私たちの日常に欠かせないメールですが、その裏側では恐ろしいほどの「偽物」が蔓延しています。
今回、運用しているメールサーバの1つのメールアドレスに届いた、約1年間・合計2万件のメールを徹底的に調査しました。その結果、なんと約1万9,000件(全体の95%)が実在の企業や公的機関を騙った迷惑メールであることが判明しました。
この記事では、その膨大なリストを整理し、彼らの目的と対策について詳しく解説します。
1. なぜこれほど多い?偽造メールを送りつける犯人の目的とは
「登録もしていないサービスから、なぜメールが届くのか?」と疑問に思う方も多いでしょう。犯人の目的は、主に以下の3点に集約されます。
-
フィッシング詐欺: 本物そっくりの偽サイトへ誘導し、ID、パスワード、クレジットカード番号を盗み取ります。
-
「生きたアドレス」の確認: メールを開封したり、リンクをクリックしたりすることで「このアドレスは使われている(騙せる可能性がある)」と判断され、さらなる攻撃対象リスト(カモリスト)に登録されます。
-
恐怖心の煽り: 「未払い」「アカウント停止」といった言葉で冷静さを失わせ、偽の解決策(詐欺サイト)へ誘導します。
たとえ登録していないサービスであっても、犯人は数打てば当たると考え、ランダムに生成したアドレスや流出したリストへ機械的に送り続けているのです。
2. 【保存版】騙されやすい偽装ブランド・サービス実名リスト
今回の調査で見つかった「偽装された名称」をカテゴリー別に整理しました。これらはすべて、正規のサービスとは無関係な文字列のアドレスから届いた偽物です。
金融・カード・決済系(最も多いターゲット)
三井住友銀行(SMBC)、三菱UFJ銀行(MUFG)、りそな銀行、イオン銀行、SBI証券、野村証券、楽天銀行、JCB、VISA、Mastercard、American Express、PayPay、Paidyなど。
EC・ショッピング・エンタメ
Amazon(Amazon Prime)、楽天(グループ各サービス)、ヨドバシドットコム、メルカリ、DMM、Nintendo、PlayStationなど。
ライフライン・配送・交通
東京電力、東京ガス、日本郵便、ヤマト運輸、佐川急便、えきねっと、スマートEX、ANA、JAL、ETCマイレージ、NHKなど。
行政・公的機関
国税庁(e-Tax)、警察庁、国勢調査など。
3. 実在する企業名をブログに掲載しても「問題ない」理由
前回の記事(実在企業名を騙る迷惑メールは掲載しても問題ないのか?)でも触れた通り、これら実在の社名を出すことには重要な意味があります。
それは、「被害の未然防止」という公共の利益です。 具体的な社名を挙げて注意喚起をすることは、検索したユーザーが「これ、私に届いたメールと同じだ!」と気づくきっかけになります。企業側も対処できないほど巧妙化している今、私たちユーザー同士で情報を共有し、知識という「ワクチン」を広めることが最大の防御となります。
4. 騙されないためのサーバー対策と自己防衛
約1万9,000通もの攻撃をかわし、大切な個人情報を守るためには、以下の対策を徹底しましょう。
サーバー側のフィルタリング機能をフル活用する
利用しているメールサーバーの管理パネルから、迷惑メールフィルタの設定を「強」に変更したり、検知されたメールを自動的に専用フォルダへ振り分ける設定を行いましょう。ウェブメールにある「迷惑メールとして学習」ボタンを押し続けることも、システム全体の精度向上に寄与します。
リンクを安易に踏まない「ゼロトラスト」の徹底
「未払い」や「警告」といったメールが届いても、メール内のボタンやURLは絶対に押さないでください。
-
公式サイトのブックマークからアクセスする
-
各社公式のスマートフォンアプリから確認する この習慣を徹底するだけで、フィッシング詐欺被害の99%以上を防ぐことができます。
送信元アドレスの「裏側」を確認する
メールの表示名が「Amazon」や「三井住友銀行」となっていても、そこだけで判断してはいけません。メールアドレスをタップして詳細を確認してください。もし、企業名とは関係のないランダムな英数字の羅列や、不自然な海外ドメインであれば、それは100%偽物です。
まとめ:怪しいと思ったら「まずは検索」を
今回紹介したリストに心当たりがあるメールが届いたら、まずはその件名や送信元アドレスで検索してみてください。
あなたの「おかしいな?」という直感は、多くの場合正しいのです。