「本物そっくりのメールが届いた…」そんな経験はありませんか?今回紹介するのは、SBI証券を装った巧妙なフィッシングメールです。証券会社の乗っ取り騒動始まったあたりで私に届いたメールです。取引情報や金額まで詳細に記載されており、一見すると本物と見分けがつかないレベル。しかし、差出人やリンク先を確認すると、巧妙に仕組まれた詐欺であることがわかります。本記事では、実際のメールを分解し、詐欺の手口と見抜くポイント、クリックしてしまった場合の対処法まで徹底解説します。
詐欺メールの手口分解
1. 偽装された差出人
送信元は「SBI証券」と表示されていますが、メールアドレスは「info9@kanto-x[dot]jp」。公式ドメインではありません。差出人名だけで判断すると危険です。
2. 不審なURLリンク
文中に記載されたリンク(例:https://zenmoku-data[dot]jp/sbisec/admin/aet)はSBI証券公式サイトとは無関係のドメイン。見た目だけでは正規URLに見せかけています。
公式URLはhttps://www.sbisec.co.jp/ sbisecは使っていますが、サブディレクトリのところになっていますので完全に詐欺です。
3. 本物らしい取引内容の記載
「銘柄名」「取引日」「金額」「株数」まで詳細に記載されており、利用者の不安を煽る手法。実際の取引がないのに「確認させる」ための罠です。
4. 個人情報入力を誘導
メール内リンク先では、ログイン情報の入力を求められるケースが報告されています。これにより、ID・パスワードが盗まれる危険があります。
5. 本物メールと紛らわしい文面
「セキュリティのためURLを記載していない」といった説明を入れて、逆に信頼感を演出する巧妙な文面です。
6. 個人メールアドレスからの送信
公式なら「@sbisec[dot]co[dot]jp」など企業ドメインを使用するはずですが、今回は個人ドメインから送信されており、ここが決定的な偽装ポイントです。
ここまでをまとめてみました
| 項目 | 本物のSBI証券メール | 今回の詐欺メール |
|---|---|---|
| 送信元アドレス | ●●@sbisec.co.jp | info9@kanto-x.jp |
| リンク先URL | https://www.sbisec.co.jp/… | https://zenmoku-data.jp/… |
| 本文内容 | 取引内容通知のみ | 取引情報+外部リンクで誘導 |
| セキュリティ表記 | 公式文言のみ | 「URLは一時的に記載しません」と不自然な記述 |
もしクリックしてしまったら
- すぐに端末をインターネットから切断する
- パスワードを変更し、二段階認証を有効化
- セキュリティソフトでフルスキャンを実施
- 金融機関に連絡して口座の一時停止を依頼
- 警察(フィッシング対策協議会)や情報セキュリティ機関に通報
まとめ:再発防止チェックリスト
- メール差出人のアドレスを必ず確認
- URLはマウスオーバーで実際のリンク先を確認
- 不審なリンクは絶対にクリックしない
- 公式サイトはブックマークからアクセス
- 二段階認証を有効化
- 不審メールは開封せず削除
このようなフィッシング詐欺は日々進化しています。メールを「信じる」のではなく、「疑って確認する」習慣を持つことが、最も効果的な防御策です。
コメント