日本で実際に発生した銀行をかたった電子メールによる事例を元に、電子メールを悪用した個人情報収集の手口をご紹介します。

１．はじめに

フィッシングは電子メールで誘った偽りのWebサイトにて個人情報を搾取しようとするのが典型的なものですが、電子メールだけで個人情報を詐取しようとする手口もあります。今回は日本で実際に発生した事例を元にこの手口をご紹介します。

２．銀行をかたった電子メールに要注意!

「振り込め詐欺」と呼ばれている詐欺の手口と同様に、インターネット上でもフィッシングと呼ばれる詐欺（犯罪）行為が発生しています。フィッシングとは、金融機関（銀行やクレジットカード会社）などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為です。電子メールのリンクから偽サイト（フィッシングサイト）に誘導し、そこで個人情報を入力させる手口が一般的に使われています。さらに、最近では電子メールだけを使用して個人情報を盗み取る手口も報告されています。
例えば、2007年11月に実在の銀行をかたる電子メールが配信されました。その内容は次のようなものでした。

〇〇銀行のセキュリティ向上に伴い、オンライン上の本人確認が必要となるので、次の4つの情報を送ってください。

①お客様のお名前
②お客様番号
③ログインパスワード
④〇〇ダイレクトご利用カードに記載されている第2暗証番号（6桁）

この電子メールは、うっかり返信すると犯罪者に銀行の口座情報を知られてしまい、不正に預金を引き出されてしまう可能性が高い非常に危険なものです。この例では、オンラインバンキング利用者を対象として個人情報を狙ったものになっています。しかし、実際には無差別に配信されているようでした。
ほとんどの受信者は、この電子メールを見ただけで個人情報を送付してしまうようなことは無いかもしれません。しかし、もし受信者の0.1%でも騙されてしまうと仮定すると、犯罪者が100万通電子メールを送付した場合、1,000人分の個人情報が収集できてしまいます。一人当たりの被害額が1,000円としても、これだけで合計100万円の被害となってしまいます。
このように、フィッシングサイトを使わず、電子メールだけで個人情報を収集しようとする手口は、英文の電子メールでは「懸賞が当たりました」「大金を手にするチャンスです」のような内容で比較的多く見られたものの、日本語で、しかも日本の銀行をかたった報告事例はそれまでありませんでした。

３．迷惑メール対策と電子メールの本文を注意深く読むことで対策を

必要な対策としては、不審なメールに注意をすることはもちろん、迷惑メール対策を確実に行うことです。多くのセキュリティ対策ソフトには迷惑メール対策の機能がサポートされています。また、ISPが提供する迷惑メール防止サービスを利用することも有効な対策方法となります。また、多くの金融機関では、口座や個人情報を直接電子メールで問い合わせすることはありません。もし個人情報を問い合わせるような電子メールを受け取ったら、電話やFAXなど電子メールとは別の手段で該当する金融機関に確認することも有効です。

４．まとめ

今回は銀行をかたった電子メールによる事例で説明しましたが、銀行に限らず他の業種の事業者をかたった同様の手口も発生し得えます。また手口が巧妙になって行くことも考えられますので、個人情報は自分で守るという意識を持って、オンライン詐欺への注意を怠ることなく、適切な対策手段を講じることが必要です。