スマホでしか見えない“罠”
最近のフィッシング詐欺メールは、単純な「リンクをクリックさせるだけ」の手口ではなく、デバイスによって表示が異なることを逆手に取った、より巧妙な仕掛けが増えてきました。
とくにスマートフォンを使ってメールを確認することが多い人は、文字コードのトリックや見えない文字の挿入といった、PCでは気付きやすいがスマホでは見抜きにくい罠に引っかかる可能性が高くなっています。
今回は、そんな**「スマホユーザーを狙い撃ち」するフィッシングメールの手口とその狙い**について詳しく解説します。
📌手口1:「東」を「東」で偽装 ― Unicode文字コードの悪用
■ どんな手口?
例えば以下の図の例のように、「東」という漢字を「東」として記載するなど、端末やアプリによっては正常に表示されないことを逆手に取ったフィッシング詐欺メールが送られてくることがあります。
■ なぜこんなことをするのか?
- スマートフォンではフォントの互換性が高く、表示されてしまうが、
- PCやセキュリティソフトでは文字化けや不可視のため、検知・ブロックを回避できる
- メール本文やリンクURLの中に紛れ込ませ、文字の偽装に使用されるケースがある
❓東は何故「東」と表示されるのか?
東 のような記述が スマートフォン上で「東」として正しく表示される理由は、主に以下の HTMLレンダリングの仕様とスマホOS(特にiOSやAndroid)のフォントと文字コード処理の柔軟さに起因しています。
✅ 理由1:HTMLエンティティのゼロ埋め(ゼロパディング)は無視される
HTMLで &#xHHHH; という形式の**数値文字参照(numeric character reference)**は、Unicodeコードポイントを16進数で表す方法です。
東→ UnicodeU+6771→ 「東」東→ ゼロが大量についているが、意味的には同じ U+6771
👉 この形式は、HTMLパーサにとって正当な書き方の一つであり、ゼロパディング(先頭に不要な0をいくつも付ける)をしても 無視されて正しく解釈されてしまいます。
✅ 理由2:スマホのブラウザやOSはUnicodeのレンダリングに寛容
iOS(Safari)やAndroid(Chrome)は、ウェブ表示での文字コード処理において非常に柔軟であり、以下のような特徴があります:
- HTML内の数値文字参照を解釈するレンダリングエンジン(WebKitやBlink)は、Unicodeコードポイントとして正しく解釈する
- ゼロ埋めがあっても、有効なコードポイントなら無視して処理する
- モバイル用フォントは、多くの文字に対して包括的なグリフ(文字の図形)を持っており、「東」のような漢字も確実に表示できる
✅ 対照的に、PCの一部環境ではフォントかレンダリングでエラーが出ることがある
Windowsの一部のメールソフトや古いアプリケーションでは:
- HTML文字エンティティを正しく処理しないケースがある
- もしくは、フォントが対応しておらず「□」や空白になる
- セキュリティ製品が「異常に長いコードポイント」として処理をブロックすることもある
これにより、スマホでは「東」に見えるのに、PCでは見えない/文字化けするという状態が起こります。
📌手口2:極小フォントによる“隠し文字”の挿入
■ どんな手口?
本文中に「font-size:0.1px」のような極端に小さい文字を大量に埋め込み、無関係な文書や意味不明な単語が並んでいることがあります。
■ なぜこんなことをするのか?
- セキュリティフィルタをすり抜けるためのノイズ挿入
- 正常なメールと誤認させるために、学術論文やニュース記事を小さな文字で大量挿入
- HTMLメール内の構造を複雑化させ、AIによる自動解析を妨害
📌手口3:タップを誘導する“疑似ボタン”の巧妙なレイアウト
■ どんな手口?
スマホでは「大きなボタン」に見えるリンクも、実は画像と透明リンクを重ねて作られており、実際のリンク先は表示と異なる。
■ なぜスマホで狙うのか?
- タップ操作は精度が低いため、誤操作を誘いやすい
- PCではリンク先をマウスオーバーで確認できるが、スマホではURLがすぐに見えない
📌スマホとPCのセキュリティ感度比較
| 項目 | スマホ | PC |
|---|---|---|
| URLの確認 | ✕ しにくい | ○ マウスオーバーで確認可 |
| フィルタリング精度 | △ アプリに依存 | ○ 専用ソフトあり |
| HTMLソース確認 | ✕ 困難 | ○ 可能 |
| メールアプリの表示差 | ○ スマホ用に最適化されてしまう | ○ HTMLの詳細も表示可 |
💡なぜスマホが狙われるのか?
スマホは…
- 操作が直感的で、確認作業が甘くなりがち
- メールアプリによっては、HTMLの全体が見えず、ソースが確認しにくい
- セキュリティ対策アプリの導入率がPCに比べて低い
そのため、詐欺師たちは「スマホ利用者」を最も狙いやすいターゲットと認識しています。
🛡どう対策すべきか?
- 怪しいメールは必ずPCでも確認する
- メールの表示が崩れていたり、文字が不自然ならコード偽装を疑う
- HTMLメールをオフにする設定も一つの手
- スマホにもセキュリティ対策アプリを入れる
- スマホの場合はタップはせずに長押しでリンク先を確認する
- 社内訓練では、「スマホで開いたときの見え方」にも注意を促すべき
まとめ:便利さの裏にある“脆さ”を理解しよう
スマホは私たちの生活を便利にしてくれる反面、その「簡便さ」がフィッシング詐欺の格好の餌になっています。
スマートフォンを使う人が多い今こそ、スマホ特有の落とし穴を理解し、対策を講じることが、詐欺被害の防止につながります。
業務ではスマートフォンの利用を禁止していたとしても、プライベートでスマートフォンを使っていないという社員はほとんどいないと思います。社員がプライベートで詐欺に遭ってしまえば、本人の士気が低下するなどして間接的に業務に影響が生じてしまうかもしれません。
人口減による人材不足が叫ばれる今、このようなことは会社として無視できなくなりつつあります。特に中小企業にとっては影響は大きいかもしれません。
PCを対象とした標的型攻撃メール訓練が中心という組織は、「スマホ視点」「PC視点」でのメールの見え方という観点でも、訓練の内容を考えてみていただくと良いかと思います。
