HTMLメールを使って、リンクの表示と実際のリンク先アドレスを別のものにするのも、フィッシングの常とう手段。要注意だ。

リンクの偽装にご用心

 ほとんどのメールソフトでは、リンクの部分にマウスカーソルを当てれば、ステータスバーなどにリンク先アドレスが表示される(図1)。このアドレスと、メール中のアドレスが異なる場合には、偽メールであると考えてよいだろう。

図1●リンクの表示にだまされない
写真は、偽メールの例。いずれも、メール中に表示されているアドレスと、ステータスバーに表示されている実際のリンク先アドレスが異なる。
[画像のクリックで拡大表示]

 リンクの偽装にだまされないためには、HTMLメールをテキストメールとして表示させることも有効。例えば、Outlook Expressでは「ツール」メニューの「オプション」から「読み取り」タブの「メッセージはすべてテキスト形式で読み取る」に、Outlook 2003では「ツール」メニューの「オプション」から「初期設定」タブにある「メールオプション」をクリックして「すべての標準メールをテキスト形式で表示する」にチェックを付ければ、テキストメールとして表示するようになる。

 とはいえ、怪しいのはHTMLメールばかりではない。テキストメールの偽メールもあるので要注意(図2)。国内では頻繁に出回っている。

図2●テキストだけの偽メールも
偽メールはHTMLメールだけではないので注意。特に、国内ユーザーを狙ったフィッシングでは、テキストメールがよく使われる。写真は実際に出回った偽メールの例。左はヤフー、右はDCキャッシュワンをかたっている。
[画像のクリックで拡大表示]

不自然な点はないか

 メールの内容から、偽メールかどうかを判断できる場合もある(図3)。詐欺師としては、ユーザーにじっくり考えてほしくない。見破られる恐れがあるからだ。そこで、「すぐにアクセスしてください」といった文章でユーザーをあせらせる。

図3●こんな内容には要注意
メールの内容から、偽メールかどうかを判断できる場合もある。ただし、企業や組織が実際に配信したメールを基に作成した偽メールも多いので注意。内容がもっともらしいからといって安易に信用するのは危険。

 個人情報を盗むことが目的なので、「登録情報を再入力して、本人確認してください」といった内容が書かれていることも多い。「このような内容は、メールで依頼することではない。怪しいと考えるべき」(RSAセキュリティの宮園氏)。

 また、フィッシング目的の偽メールは不特定多数に送信されるので、メールの冒頭には「○○銀行をご利用のお客様へ」などと記載されていることがほとんど。これも判断材料になるだろう。

出典:日経パソコン 2007年8月27日号 75ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。