Web系フリーランスとして仕事してますが、メールを使うことは仕事するうえでは、避けられません。

フリーランスに限らず、メールアドレスを持っている人のもとには、
危険で怪しいメールが世界中から送られてくるということを常に注意しなければいけません。

特にフリーランスでWebの仕事をしたいと考えている方は、クライアントから信頼されるということが重要です。
なので、セキュリティ面(情報漏えい、重要ファイル紛失、ウィルス感染など)に関しては、十分に気をつけなければいけませんし、
ある程度のリテラシーが必要とされます。

先日、自分も関わる会社から怪しいメールが届きました。
もし怪しいと自分で判断できなければ、情報を盗み出されたり、騙されてしまう可能性があります。

そこで今回の記事では、「詐欺メールに引っかからない方法」をテーマに、解説してまいります。

レンタルサーバー会社名乗る不審なメールが届いた

仕事用で取得しているメールアドレス宛に先日こんなメールが届きました。

レンタルサーバー会社名乗る不審なメール

「さくらインターネット」を名乗る差出人からメールが届いたのですが、確認して一瞬で怪しいと判断しました。
この記事を読んでいただいているあなたはすぐに怪しいと判断できますか?

私自身、サーバーを借りているので、レンタルサーバー会社からのメールはチェックします。

ですが、今回のケースは、典型的な「フィッシング詐欺」です。

大手有名企業からの公式なメールを装い、
メール本文には本物のサイトのドメインに近い偽サイトへのリンクを貼り付けています。
メールに貼り付けられたリンクをクリックさせて、詐欺サイトに誘導し、アカウント情報などを盗み出すような手口です。

フィッシング詐欺とは

そもそも「フィッシング詐欺」というのは、
悪意のある何者かが、企業や個人を装い、電子メールを送り、偽サイトにアクセスさせて、
重要な個人情報(ユーザーID、パスワード、口座番号、クレジットカード情報など)を盗み出すような詐欺です。

「フィッシング」というのは、魚を釣り上げるという意味から、
このような詐欺の名前がついています。

どのように詐欺メールを見分けるか

じゃあ今回のケースのようなメールは、実際にどうやって「詐欺メール」と判断するかということを解説します。

具体的なチェック項目は、

  1. 差出人・メールアドレス
  2. 本文
  3. 本文中のリンクのURL(ただし、クリックは絶対にしない)
  4. 実際に公式サイトや公式SNSを確認する

差出人・メールアドレス

送られてきたメールには、
差出人が、レンタルサーバーで有名な「さくらインターネット」の「さくらメールボックスコントロールパネル」からとなっていました。

そして、差出人の横には、さくらインターネットのサポート担当であろうメールアドレスと共に、
よくわからない謎のメールアドレスが入っていました。
おそらく盗まれた可能性のあるメールアドレスでしょう。

すでにこの時点で、「なんかおかしいな」とは感じています。

基本的には、こういったメールは自動的なプログラムによって、送られていることが多いので、改変することもできます。
なので、差出人をみただけで、これは実在する企業からの公式なメールだとは、判断してはいけません。

本文

内容をざっくり確認すると、「所有権を確認しているだけです。」と書いてあります。
だけです。ってなんだろう?という感じですが。

全体的に読むと、機械で自動翻訳したかのようなぎこちない日本語だということがわかります。

そして、冒頭にはいきなり「必要な処置」と書いてあったり、
「下のボタンをクリックすることだけです(それはほんの数秒かかります)」
と緊急性を煽っていたりして、なにか胡散臭さを感じますよね。

本文中のリンクのURL(ただし、クリックは絶対にしない)

本文のリンクのドメインを確認する。これが一番重要なことです。

ただし、すぐにリンクをクリックすることは絶対にしないでください。
ゼッタイに、(強調)です。

URL確認すると、「secure」とか「webmail-sakura」などそれっぽい英単語が入っているので、信じてしまいそうになりますが、
注目してほしいのはドメインです。

「co.jp」や「ad.jp」ではなく「co/ad.jp」になっています。

実際に公式サイトや公式SNSを確認する

今回サーバー会社のさくらを名乗ったメールが届きました。
こういうときは、本家を確認するのが確実です。

「さくらインターネット」と検索すると、一番上に本家サイトが出てくるので、確認しましょう。
検索すると、「sakura.ad.jp」「sakura.ne.jp」というドメインのサイトが出てきますので、メールで送られてきたURLがおかしいのが分かりますよね。

ただ、これだけだとまだ不十分なので、本家サイト(sakura.ad.jp)で直接確認してみます。

本家サイトのURLやセキュリティに関する証明書はチェックしましょう。
URL横に「SAKURA Internet Inc.」と「鍵マーク」が表示されている部分をクリックするだけです。

クリックすると、「この接続は保護されています」という文言と証明書が表示されます。

詐欺サイトは、「この接続は保護されています」という文言と証明書が表示されることはほとんどないですし、
URL横に「SAKURA Internet Inc.」と「鍵マーク」が表示はされないです。

また、大手企業の公式のサイトには、だいたい公式SNSへのリンクがあることが多いです。

こちらのサイトですと、フッターに表示されていましたので、確認してみます。

SNSを確認すると、やはりなりすましメール(フィッシングメール)が複数出回っていることが確認できました。

公式でフィッシングメールの注意喚起をしているのは、間違いないですよね。

ちなみに公式サポートサイトでもアナウンスされていました。

そのままほぼ同じ文言で送られてきたということが分かり、
これはフィッシングだ、と確信できました。

セキュリティ意識を高めるために、やること

フィッシング詐欺に騙されない、
セキュリティ意識を高めるためには、
基本的に下記のことはやるクセをつけましょう。

ポイント

  • まず身に覚えのない宛先からのメールは即削除
  • メールアドレス、ドメインを確認する
  • 本文におかしさはないか確認する
  • 本文中のリンクはすぐに開かない
  • メールに添付されているファイルも不用意にダウンロードしない
  • 怪しいと思ったら、本家の企業サイトや公式SNSを確認する
  • 日頃からセキュリティ面に関するニュース、情報はチェックする
  • 詐欺の事例を調べる
  • 念のためセキュリティアプリを入れておく

まとめ

わたし自身20歳くらいまではパソコンもそこまで使っていなかったので、
学生の頃最初に使っていたWindowsのパソコンはウィルスに感染していました。

20代前半くらいからWebの仕事をし始めてからは、
リテラシーがついてきたので、セキュリティにも常に気を配っています。

サーバー関連のフィッシングメールに引っかからないようにするためには、

  • 常にフィッシングか疑う
  • 正しいURLを確認
  • 公式のサイト・SNSで確認する

といったことが大切です。

今の時代では、自分の身は自分で守らなければいけません。

パソコンや最新なものを使いこなしながら、学習して、備える力は重要です。
IT機器を使いこなしている人ほど、セキュリティ意識が高く(リテラシーが高く)、見抜く力を持っています。

フリーランス限らず、社会人であれば、信用力が大切なので、
大事な個人情報を盗まれないように自分の身は自分で守っていきましょう。

追記

同じ時期に、エックスサーバーも同様にフィッシングメールが確認されているようです。

エックスサーバー公式サイトや管理ツールの正しいURLは、
https://***.xserver.ne.jp/
です。

エックスサーバーも利用者多いので、常に注意が必要です。