このページの本文へ

Gmailのスパムフィルターが進化 セキュリティへの取り組みを知る

2024年01月12日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

スパムは鬱陶しい以上の脅威

 スマートフォンやパソコンなどに届く、SMS(ショートメッセージサービス)や電子メールで、「身に覚えがないメッセージ」が届いた経験がある人もいるのではないだろうか。

 それらは、機械的に大量に一括送信される「スパムメール」(迷惑メール)であることも多い。広告や宣伝が目的なものもあれば、ニセのサイトに誘導させ、ログイン情報(IDとパスワードなど)やクレジットカード情報を盗み出す「フィッシング詐欺」の可能性もある。

 さらに、マルウェアや、それをダウンロードさせる添付ファイルを仕込んだスパムメールもある。スパムメールの中には、単に「鬱陶しい」以上の被害をもたらすものがあることを覚えておこう。

 スパムメールを排除する方法として、電子メールを指定された基準で処理する「スパムフィルター」がある。それらの取り組みを一つ紹介しよう。グーグルは2023年11月、スパムメールを検出するフィルターをアップグレードしたことを報告している(Google Online Security Blog: Improving Text Classification Resilience and Efficiency with RETVec)。

 グーグルのセキュリティブログでは、「RETVec (Resilient & Efficient Text Vectorizer)」という新たな多言語テキストベクタライザー(テキスト分類システム)を開発したことが報告されている。

 スパムフィルターをかいくぐる方法として、スパム判定される可能性がある単語の文字の一部を変えるという手法がある。たとえば、「Account」という単語で考えてみよう。スパムメールはフィルターをかいくぐるため、「Account」を「Acc0unt」(アルファベットの「o」を数字の「0」にする)と表記するような手口を用いていた。

 RETVecは、機械学習により、視覚的類似性に基づいて単語の意味を認識。過去1年間に渡るテストを実施したという。グーグルによれば、Gmailの迷惑メール分類ツールをRETVecに置き換えることで、スパム検出率を38%改善し、誤検知率を19.4%削減できたとしている。

 このように、最近でもさまざまな企業がスパムメールの対策に取り組んでいる。それほど、現在でも脅威であることを理解しておきたい。

ソフトやブラウザーは最新にしておこう

 スパムメールの基本的な対策として、メールソフト、あるいはウェブブラウザーのバージョンを最新のものにしておくこと。たとえばメールソフトに脆弱性があった場合、その点を悪意を持った人間に突かれる場合がある。バージョンアップは欠かさないようにしよう。

 メールの本文内のURLの文字列も確認しておきたい。文字列自体はおかしくないように見えても、リンク先が異なるものもある。ウェブサイトにアクセスするときは、ブラウザーのブックマークなどから移動するのが基本だ。

 また、メールソフトやウェブブラウザーを開発している側は、スパムフィルターの機能を日々強化している。それらを利用することはもちろん、信頼できるセキュリティソリューションを導入するのも手だろう。

 今回は、スパムメールとあわせて、スパムメールから発生するサイバー犯罪としてポピュラーなフィッシング詐欺についても学んでおきたい。McAfee Blogから「現在の日本国内のフィッシング詐欺の傾向と対策について」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

現在の日本国内のフィッシング詐欺の傾向と対策について:McAfee Blog

フィッシング詐欺

外食代やタクシー代、そして家計のやりくりなど、お金の管理は普段の私達の生活の中でしばしば頭を抱えてしまう悩みの一つでもあります。しかし、最近は日本国内でもLINE Payをはじめとする決済アプリが普及したおかげで、現金を使用せずにオンライン上で簡単に支払いを済ませることができるようになりました。これによって、もう飲み会でいちいち割り勘分を計算して各参加者からお金を徴収するという面倒な作業を行なわずに済むようになりました。

また、現代社会において日本人は、楽天やAmazonなどインターネット上でのオンラインショッピングはもちろんのこと、旅行先のホテル代やタクシー代なども現金を使用せずに全て、カード決済やアプリ決済などで支払いが可能となったことで、現金を一切持たずに外出するということが珍しくなくなりました。また、Uber Eatsで夕飯を頼んだ場合も、オンライン決済にすることで配達する人へのお釣りの心配をしなくて済むようになりました。

ただし、これら新たな決済方法の登場で便利になった反面、あらゆる決済をオンライン上に依存し過ぎてしまうと、様々な問題に遭遇してしまう可能性があるのも事実です。前述のLINE Payや最近では日本国内でも浸透し始めているPayPalなどは、強力なセキュリティ機能と堅固な暗号化によって個人データの安全性が保障されてはいるものの、年々高度化しているメールによるフィッシング詐欺による様々な事件や被害が報告されています。特に個人の保有資産が多いとされている日本は、世界的にみてもサイバー犯罪者の格好のターゲットとなっています。

こちらの記事では、なぜ日本人がフィッシング詐欺によるターゲットとされてしまうのか、その理由をはじめ、日本国内におけるメールを使った様々な種類のフィッシング詐欺の事例について紹介します。そして、フィッシング詐欺に遭遇してしまった場合の対処策に関しても説明していきます。

日本人のお金に対する価値観

これまで日本では、幼少期から金融教育を行なう欧米諸国と違って、お金に関する話は外ではしてはいけないなどタブーとされているされている事が多く、個人の独学による勉強以外、一般的にはほとんど行われていませんでした。しかしここ数年のコロナウイルスパンデミックをはじめとした時代の変化に伴い、お金に対する価値観が見直されはじめ、投資に興味を持ち始めている人が増えています。教育面に関しても、2020年度に改訂された学校指導要領に基づいて、小学校の授業でお金に関する授業が開始され、高校でも2022年から家庭科の授業において資産形成など金融教育に関する授業が始まりました。

また、これまで日本人の大半は、投資よりも貯金することに美徳を感じていました。かつて高度経済成長期以降にタンス預金という言葉が流行った通り、資産を銀行に預けずに現金で自宅や金庫に保管しておく人が多いといわれています。その大半はこれまで国や会社のために何十年も必死に身を粉にして働いた高齢者であり、その額は50兆円以上ともいわれています。これに関しては銀行に預けても金利がほぼ皆無な現代においても同じことがいえます。

日本のフィッシング詐欺の傾向

人類史の中でも革命的な発明であるインターネットが誕生し、私達一般人もインターネットが自由に使用できるようになってから四半世紀が経っています。インターネットを使用することで様々な情報を調べて知識を得たり、オンライン上で多くの人と繋がったり、普段の生活が便利になりました。

一方でインターネットを利用した新たな犯罪が毎年のように増加しているのも事実です。釣りのように餌をまいて魚を釣るような感覚で機密情報を引き出すフィッシング詐欺によって、世界各地で多くの被害が出ています。中でもサイバー犯罪者達の常套手段としては個人宛てにEメールを送信し、個人情報や金融情報を得る類のフィッシング詐欺は最も多く、その種類は多岐にわたります。犯罪者たちは、主に資産のある先進国の人間を中心に狙いを定めますが、近年は特に個人で多額の預貯金を保持している日本人をターゲットにしています。

古くから高齢者をターゲットにするオレオレ詐欺などをはじめ、次々と詐欺犯罪が起きています。そして、その手法の巧妙さは年々複雑化しており、特にメールによるフィッシング詐欺は、たとえお年寄りでなくても本物かどうか見分けることが非常に難しくなっています。以下では、日本国内で報告されているメールによるフィッシング詐欺の代表的な事例をいくつか紹介します。

1. なりすまし詐欺

フィッシング詐欺の代表的なものとして知られているのが有名企業や銀行、通信会社等を装って、個人情報を盗もうとしてくる「なりすましメール」です。

日本の場合は、Amazonや楽天、東京三菱銀行、イオン、ディズニーなどをはじめとする誰もが知っている大手企業の名前をかたり、クレジットカードの暗証番号の確認や身に覚えのない支払いを催促してきます。このメールの類としては、どれもぱっと見ただけでは本物かどうか見分けがつかないものばかりです。まるで本物の企業のメールアドレスから「個人情報の漏洩の可能性があります」や「すぐに支払いを済ませないとアカウントが削除されます」などという内容のメールがと届くと、誰もが気が動転してしまい、ついついクレジットカードなど大事な情報を入力してしまうという罠にかかってしまいかねません。

対策としては、迷惑メール設定をすることで大抵のこういったメールは迷惑メールボックスには振り分けられるので遭遇する機会はなくなります。ただし、稀に通常の受信フォルダに入ってくる場合もあるので注意しましょう。

あとは、フィッシング詐欺を装うメールアドレスの場合、日本語の表現方法がおかしかったり、スペルなどが違う場合がよくあります。メールアドレスが送信先の企業のものなのかどうかを細かく確認することをおすすめします。そして、企業だけにとどまらず、漏洩した個人情報を利用して友人の名前を騙ったフィッシング詐欺メールも存在するので気をつけるようにしましょう。

2. ワンクリック詐欺

ワンクリック詐欺は、なりすましメール同様に悪質な詐欺方法といえます。通常、なりすましメールの本文にあるURLをクリックすることで、勝手に会員登録が完了してしまったり、突然、多額の料金請求がされることでユーザーの動揺を誘い、支払わさせるという手法です。なかには気付かないうちに規約にクリックさせて料金が発生してしまうものも存在します。クリックした結果、マルウェアなどの悪意のあるウイルスに感染してしまう可能性もあります。

また、よくウェブサイト上に表示される広告にも注意が必要で、特に日本国内ではアダルトサイトや出会い系サイトで多い傾向があります。法律に基づいた契約やワンクリック詐欺ではない等の文章を表示することで、あたかも法令に則った正当なサイトであるかのように見せかける事例もあります。これはアダルトサイトなど家族や周囲の方に知られたくないようなサイトを閲覧した場合によく出てくるので、慌てて振り込んでしまうことが多いようです。

見知らぬメールの本文に掲載されているURLをクリックすることはもちろんNGですが、危険が伴う可能性があるサイトを閲覧する際は本当に安全かどうか確認し、もし安全性が確保できない場合はクリックすることは絶対に避けましょう。

3. SNSアカウント乗っ取り

FacebookやTwitter、Instagram、TikTokなどのSNS上で写真や文章を使って自分の近況を投稿したり、意見を述べたりして交流を図るソーシャルネットワーキング(SNS)は、もはや現代に生きる私達の生活必需品の一部となっています。SNSは従来の投稿機能に加え、メッセージ機能があることで非公開でユーザー同士でのやりとりができるのも魅力の1つですが、もしもこのメッセージのやりとりなどが外部に漏れてしまったことを考えると本当に恐ろしいです。

これらSNSにおいて、課題となっているのがアカウントの乗っ取り問題です。各SNSに登録しているメールアドレスやアカウント名、パスワードが漏洩してしまった場合、アカウントが乗っ取られてしまいかねません。アカウントが乗っ取られたことで、自分ではない何者かが勝手に自分のプライベートな情報を投稿してしまい、職を失ったり、人間関係が崩れてしまったという事例が数多くあります。

これらが漏洩してしまう理由の1つとして、オンライン上での様々なサイトでのパスワードの併用が挙げられます。一つ一つのパスワードを覚えるのは非常に大変なので、他のSNSアカウントやオンライン銀行の暗証番号、Amazonや楽天などオンラインショッピングする際の会員アカウントやパスワードを全部同じに設定してしまっている人が被害に遭う可能性が高いです。また、生年月日や電話番号などわかりやすい番号をパスワードとして設定している人も危険です。パスワードを設定する際は、オンライン上の他のサイトと同じパスワードを設定しないようにし、自動パスワード生成機能がある場合はなるべく使用するようにしましょう。

また、老若男女問わず多くの日本人が普段、連絡手段として愛用しているのがLINEです。電話番号は知らないけれど、LINEアカウントなら知っているという人も相当数いることでしょう。日本でこのLINEは非常にターゲットになりやすく、友人のLINEアカウントが乗っ取られたという話をよく耳にします。友人に勝手にメッセージが送られたり、Amazonのギフトカードの購入を促されたりした例もあります。

これら対策としては、普段から友人や家族の他の連絡手段を事前に電話番号など複数把握しておき、仮に友人から変なメッセージを受信した場合は、LINE以外の別な連絡方法で本人に連絡を取り、確認するようにしましょう。

フィッシング詐欺の被害に遭ってしまった場合の対応

上記で紹介したのは日本国内でよくみられる代表的なフィッシング詐欺の一例にすぎません。サイバー犯罪者は次々と新たな詐欺方法を考えつき、私達に攻撃してきます。本日紹介したようなフィッシング詐欺のような不審なメールが届いた場合は、すぐに削除するようにしましょう。たとえ、削除してしまったメールが本物だったとても気にすることはありません。重要なものであれば、送信者から再度連絡があるはずです。もしも、フィッシング詐欺の被害に遭ってしまった場合は、各都道府県の警察のフィッシング専用窓口に相談しましょう。

オンライン上のセキュリテイ面はマカフィーが完全サポート

インターネットの普及により、私達の生活はより便利なものになりましたが、その分、目に見えないリスクを常に負っているといえます。もし、個人情報が悪用されたり、大金が盗まれてしまったら精神的に厳しい状態に追い込まれてしまい、一生を台無しにしてしまいかねません。このような被害に遭ってしまう前にしっかりとした対策を講じておく必要があります。

長年、サイバーセキュリティ業界でトップクラスのレベルを維持しているマカフィーは、これまで多くの人々のオンライン上での安全面をサポートしていることでも知られています。ウイルス対策ソフトをはじめ、ID・個人情報保護機能、安全性の高い接続を提供するVPNなど様々なセキュリティ機能を兼ね備えているので、サイバー攻撃やマルウェアをはじめとするオンライン上に潜む様々ばウイルスからユーザーのデバイスを保護します。もちろん、今回紹介したフィッシングメールに対しても有効で、様々なオンライン上の脅威からユーザー自身とお使いのデバイスを保護し、より快適なオンライン生活を実現します。マカフィーが提供する各製品を利用することで、セキュリテイ面に関する多くの不安は解消されるので、心の底からインターネットを楽しめるようになるでしょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ