「間違えて迷惑メールを開いてしまった」
「迷惑メール宛に個人情報を送ってしまったけどどうすればいい?」
そんなお悩みをお持ちの方はいらっしゃいませんか。
昨今、日常茶飯事で個人情報漏洩の事件があります。
迷惑メールで個人情報漏洩が流出すると、知らないうちに自分のアカウントを悪用され、覚えのない買い物がされていたといった被害を受けることがあります。
そういった被害を受けないために自分の身を守る術を身につけましょう。
そこで今回は
- なぜ迷惑メールで個人情報は流出してするのか
- なぜ迷惑メールは届くのか
- 迷惑メール経由で個人情報を流出させない対処法
を中心に迷惑メールから個人情報を守るための方法を解説します。
目次
迷惑メールで個人情報は流出するのか
結論、迷惑メールから個人情報は流出します。
それは、フィッシングなどといった手法によって、公式サイトと間違えて開いてしまった・返信してしまった・個人情報を入力してしまったということが原因となります。
公式に扮した偽メールや身に覚えのないメールが届いた時に、騙されて個人情報を送らないようにしましょう。
個人情報が流出する迷惑メールの5つの種類
個人情報が流出してしまう迷惑メールには主に以下の5つがあります。
- フィッシング詐欺メール
- スパムメール
- 広告宣伝メール
- 架空請求メール
- ウイルスメール
それぞれの特徴を知り、騙されないように注意しましょう。
各メールの特徴は詳しくは以下の記事をご覧ください。
自分の個人情報が流出したかを調べるツールがある
「迷惑メールにアクセスして個人情報が流出してしまったかも?」
そんな恐れがあったら、個人情報が漏洩していないかツールを使用して確認する方法があるのでご紹介します。
代表的なツールは以下の3つです。
- Have I Been Pwned
- Pwned Passwords(Have I Been Pwned)
- Firefox Monitor
これらは海外サイトですが情報の漏洩の心配はないので気になる方は使用してみてください。
Have I Been Pwned
こちらのツール名の「Pwned」とはネットスラングで、本来は「Owned」とつづるそうです。
日本語にすると「やられた」「完敗した」などの意味になります。
※公式HP:「Have I Been Pwned」
【Have I Been Pwnedの操作手順】
- トップページにメールアドレスを入力する欄があるので、ここに自分のメールアドレスを入力します。
- もしメールアドレスに対応するパスワード情報が漏洩していると、「Oh no – pwned!」のメッセージと共に、情報漏洩しているWebサイトと、どのような情報が漏洩しているのか表示されます。
- もし何も情報が漏洩していなかったら、「Good news – no pwnage found!」のメッセージが表示されます。これは入力したメールアドレスに関連するパスワードなどの情報が漏洩していないことを表しています。
Pwned Passwords(Have I Been Pwned)
「Have I Been Pwned」にはパスワードが流出しているかどうか確認できるページもあります。
※公式HP:「Pwned Passwords」
【Pwned Passwordsの操作手順】
- 「password」の入力欄に調査したいパスワードを入力します。
- もし入力されたパスワードが漏洩していると、「Oh no – pwned」のメッセージが表示されます。
Firefox Monitor
こちらのサイトは日本語で完全対応しているため、日本人にとっては使いやすいサイトといえます。
※公式HP:「Firefox Monitor」
メールアドレスを入力して「データ侵害を確認する」をクリックすると、メールアドレスに関連した個人情報が漏洩しているかどうか確認できます。
※公式HP:「Firefox Monitor」
どうして迷惑メールって届くの?
なぜ迷惑メールが届くのか、その理由は「アドレス収集者」が何らかの方法で収集したメールアドレスのリストを、「迷惑メール送信者」が手に入れ、そのリストに基づいて送信されるからです。
詳しくは以下の図のような展開になります。
ただ、上図のようにこのように、迷惑メールが送られて来たからといって、必ずしも自分のメールアドレスなどの個人情報がショッピングサイトやプロバイダなどの第三者から漏えいしたとは限りません。
迷惑メールが届く4つの理由
では、迷惑メール収集者はどうやって私たちのメールアドレスを迷惑メール送信者に売るのか。
その仕組みは主に以下の4つになります。
- ウイルス入りアプリがスマホから電話帳を盗む
- アドレス収集目的のサイトにメール登録されたものを使用する
- 無差別メール送信の結果、アクティブなアドレスと特定した
- 悪意のあるサイトにより収集した
順番に解説します。
ウイルス入りアプリがスマホからアドレスを盗む
スマホで調べ物をしている時に、突然「ウイルスを検出しました」とアラート画面が表示されたことはありませんか?
ウイルスを除去するために、アラート画面の指示に従ってしまいそうになりますが、フェイクアラートである可能性があります。
迷惑メール送信者が送信するフェイクアラートはアフィリエイト広告をダウンロードさせて広告収入を得ることを目的としています。
さらに偽サイトや偽アプリから、利用者の個人情報を盗み取ることも狙いの一つになっています。
アドレス収集目的のサイトにメール登録されたものを使用する
インターネット上には、アドレスの収集を目的とするいわゆる「おとりサイト」というものがあります。
迷惑メール送信者が無料ゲームサイト、モニター、懸賞サイト、占いサイト、待ち受け画像等の無償ダウンロードなど、様々なサービスの無償提供を装って利用登録時にアドレスを入力させ収集する手口です。
こうした手口の場合、「おとりサイト」の利用規約等で様々なサイトからの広告宣伝メールの送付が利用条件になっていて、それに同意することにより次々と迷惑メールが送られてくるようになることが多いようです。
無差別メール送信の結果、アクティブなアドレスと特定した
辞書の単語を組み合わせる等して無差別にメールアドレスを組み合わせることによって、ランダムにメールを送信した結果、実際に存在するメールアドレスに行き着くという極めて古典的な方法でアドレスを割り出す方法などもあります。
悪意のあるサイトにより収集した
メール転送サービスなどの一見、問題のないサービスを行っているように見える悪意のあるサイトにおいて、利用者が入力してしまったメールアドレスなどの個人情報を収集します。
以下の記事でも解説していますので、ぜひ合わせてご覧ください。
迷惑メール経由で個人情報を流出させないためにすること5つ
では、迷惑メール経由で個人情報を流出させないためには何に注意すればいいのかというと主に以下の4つになります。
- アドレスのネット公開は行わない
- 安易にURLを開いたり、返信をしない
- メールの内容に騙されないようにする
- ウイルス対策をする
- システムでリスクを極小化する
順番に解説します。
アドレスのネット公開は行わない
SNSやブログなどインターネット上でアドレスを公開していると、いつどこで誰が見ているかわかりません。
その場合、本人の意図や有無に関わらず、アドレスが公開されてしまうことがあります。
不特定多数の人が見られる状況で、安易に個人情報を晒さないという意識を持つことが大切です。
アドレス収集者にも狙われる対象となるので、ネット上にアドレスを公開するのは止めましょう。
安易にURLを開いたり、返信をしない
見覚えのないメールアドレスから送信されたメールに添付されているURLリンクを開いたり、返信したりするのも危険です。
そのサイトが信用できる会社であるかどうかをできる範囲でリサーチした上で利用しましょう。
メールの内容に騙されないようにする
偽懸賞サイト・メール転送サービス等、一見するとまともなサイトに見える悪徳サイトが存在します。
このようなサイトは利用者が入力してしまった個人情報を搾取します。
まず会社情報が掲載されていないようなサイトは信頼できません。
またサイトを運営している会社の名前を検索キーワード検索すると、その会社の評判、すなわち信頼の度合いがある程度わかります。
個人情報を入力する前に、そのサイトの運営母体が信頼できるかどうか確認しましょう。
ウイルス対策をする
PCやスマホがウィルスに感染してしまった場合、ウィルス対策ソフトでのスキャン以外で発見するのは、症状が出るまで不可能です。
自分もしくはメールを送信したことのある相手のパソコンがウイルスに感染すると、そのウイルスがパソコン内に保存されているメールアドレスを盗み出し、アドレス収集者に送信します。
ウイルスによっては、盗み出したアドレスに対して直接迷惑メールを送信する場合もあります。
また、個人情報を盗むのは以前からあったことですが、最近は持ち主のプライベートを監視するタイプも出てきています。
そこで不正に得た情報を犯罪に使うので被害者は加害者にもなりうるといった危険性があります。
そのようなことにならないためにも、ウィルス対策ソフトをインストールし、ウィルス感染してないかチェックするなど早めの対策を講じることが大事です。
システムでリスクを極小化する
セキュリティソフトを入れただけでは迷惑メールによる情報漏洩をまかなうことは厳しいです。
特になりすましメールの対策を何もしていない状態では、機密情報の漏えいやウイルス感染の可能性が高くなります。
なりすましメールも年々、手口が巧妙化しています。
目視や個人の感覚に任せるだけでなく、システムやツールを活用するのもおすすめです。
そこで、最新ツールのご提案として「O-MOTION」の導入をおすすめします。
「O-MOTION」の資料は以下のボタンからダウンロードできます。気になった方は、ぜひチェックしてください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
迷惑メール経由で個人情報を送ってしまった時の対処法6つ
では、もし迷惑メール経由で個人情報を送信してしまったらどうすればいいのか。
主な対処法は以下の6つです。
- セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さないようにする
- ネットワークから遮断する
- ウイルススキャンをする
- アカウントのIDとパスワードを変える
- クレジットカード会社へ連絡する
- サイバー犯罪相談窓口・フィッシング専用窓口に相談する
順番に解説していきます。
セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さないようにする
万が一、迷惑メールのリンクやファイルを開いてしまった場合、WordやExcelに以下のようなセキュリティ広告が表示されてもコンテンツの有効化ボタンは押下(クリック・タップ)しないようにしましょう。
連絡先を盗んで感染を広げるウイルスの可能性があります。
取引先からのメールだからと言って安心してはいけません。
「マクロ有効化」は慎重に行いましょう。
なお、どうしても気になるようであれば、「EmoCheck」というEmotet(※)感染有無の確認を行うツールを使用するといいでしょう。
(※)Emotet(エモテット)・・・プログラム可能なデバイス、サービス、ネットワークに害を及ぼすマルウェアの一種で、メールの添付ファイルを開いたり、実行したりすることでPCに感染するマルウェア。
ネットワークから遮断する
不審なメールを開封してしまった時に怖いのがマルウェア感染です。
この種のマルウェアはネットワークを介して感染を広げたり、外部と通信して内部データを送信したりする恐れがあります。
被害を最小限に食い止めるために、メールを開けた端末(パソコン・スマホ等)のネットワーク接続を直ちに遮断しましょう。
有線LANのPCであればすぐにパソコンに挿しているLANケーブルを抜きましょう。
無線LANであれば端末のwifi接続をOFFにするようにしましょう。
ウイルススキャンをする
端末のネットワーク接続を解除したらすぐにウイルスソフトでウイルススキャンを行いましょう。
万一マルウェアの感染が判明したら、その駆除も行います。
【操作手順】
- ウイルス対策ソフトで端末をスキャン
- 万一マルウェアが検出されたらウイルス対策ソフトの指示に従い対処
- もしマルウェア名が判明したら詳細情報と対処法を入手(※参考:トレンドマイクロ脅威データベース)
なお、一度駆除が完了しても、念のためもう一度試してみて完全に駆除できるか確認しておきましょう。
アカウントのIDとパスワードを変える
メールのアカウント、パスワードを早急に変える必要があります。
前述のEmotet(エモテット)に感染すると以下のような被害になりかねません。
- メールアカウントやパスワードのメール情報が盗まれる
- ウイルスメールや迷惑メールの配信元になってしまう
- 迷惑メールの配信元になってしまう
- ランサムウェア(※)に感染してしまう
(※)ランサムウェア・・・ユーザーのアクセスを制限するマルウェアの一種
注意しなければならないのはマルウェアが残っている状態でID/パスワードを変更すると、新しく作られたアカウントまで奪取されてしまう危険性があります。
必ず、マルウェアの感染から回避したと確認できた状態でアカウントを変更しましょう。
クレジットカード会社へ連絡する
もし、迷惑メールに添付されているリンクをクリックしてしまい、個人情報やカード情報を入力してしまったら、使用しているカードの紛失盗難デスクにすぐ連絡しましょう。
そこで、カードの利用停止依頼・カードの再発行依頼などをして、情報流出させてしまったクレジットカードを使えなくしましょう。
カードの番号やCVCが新しくなれば前のカードの情報が盗まれていても不正利用には繋がりません。
サイバー犯罪相談窓口・フィッシング専用窓口に相談する
自分の個人情報を別のECサイトで使われるなどの被害に遭ったと判明したら、すぐに警察へ被害届を出す、最寄りの国民生活センター、もしくは消費者ホットライン「188」に連絡しましょう。
相談窓口へ連絡について詳しくは、以下の記事5章2項でも解説していますので、ぜひ合わせてご覧ください。
個人情報の漏洩元を調べる方法
個人情報の漏洩元を調べる方法はGmailの機能を使って調べる方法があります。
どういうことかというと、Gmailアドレスを登録先に応じて使い分けるのです。
次に、どのようにGmailを使って個人情報の漏えい元を判別するのかというと、GmailアドレスのEメールアドレスの@(アットマーク)の前に、半角のプラス(+)と登録先を入力します。
あなたがGmailで取得したメールアドレスが仮に「google@gmail.com」だとすると、下記のように登録先にあわせてアドレスを変更するようにしてください。
例えば以下のように
- google+yahoo@gmail.com
- emailaddr+fb@gmail.com
- emailaddr+tw@gmail.com
登録先に応じた固有メールアドレスを作れます。
仮にTwitterから情報が漏洩した場合、対応するメールアドレスとして「emailaddr+tw@gmail.com」を使用していれば、+twが含まれたメールアドレス宛に広告メールが届くようになるため、『Twitterから情報漏洩が起きたんだな…』っということが一目瞭然でわかるようになります。
すぐにTwitterから個人情報が漏洩したことが分かるようになります。
これはGmail限定の仕様ですが、このような方法でメールアドレスを使い分けるのも一つの方法です。
当然、企業側がいくら責任逃れをしようにも、『御社からメールアドレスが流失したのは間違いないんだけど?』と責任追及できることでしょう。
とはいえ、マルウェアは日々増殖しており、セキュリティソフトで抑えられるマルウェアの割合は全体の約45%程度と言われています。
マルウェアに感染しないために私たちができることは詳しくは以下の記事にも記載していますのでご参考ください。
まとめ
迷惑メールによって情報漏洩が発生するとパソコンの使用ができなくなったりするなど死活問題です。
前もって個人情報を流出させないことはもちろんですが、流出してしまったかもしれない時も慌てずに以下の手順を踏むようにしましょう。
- セキュリティ警告が表示されても、「コンテンツの有効化」ボタンは押さないようにする
- ネットワークから遮断する
- ウイルススキャンをする
- アカウントのIDとパスワードを変える
- クレジットカード会社へ連絡する
- サイバー犯罪相談窓口・フィッシング専用窓口に相談する
感染しないよう予防を行ったり感染しても被害を最小限に抑えられるよう復帰手順を明確にしたりするなど、対策を事前に練っておきましょう。
なお、インターネットセキュリティに関心がある方に向けて、セキュリティ対策についてまとめた無料のお役立ち資料をご用意しました。
この機会に自社のインターネットセキュリティの見直しを考えている方は、ぜひ以下をご確認ください。
