った正規のメールを攻撃者が捕まえ、リンクだけを悪意あるURLに差し替えて、ほぼ同一の内容を「再送」する手口。
フィッシングメールの8つの危険サイン
差出人ドメインが会社名と一致しない。 PayPalからの本物のメールは @paypal.com から来ます ── @paypal-security.net や @paypal.support-team.com などの派生形ではありません。表示名ではなく、実際のドメインを確認してください。
リンク先が「言っている宛先」と一致しない。 クリックする前に、必ずリンクにマウスを乗せてください。表示されているURLがメールの主張と食い違うなら、押してはいけません。スマホでは長押しでプレビューできます。
頼んでもいない添付ファイル ── とくに .zip、.exe、.doc。 添付ファイルはマルウェアの主要な配送経路です。まともな銀行、行政、雇用主が、頼んでもいない添付を送ってくることは、ほぼありません。
パスワード、カード番号、個人情報の入力を求めてくる。 正規の組織が、パスワード、PIN、カード番号フル桁、社会保障番号フル桁などをメールで尋ねてくることはありえません。例外なくフィッシングです。
自分の名前ではなく、汎用的な呼びかけ。 大量配信のフィッシングは、本人の名前ではなく「お客様各位」「ユーザー様」のような表現を使いがちです。これだけで断定はできません ── スピアフィッシングは本名を使ってきます ── が、セキュリティや銀行系の重要なメールで汎用的な呼びかけが来た時点で、それは強い赤信号です。
怪しい、つくりがおかしいログインページ。 リンクからログイン画面に飛ばされたら、何かを入力する前にURLを丁寧に確認してください。攻撃者は、実物にとてもよく似たコピーを、ほんの少し違うドメイン上に作ります。
緊急性をあおる文言や脅し。 「あなたのアカウントは24時間以内に停止されます」「直ちにご対応ください」。この人工的な緊急性は、まさにあなたの冷静な判断を飛ばすために設計されています。
雑なレイアウト、変なフォント、壊れた画像。 AIによってフィッシングメールの平均品質は上がりましたが、手間をかけていないキャンペーンは、いまだに体裁の崩れ、変な空白、壊れたロゴなどで「偽物であること」を露呈します。
匿名メールが、あなたをターゲットリストから外す仕組み
ほとんどのフィッシング攻撃は、あなたに到達するために本物のアドレスを必要とします。そのアドレスは、必ずどこかから漏れてきています ── データ侵害、買われた名簿、スクレイピングされたサイト、何年も前に登録した、いまでは破られたサービスから。
本物のアドレスを特定のサービスに渡したことがなければ、そのサービスから漏れることもありません。 これが、使い捨てメールが提供する根本的な防御です。
会員登録のたびに、本物のアドレスではなく使い捨てメールの受信箱を使えば、あなたは「アドレス露出のもう一つの可能性」を一つずつ消していることになります。その使い捨てアドレス自体は、いずれ漏えいに含まれたり、リストに載ったり、フィッシングメールを受け取ったりする可能性はあります。しかし、そうなる頃には期限が切れていますし、そもそもあなたの本当の身元とは何のひも付けもありません。
使い捨てメールに切り替えるとどう変わるか
- データ侵害が起きても、流出するのは「死んだアドレス」であって、本物のアドレスではない
- あなたの会員登録から作られたスパムリストに並ぶのは、もう存在しないアドレス
- スピアフィッシングがあなたを調べても、本物の身元に紐づくメール履歴が見つからない
- 標的型フィッシングの攻撃面が、劇的に小さくなる
10分メールであれば、露出時間が短すぎるため、「漏えい→キャンペーン送付」までの時間差は、アドレスが切れた後にやってきます。3日間メールでは、アドレスはランダムで個人プロフィールと結び付いていません ── スピアフィッシャーには、調べる材料も武器化する手がかりもないのです。
匿名メールを使っているのは誰? なぜ使うのか?
ネットショッパー ── 一度きりの買い物のために、永遠のマーケティング配信や、漏えいへの巻き込まれを避けるため。
開発者・QAチーム ── 本物のアドレスを汚染せず、メールフローをテストするための、清潔で隔離された受信箱として。
ゲーマー ── 体験アカウントやベータ参加用に、本物の身元と紐づく恒久的な痕跡を残さないため。
研究者・ジャーナリスト ── 取材源、プラットフォーム、サービスへのアクセスを、ターゲットになりうるデータの足跡を残さずに行うため。
旅行者 ── 空港やホテルのWi-Fiポータルを、本物のアドレスを差し出さずに通過するため。
ビジネスパーソン ── 競合調査やサービス評価を、営業の追っかけシーケンスに取り込まれずに行うため。
プライバシー意識の高いユーザー ── 本物のメールアドレスを、誰にでも気軽に渡す消耗品ではなく、守るべき資産として扱う人。
すでにフィッシングリンクをクリックしてしまったら
すぐに動いてください。時間がたつほど被害は広がります。
認証情報を入力してしまった場合: 該当サービスのパスワードを変更し、同じパスワードを使っている他のすべてのサービスでも変更してください。メインのメールアカウントの2要素認証を、いますぐ有効化します。
決済情報を入力してしまった場合: 銀行に直ちに連絡し、カードの停止または再発行を依頼してください。身に覚えのない請求があれば、すべて異議申し立てを行います。
ファイルをダウンロードしてしまった場合: その端末を使い続ける前に、フルスキャンのマルウェアチェックを実行してください。能動的な感染が疑われる場合は、ネットワークから切断します。
いずれの場合も: メール漏えいチェッカーで自分の認証情報がすでに出回っていないか確認し、その後数週間はアカウントの動きを注意深く監視してください。
あわせて読みたい
- 使い捨てメールとは? 完全ガイド
- 一時メールがオンラインのプライバシーを守る仕組み
- メールのプライバシー完全ガイド
- スパムを避ける方法: 効果のある7つの戦略
- テンプメールがOTPを受信しない? すぐ直す方法
- SPF / DKIM / DMARCの確認方法
- 使い捨てメール/バーナーメール/テンプメールの違い
メール認証の仕組みを理解しておくと、テンプメール提供者の信頼性も評価しやすくなります。
フィッシングの攻撃面を一番手早く小さくする方法は、本物のアドレスを持っているサービスの数そのものを減らすことです。まずは無料の使い捨てメールから始めてみてください ── 2秒で済み、何も求められません。
Your temp mail is ready right now
No signup, no password. A disposable inbox waiting the moment you open the page.
Get My Free Temp Mail →