Spaceshipブログ

メール脅威のさまざまな形

メール詐欺には実にさまざまな形があります。中にはあまりにも露骨で笑ってしまうほどのものもあり、詐欺を隠そうとする努力すら払われていません。

ですが、すべてがそんなものだと思わないでください。メール詐欺はますます狡猾で巧妙になっているように見えます。こうした詐欺は、iPadとともに育ったようなコンピューターに非常に詳しいZ世代でさえ、気づく前に二度見してしまうようなものです。あまりにも悪質でなければ、一歩引いてその手口に感心してしまうかもしれません。ここでは、フィッシングやその他の一般的なメール詐欺を見分け、それらから身を守る方法をご紹介します。

少し昔を振り返ってみましょう

私たちの多くは、メール詐欺のごく初期の時代を覚えているでしょう。あの頃は、私たちは今よりも世間知らずでありながら、同時にメールを今ほど信用していませんでした。詐欺メールを受け取ると、戸惑いながら興味深く読み、なぜ送信者が私たちに助けを求めるのが適切だと思ったのかを考えたものです。

The Spanish Prisonerを覚えていますか?莫大な財産を持つ不運な人物が、刑務所から釈放されるための身代金を支払うのを私たちに必死に手伝ってほしいという話です。面白いことに、この詐欺は実はメール以前から存在し、起源は19世紀初頭にさかのぼります。どこかの型破りなインターネットサーファーが、どうやらそれをデジタル化したようです。

最近のメール詐欺は、そのデジタル形式の強みをはるかに活用しています。昔ながらの詐欺の一部とは異なり、オンラインで簡単に支払いを処理できること、最も重要な連絡手段としてメールへの依存が高まっていること、ソーシャルメディアの進化など、インターネットが長年かけて提供してきた利点を利用しています。

ひと目でわかる詐欺の手がかり

さまざまな種類のメール詐欺を詳しく見る前に、メール詐欺/スパムを見分けるのに役立つ一般的なルールをいくつかご紹介します。というのも、これらはすべて共通の要素 — 送信者、件名、本文、そしておそらく最も重要な「読まれ、信じられる必要性」— を持っているからです。

会社名/送信者名

注目すべき点:

  1. 誤字や誤った表記 — Paypal と PayPal など。

  2. 過度に説明的だったり、ありそうにないもの — AA Car Emergency と AA など。

  3. 利用したことのない会社 — Lloyds を利用しているのに Barclays から通知が来る場合など。

  4. 何かおかしいと感じるもの — 記号や奇妙な社名、不自然な空白など、送信者にどこか違和感があることがあります。

送信元メールアドレス

注目すべき点:

  1. 不自然なメールアドレス — 会社名と一致しないもの。

  2. 見せかけの類似 — 本物の会社に見えるよう作られたアドレスです。これはドメイン(@paypalcare.com)やTLD(@paypal.club)の場合があります。

  3. 誤り— アドレス内の誤字やその他の不規則な点。

件名

注目すべき点:

  1. 緊急性をあおる表現 — 「警告:最終支払い通知」など。

  2. 過剰にうまい話をする表現 — 「5分で£1000稼げます」など。

  3. 強い感情反応を引き起こす表現 — 「採用決定!明日から出社!」

  4. 誤字 — 詐欺師は文法の正しさで知られているわけではありません。

  5. 句読点や絵文字の過剰使用 — 本物の企業でこれらを多用するところはほとんどありません。

  6. 「Re」の存在 — 実際には返信していないのに、以前に返信したかのように見せるために使われることがあります。

  7. ボタンと添付ファイル— 不審なメール内のボタンをクリックしたり、添付ファイルをダウンロードしたりするのは常に避けてください。

本文

注目すべき点:

  1. 信じがたい約束— 件名の場合と似ていますが、本文にはより詳しく書ける余地があるため、嘘をさらにもっともらしく見せることができます。

  2. 個人情報を求める行動喚起 — 特に住所やカード情報。

  3. 覚えのないことへの言及— 参加した覚えのない出来事や受けた覚えのないサービスなど。

  4. なりすまし— 友人や親族を名乗っていても、その人らしい話し方ではない場合。

詐欺師がメールのさまざまな部分をどのように悪用するかについて背景を理解したところで、具体的な例を見ていきましょう。

マルウェア

多くの人にとって、マルウェア攻撃は実際に恐れた最初の不正メールだったかもしれません。当時は単にメールウイルスと呼んでいたでしょう。開くと画面が真っ黒になる。ゲームオーバー。そんな感じです。

実際には、マルウェアは非常に幅広い悪意ある攻撃を含んでおり、率直に言って、その中には単なるコンピューターの即死よりもずっと恐ろしいものもあります。

キーストロークの監視?知らないうちにCPUを使い尽くす?あなたを監視する?5分おきに怪しい広告をポップアップさせる?はい、マルウェアとは、知らないうちにコンピューターに入り込むさまざまな小さなプログラムの総称で、その機能は悪質ないたずら好きに関連するものから本格的な犯罪者のものまで多岐にわたります。これらは見つけにくく、取り除くのも厄介なことが多いです — そもそも存在に気づければの話ですが。

マルウェアを検出する方法

上に挙げた症状のいずれかが出ているなら、マルウェアである可能性が高いです。これはメールが原因かもしれませんが、必ずしもそうとは限りません。こうしたプログラムがコンピューターに入り込む経路は他にもあります — ダウンロード、怪しいウェブサイト、さらには不正なハードウェア機器などです。道でUSBメモリを見つけても、中身を見ようとしてはいけません。

マルウェアから身を守る

言うまでもないことですが、マルウェア検出ソフトを試してみてください。ただし、信頼できるものを選びましょう

そもそもマルウェアを防ぐ方法をGoogleで調べると、最上位のアドバイスはアンチウイルスソフトをインストールすることです。個人的には、2010年代後半以降にこれをしている人を知りませんが、人類の知識と膨大な経験が均質化され、Gemini から一行の答えとして一瞬のさらに一瞬で返ってくるものに、私がどうして異を唱えられるでしょうか?

とはいえ、オペレーティングシステムが提供する脅威保護は初期の頃より全般的に向上しており、特にWindowsは脅威対策の更新を行っています。しかしそれ以上に重要なのは、多くのメールソフトが私たちの代わりに働いてくれていることです。つまり、不審なメールを私たちに届く前にフィルタリングしてくれるのです。

マルウェアに対する優れた保護を打ち出し、メールが届く前にスキャンしてくれるメールプロバイダーを見つけるのは良い考えです。これは特に心理的攻撃を避けるうえで有効です(それについてはこのあと触れます)。

予防ではなく保護という観点で言えば、こうした攻撃の被害に遭った場合に備えて、定期的にバックアップを取っておくのが賢明です。個人的には、ファイルを保存するたびに更新されるMega Syncのようなものをおすすめします。

フィッシング

今では、最も遭遇しやすいのはフィッシング詐欺メールでしょう。なぜでしょうか?耳に残るメロディーや春の香りのように、私たちは皆その誘惑に弱いからです。では、フィッシングはどう見分ければよいのでしょうか?

フィッシング攻撃が効果的なのは、その汎用性の高さにあります。フィッシングを見抜くのが難しくない場合もあります。手口は何でもありです。文字通り、誰かに個人データを入力させるものであれば何でもありです。自分の個人データを共有したくなったり、誰かにお金を送ったりしたくなる理由を思い浮かべてみてください。それはフィッシングメールになり得ます。

ほんの一例を挙げると、フィッシングの鍵は、これらのメールがすべて本物に見えるけれど、実際には偽物だということです:

  1. パスワード再設定通知。

  2. 不足している銀行情報を入力してください。

  3. 配送を有効にするため、住所を完成させてください。

  4. サブスクリプションを更新してください。

  5. あなたはコンテストの当選者です!

  6. 助けを求める困っている友人。

  7. 税金還付通知。

  8. 慈善寄付のお願い。

フィッシング詐欺を見たことがないなら、あなたは本当に“phish”でしょうか?それほどありふれていて、これなしのメールを想像するのは難しいほどです。でも、フィッシングのやり方はひとつではありません…

スピアフィッシングとホエーリング

スピアフィッシングとホエーリングは、特定の個人を標的にし、しばしばより攻撃的な手口を用います。

スピアフィッシングでは、通常は複数の情報源から得た個人情報を使って、より説得力のあるメールを作成します。個人情報を使って書かれているため、実在の友人や状況に言及したり、銀行などになりすます場合でも、より本物らしく見えることがあります。自分にはそんなことは起こりそうにないと感じるなら、多くの人が思っている以上に、オンライン上で公開されている情報を持っていることを忘れないでください。

もし誰かがあなたの友人を装い、10年前に二人で参加した非常に具体的な出来事に言及したら、なぜ信じないでいられるでしょうか?そのことをFacebookに詳しく投稿していて、その投稿が公開設定になっていると思い出すまでには時間がかかるかもしれません。そこでお金を貸してほしいと言われたら、手を差し伸べてしまうかもしれません。

私たちは皆スピアフィッシングの影響を受けやすく、それがより露骨な詐欺より危険である理由です。幸いなことに、スピアフィッシング詐欺を成功させるために必要な調査の手間は、多くの詐欺師にとっては割に合いません。反応する人が少なくても、一斉送信メールに賭けるほうが簡単なのです。しかし、将来はそこにAIが入り込んでくるのでしょうか?私たちは警戒を怠ってはいけません。

ホエーリング

では、ホエーリングとは何でしょうか?多くの点で、ホエーリング攻撃はスピアフィッシングとほぼ同じですが、CEOのような高資産の個人を標的にする点が特徴です。

悲しい現実として、その地位ゆえに時間をかけて狙う価値が高く、さらに他の要因(資産、責任の重さ、時間のなさ、広い人脈など)によって、悪用できる弱点がいくつも存在します。たとえば、PAや秘書に「CEOの承認がある」と信じ込ませるだけで済むかもしれません。ですから、商業的なホエーリングは常に悪質なものだと言えます。

スピアフィッシングとホエーリングから身を守る方法

上記の一般ガイドにある内容に加えて、強力なスパムフィルタリングも設定すべきです。フィッシングメールが真価を発揮するのは、まさに人間的要素にあります。マルウェアが単純なトリックだとすれば、フィッシングはある意味で私たち自身の加担を必要とします。結局のところ、情報を渡すのは私たち自身だからです。これまで述べてきたように、それは私たちの感情的反応に訴えることで実現されます。

ですから、そもそもそれに接触しないようにすることが、最も強力な対抗策です。スパムフィルターは、私たち人間にはできない複数の要素を見てメールを判断します。ブラックリスト、既知の行動パターン、さらにはベイズフィルタリングと呼ばれる手法まで照合します。これはメールの内容を既知のスパムと正当なメールと比較し、それがスパムである確率を計算するものです。また、優れたスパムフィルターは、他のユーザーが何をスパムとしてマークしたかも考慮し、いわゆるユーザーフィードバックループを形成します。

侵害されたビジネスメール

これまで見てきたものとは少し異なり、これは逆の角度からの問題です — 正規のメールアカウントが侵害されているという考え方です。必ずしもビジネスアカウントである必要はありませんが、この項目では、それがビジネスアカウントだと想定したほうが、より興味深い要素を説明できます。

詐欺師が不正にビジネスメールアカウントへアクセスできれば、従業員になりすまして資金を要求したり、機密データを含む可能性のある他の社内システムへのアクセスを求めたりできます。

ビジネスアカウントの侵害は、多くの企業、特に大企業に内在する別の社会的な特性も悪用します。それは、全従業員が互いを知っている可能性は低いということです。これに加えて、職場では礼儀正しく振る舞うことが期待されるため、こうしたメールは個人アカウントに比べてさらに有利な条件を持っています。

これを防ぐ方法

すべての従業員が二要素認証(メール2FA)を使用し、強力なパスワードを選ぶようにすれば、盗難/ハッキングされたアカウントのリスクを大幅に減らせます。2FAにより、誰かが侵入を試みた場合、アカウント所有者は必ず気づけますし、強力なパスワードは総当たり攻撃を難しくします。

また、会社を去った従業員のアカウントを直ちに無効化することで、将来の問題の可能性を減らすこともできます。使われていないアカウントがほこりをかぶって放置されている状態は、事故が起こるのを待っているようなものです。

偽の請求書

ここまでで気づいているかもしれないテーマのひとつは、さまざまな極端な感情の悪用です。これまではCEOの恐怖や不注意、ある従業員が別の従業員に対して抱くとされる無関心について考えてきました。では次は怒りを見てみましょう。

誰かがあなたに借金があると主張し、即時返済を要求してきます。相手は怒っていて、あなた自身の記憶を疑わせるようなことを言ったり、実在しないとは言い切れない状況を作り出したりします。罵倒と怒りが続き、支払ってしまったほうが楽に思えてくるほどです。

これは多くの人にとってはあまり起こりそうに感じられないかもしれませんが、そこが最も厄介な点かもしれません。おそらく「私たち」は標的ではないのです。彼らが成功する相手は、より弱い立場の人たちでしょう。本当に覚えていない人や、見知らぬ人をより信じやすい人たちです。

予防

もし私たちがメールで届いた見知らぬ請求書を支払わないと仮定するなら、この機会に、オンラインにあまり慣れていない身近な人たちと話してみることをおすすめします。詐欺の見分け方で助けが必要か尋ね、お金を要求されたからといって、その主張が正当だとは限らないことを説明してください。結局のところ、私たちはお互いを守り合う必要がありますし、誰かが明らかな詐欺にまっすぐ飛び込むのを見たい人はいません。

案内できるリソースがあり、ユーザーフレンドリーな形で手順を説明してくれます。

求人詐欺

他のいくつかとは異なり、これは経験豊富な人でさえ見抜くのが難しいことがあります。その理由のひとつは、これがメールだけの閉じた世界で起こるわけではないからです。もし突然、仕事が決まったというメールが届けば、私たちはすぐにスパムだとわかるでしょう。でも、そうではなかったらどうでしょうか?

もし詐欺が、本物の求人サイトに掲載された本物らしい求人から始まったらどうでしょう?あなたはそれに、他の本物の求人と一緒に応募し、それが他と同じくらいあり得るものに見えたとします。そうなると、これはあなたが予想しているメール — むしろ待ち望んでいるメールです。そして、スピアフィッシングと同様に、これによってより巧妙な詐欺の機会が生まれます。なぜなら、今やあなた自身が進んで参加する側になるからです — 少なくとも最初は。

では何に参加するのでしょうか?これらの詐欺には無数の形がありますが、本質的には、昔のねずみ講のように、費用負担、機材購入、あるいは職務のための研修費などを名目に前払いを求めます — そしてそのどれもが本物ではありません。場合によっては、その仕組みの中にそれを本物だと信じている他の人たちがいることさえあり、それが本来ないはずの正当性を感じさせることもあります。

求人詐欺の見分け方

求人に応募しているときに、その仕事が正当ではない可能性を示す手がかりがいくつかあります:

  1. 非現実的な給与 — うますぎる話は、たいてい本当ではありません。

  2. 曖昧またはありそうにない仕事 — 本当に誰かがこの役割を必要としたり、望んだりするでしょうか?

  3. 面接不要 — あるいは十分な確認もなく性急に出される内定。

  4. 不自然なコミュニケーション — 必要以上のデータを求めてくる。

  5. 会社のオンライン上の存在感がない — あるいは、ウェブサイトが少し怪しく見える会社。ストック画像、信じがたいレビュー、実質的な内容のないサイト — そういったものです。

同時に、作りの悪い求人掲載だからというだけで正当な仕事まで除外したくはありません。ですから、最も重要なのは、仕事を始める前にお金を要求してくる相手に注意することです。仕事で何かを前払いさせるべきケースはほとんどありません。ましてや、無償で何らかの業務をさせるなどなおさらです。

それまでの過程にどれほど確信があっても、お金の振り込みの話が出た瞬間に安心してください — それは詐欺です。

ロマンス詐欺

おそらく最も強力な感情操作のひとつ — 恋をしているときの私たちの気持ちです。

私は実際に、出会い系アプリでお金を貸してほしいと頼まれた経験があります(今ではこの種の詐欺が最も起こりやすい場所でしょう)。これは思っているほど珍しいことではありません — そして場合によっては、これを詐欺だと考えることすら難しいかもしれません…

心が理性を支配し始めると、境界線はすぐに曖昧になります。もしかすると心のどこかで「だまされているのかもしれないけれど、恋のためなら10ポンドくらい何だろう?」と思ってしまうかもしれません。でも、その相手は一日中その出会い系アプリに張り付いている可能性があります。1日に10人から10ポンドずつ受け取れれば、それは実際かなり悪くない稼ぎです。そしてそれは間違いなく詐欺に分類されます。

ロマンス詐欺に恋しないための方法

お悩み相談の達人のようになるつもりはありませんが、心に流されないでください。頭が「これは詐欺だ」と言っているなら、おそらくその通りです。どれほど愛していると言われても、よく知らない相手にお金を渡してはいけません。人が極端な感情を利用して他人を操るのは、悲しい現実です。

当選詐欺

私たちの多くは、宝くじに当たったので賞品を受け取るには電話をかける必要がある、と書かれたチラシが郵便で届いたのを覚えているでしょう。これもまたメールになるのは、ある意味当然だったのかもしれません。

ここで言えることは、他の項目ですでに述べたこととそれほど変わりません。おそらく人生のための合言葉をひとつ作れば十分でしょう。メールに賞品が当たったと書いてあっても、あなたは当たっていません*。

*本当に当たった場合を除いて。でも、あなたは絶対に当たっていません。賞品のことは考えるのをやめましょう。

予防

いいですか、あなたは本当に、本当に賞品なんて当たっていません。どうしてもというなら宝くじを買ってください — でもその前にスパムボタンを押しましょう。

自分と他人を守る

真面目な話をすると、スパムであれ詐欺であれ、決して笑い事ではありません。実際に人は傷つき、お金を失い、その後で自分を愚かだと感じることがあります。

自分を守る方法をいくつかご紹介しましたが、要するに次の3つに集約されます。

  • できる限り多くのセキュリティを有効にする

プロバイダーが提供するものが、2FA、自動生成パスワード、暗号化など何であれ、設定しておきましょう。これらはアカウントの乗っ取りを少し難しくしてくれます。

  • セキュリティ意識の高いプロバイダーを選ぶ

企業にとって継続的な保護として最善なのは、強力なスパム管理ソフトウェアと頻繁なセキュリティ更新を備えたプロバイダーである可能性が高いです。私たちが挙げた詐欺の多くは、スパム管理に始まりスパム管理に終わります。そもそも目にしなければ、問題にはなりません。

  • 常に最新動向を把握する

フィッシング詐欺は進化をやめません。狙われているのは受信箱ではなくあなた自身なので、最大の防御策はあなた自身です。

スパムや詐欺に引っかからないために実践していることはありますか?ぜひお聞かせください!ご意見やご質問があれば、下のコメント欄にお寄せください

よくあるご質問

フィッシングとは基本的に、受信者に何らかの行動を取らせるために、他人(通常は企業)になりすましてメールを送ることです。その行動には通常、送金、カード情報、その他の機密データの送信が含まれます。

ホエーリングは、より高い純資産を持つ特定の個人を標的にします。企業のCEOやそれに類する人物です。1人の個人を狙うために特別に作られたメールを作成することは、より大きな利益を得られる可能性があるため、価値があると考えられています。

一般的には、名乗っている会社と一致しないメールアドレス、不注意な書式設定、誤字脱字、そして本物ではないのに似せて作られたURL(joe@paypal-us.com)を探してください。

優れたスパムフィルターは、ほとんどの脅威からあなたを守ってくれます。詐欺メールは、人を標的にすることで機能します。つまり、本物だと信じ込ませるのです。私たちがそれらにまったく接触しなければ、問題にはなりません。

それは詐欺の種類と、被害に遭ったことにいつ気づくかによります。すでに何かを支払ってしまった場合は、支払いを取り消せるかどうかを確認するため、できるだけ早く銀行に連絡してください。カード情報を渡してしまった場合は、影響を受けたカードを停止し、解約してください。お金が戻ってくる保証はありませんが、さらなる被害を防ぐことは確実にできます。侵害された可能性のあるアカウントのパスワードを変更するのも良い対策であり、マルウェア攻撃が疑われる場合は、デバイスをスキャンしてください。

企業はある意味でより大きなリスクにさらされています。というのも、他人を攻撃するのに役立つ可能性のある大量のデータをシステム上に持っているからです。企業のメールが侵害されると、大規模なメーリングリストを入手できる可能性があります。また、フィッシングやホエーリングの観点でも、さまざまな機会があります。たとえば、お金を要求してくる相手全員を個人的に知っているとは限らないという事実です。そのため、リスクはやや異なり、おそらくより顕著です。

すべてのスタッフがメールの脅威がどのようなものかを認識できるようにする基本的なトレーニングが、おそらく最善の予防策です。次に重要なのは、スパムフィルター、二要素認証、脅威の最新情報などの保護機能を提供する優れたビジネス向けメールプロバイダーを利用することです。


おすすめの記事

コメント (2)

  • Lily Simonのプロフィール写真

    Lily Simon

    2025年8月9日

    Another thing is these scamming companies/businesses have also taken to putting in fake Unsubscribe links. If you see a weird sender like g44tjw9@coldmail.inc, and there's an unsubscribe button/link... They get the most people with that it seems. I know I (before I was knowledgeable of this) used to fall for these to the point my eldest Gmail gets 77 emails a day (more: got. I don't pay attention to it anymore), and only ONE of those are legit. That was how I learnt my mistake.
    10文字以上が必要です。
    公開表示用のあなたの身元。
    メールアドレスの提供は任意です。第三者と共有されることはありません。

    • Olha Nesen. Product and Marketing Coordinatorのプロフィール写真

      Olha Nesen. Product and Marketing Coordinator

      2025年8月13日

      You’re absolutely right — fake “unsubscribe” links are a common trick used in phishing and spam campaigns, and they can be very convincing. Clicking them often confirms to the sender that your address is active, which can lead to even more unwanted messages. We recommend avoiding those links from suspicious senders and using your email provider’s spam or junk reporting tools instead. It’s great that you’ve recognized the pattern — awareness is one of the best defenses against these tactics💪

あなたの考えを共有してください

10文字以上が必要です。
公開表示用のあなたの身元。
メールアドレスの提供は任意です。第三者と共有されることはありません。

私たちのブログの改善を手伝ってください

2分間の簡単なアンケートであなたの考えを共有してください。

有効なメールアドレスが必要です