MENU
MENU

迷惑メール なぜ多い? フィッシング詐欺のマーケティング戦略

売れ続けるしくみ
2024年9月17日
フィッシング詐欺 迷惑メール 多い
URLをコピーする
URLをコピーしました!

メールで緊急事態の発生を訴え、身近なブランドを名乗る偽サイトに誘導し、ログインIDやパスワードを盗みとる。

典型的なフィッシング詐欺の手口だ。

しかし、昨今はそうした詐欺メールが広く知られるようになり、多くの人がその手口にピンと来るようになっている。

それでも一目で詐欺メールとわかる体裁でひきもきらさず届く。

なぜ、見え透く手口を改めないのか?

実はそこに、詐欺を働くフィッシャーたちのターゲットを絞り込むための極意があったのだ。

今どきのフィッシング詐欺の巧妙なマーケティング戦略

本記事ではそのリアルを解き明かす。

目次

増えるフィッシング詐欺

フィッシングメールとは?

以下のようなメールを受け取ったことはないだろうか?

  • 「あなたのアカウントが不正利用されています。今すぐこちらのリンクから確認してください」
  • 「お荷物をお届けに伺いましたが不在でした。再配達の手続きをこちらから行ってください」
  • 「有料サイトの利用料金が未納です。本日中に支払いがない場合、法的手続きを取ります」
  • 「おめでとうございます!○○に当選しました。詳細はこちらからご確認ください」

昨今の迷惑メールに添えられているメッセージだ。

不安や射幸心をあおり、短い文章に続くURLをクリックさせ、表示された偽サイト(フィッシングサイト/詐欺サイト)に間髪入れずにログインIDやパスワードを入力させる。

典型的なフィッシング詐欺の手口といえる。

フィッシング詐欺の手口

迷惑メールとは本来、受信者が望んでいないメール全般を指す。

そこには商品やサービスの宣伝を目的とした広告メールや、不確かな情報や都市伝説を拡散させるチェーンメールなども含まれる。

しかし、実態は迷惑メールの大半は「フィッシングメール」(詐欺メール)だと疑ってかかったほうがいい。

ここで「フィッシング」は「釣り」のことで、フィッシングメールとは「エサ」を使ってターゲット(被害者)を釣り上げるごとく、偽サイトに誘導し、個人情報を盗むことを目的とするメールをいう。

昨今はフィッシングメールがスマートフォンのSMS(ショートメッセージサービス)に送信されるケースが急増しているという。

SMS フィッシング詐欺

通常のメールよりも目につきやすく、滅多にメールを使わない高齢者などにもリーチできることがその理由らしい。

フィッシングの心理テク

フィッシングメールでは心理操作のテクニックが駆使されるのがお約束だ。

たとえば「至急ご確認ください」「期限が迫っています!」緊急性を訴える。

焦燥心から冷静な判断を失わせるためである。

「至急ご確認ください」「期限が迫っています!」

あるいは「口座から不正に引き落とされる可能性があります」など大きな損失への懸念を示唆することもある。

損失を恐れる損失回避」の心理につけ込もうとしているのだ。

いずれも感情レベルに働きかけ、衝動的に偽サイトのリンクをクリックさせることを狙う。

知名度による誘引

そしてフィッシングメールの多くは、ショッピングサイトや銀行、クレジットカード会社、電子決済アプリ(例:○○ペイ)などの誰もが知るサービスを装うのが常套手段。

人は身慣れたものを単純に信用する心理傾向があり、抜群の知名度は効果的な誘引のフックとなるのだ。

ソフトバンクグループのBBソフトサービスが実在する銀行やECサイト等を装った詐欺サイトの検知数を発表している(PR TIMES 2024.6.6)

2023年に検知されたサイトのうち、検知数の多かったトップ10のブランドは以下の通りだという。

検知数の多かった詐欺サイトのトップ10
  1. イオン銀行
  2. SoftBank
  3. 三井住友カード
  4. Amazon
  5. 国税庁
  6. SAISON CARD
  7. えきねっと
  8. 日本年金機構
  9. ETC利用照会サービス
  10. エポスカード

ここから知名度の高いブランドが狙われることは明らかだが、ランクインするブランドには規則性はなく、年によってかなり入れ替わるようだ。

ここにブランド名があろうがなかろうが、よく耳にするブランド名の偽サイトには警戒は必要だろう。

フィッシング詐欺のマーケティング戦略

今や手口はバレバレ

一方で、こうしたフィッシング詐欺の成功率は必ずしも高くないという指摘もある。

メールのフィルタリング機能が強化されたことに加え、その手口が広く知られるようになり、人々が簡単にひっかからなくなってきたのだ。

これだけ蔓延すると、人々の頭の中に「迷惑メール→フィッシング詐欺」の図式ができ、受け取った瞬間にピンと来てしまうのだろう。

使われるブランド名や添えられるメッセージはその都度異なるとはいえ、リンク先に誘導し、個人情報を盗もうとするパターンは変わらない。

もはやその手口がバレバレなのだ。

手口はバレバレ

見え透く手口を止めない理由

とはいえ、だからといってフィッシングメールが下火になる気配はない。

相変わらず見え透く手口でひきもきらさず届く。

大方の人には無駄打ちしているようにしか思えないだろう。

しかし、実はこうしたあからさまな手口を使いつつ、フィッシング攻撃を仕掛けるフィッシャーたち巧みなターゲティングを講じている。

むしろ「手口が見え透いている」と思えることこそがフィッシャーたちの思うつぼなのだ。

なぜなら、手口が見え透いていればほとんどの人からは見向きもされない。

それゆえ、コロッと騙されてくれる、ナイーブな人たちだけをふるいにかけられる。

まんまと騙され、ログインIDやパスワードなどの情報を惜しげなく提供してくれる人たちだけがひっかかってくれるのだ。

Image by KamranAydinov</a> on Freepik
Image by benzoix on Freepik

いったん情報を得てしまえば、フィッシャーたちはクレジットカードの不正利用やアカウントの乗っ取り、個人情報の転売などでいくらでも利益が得られる。

「見え透く手口」ナイーブな人たちだけを釣り上げ、フィッシング詐欺に対するリテラシーや警戒心を少しでも備えた人たちを排除する「ふるい分け」の役割を担っていたのである。

ターゲットにしたくない人たち

ここでフィッシャーたちにとって、最もやっかいな、ターゲットに絶対したくない人たちについても触れておこう。

「スキャムベイダー」と呼ばれる人たちだ。

スキャムベイダーとは詐欺を働く人たちに反撃し、逆に騙そうとする人々をいう。

スキャムベイダー 

たとえば、企業版の振り込め詐欺にあたる「ビジネスメール詐欺(BEC/Business Email Compromise)」や、恋愛感情を抱かせ金銭をだまし取る「ロマンス詐欺」などの現場で、スキャムベイダーたちは盛んに暗躍する。

1対1の関係に持ち込み、詐欺師に対して架空のストーリーを作り上げたり、無意味な質問を繰り返したりして、詐欺師たちの時間や労力を無駄に使わせる。

この間、他の潜在的な被害者が詐欺に遭うリスクは抑えられることになるだろう(MIT technology Review 2022.6.23)

そのスキャムベイダーたちは昨今、フィッシング詐欺を働くフィッシャーたちをも標的にする。

偽の個人情報やクレジットカード情報を提供し、フィッシャーたちを混乱させるのだ。

情報が無効だと気づくまで労力を無駄に費やすことになる。

さらにやっかいなのはインターネット・プロバイダーやセキュリティ企業に通告し、サイトの閉鎖やメールのブロックを促したりもする。

このスキャムベイダーたちを避けるためにも「見え透く手口」は有効なのだ。

ありふれていればおよそ注意を引くことはない。

「おっ!」と好奇心をそそるような、新味の手口ではかえって狙われやすくなってしまう。

ナイジェリア人と名乗る詐欺師たち

「見え透く手口」のように見えて、実はターゲットのふるい分けをしている実態を解き明かした論文がある。

「なぜナイジェリアの詐欺師は自分自身をナイジェリア人だと言うのか?」(”Why Do Nigerian Scammers Say They Are From Nigeria?”)がそれだ。

ネット上で湧き起こった「ナイジェリアの手紙」と呼ばれる詐欺手法が取り上げられている。

その詐欺手法はあまりに有名なため、詐欺師がナイジェリア人と名乗れば、一瞬のうちに大抵の人々は警戒を強めることになる。

そこが狙いだ。

すなわち、「ナイジェリア」の一言で疑い深い人々をふるい落とし、だまされやすい人々だけにターゲットを絞り込むことが可能となる。

そのため、詐欺師たちは途中から詐欺に気づいてしまうような人たちを予め排除し、無駄な時間やリソースを費やすことなく、ナイーブな人たちだけを相手に効率的に詐欺を働くことができるのだ。

奏功する無差別型マーケティング

フィッシングの英語はphishing」と綴るという。

「fishing(魚釣り)」の「f」を「ph」に置き替えた造語らしい。

諸説あるが、洗練された手口の巧妙さを表す「sophisticated」(洗練されたの意)から来ているとの説がある。

いかにも「見え透く手口」の体裁をとり、面倒な人たちを振るい落とし、最重要ターゲットだけを効率よく狙い撃ちする。

たしかにそのアプローチは洗練されている。

フィッシングメールは大量に無差別に送信したとしても低コストで済む。

送信数をいくら増やしても追加費用のほとんどかからない、いわゆる「限界費用ゼロ」の世界なのだ。

1000人に送信し、1人が騙されるだけでも十分な利益にありつける。

しかも、ネットを利用する人たちのリテラシーには差があり、「見え透く手口」にしか思えないフィッシングメールでも、鵜呑みにする人はまだまだ存在するのだ。

今の時点で無差別送信を控える理由はない

さらに生成AIの登場によって、フィッシングメールの作成コストも低下することになる。

短時間で無限に異なるバリエーションのメールが送信されるようになるだろう。

生成AI

過去のフィッシングメールでよく見られた誤字脱字や不自然な文章が大幅に減少し、まずまず本物と身分けがつかなくなる。

騙されやすい人がより騙されやすくなる環境が整うのだ。

令和の「spray and pray」

マスマーケティングが主流だった頃、「spray and pray(スプレー・アンド・プレイ)」という言い方がされることがあった。

もともとは「スプレーして祈る」の意だが、広範囲にわたって「無差別型マーケティング」の手法をとり、成功を期待する戦略を指していた。

たとえば、広告を特定のターゲット層を絞らずに多くの人に対して一斉に打ち、その中から反応してくれる人が出てくるのをひたすら期待する。

どちらかといえば、大量にばらまいて後は運任せといったニュアンスがあった。

フィッシング詐欺もそう大きくは変わらない。

相変わらず「spray and pray」だ。

しかし、令和の今、その手口は悲しいほど巧妙かつ合理的となった。

これが今どきのターゲット戦略のリアルなのだろう。

売れ続けるしくみ
よかったらシェアしてください!
URLをコピーする
URLをコピーしました!
目次
閉じる