【フィッシング詐欺まとめ】報告件数100万件間近!個人情報を抜き取る危険な偽サービス3選 / 2022年版

クレジットカード会社、宅配サービス、公共機関などを装って個人情報を抜き取ろうとするフィッシング詐欺の進化と増加が止まらない。フィッシング対策協議会の報告によると、最新のデータである2021年のフィッシング詐欺報告件数はな […]


【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!

次から次へと新しい手口で、我々の個人情報を抜き出そうとする「フィッシング詐欺」。その種類は一説によると優に100を超えているとか。そして最近、私(耕平)の迷惑メール専用のフォルダを賑わしている新たな偽メールがある。それは […]


【注意喚起】カード会社を装うフィッシング詐欺のメールにはテンプレートが存在していた!

相変わらず止む気配の無いフィッシング詐欺。その種類は年々、増加の一途を辿っている。本サイトで紹介しただけでも、「イオンカード」を騙るフィッシング詐欺や「アメリカンエキスプレス」を名乗るもの……などなど。 自称「フィッシン […]


【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!

日に日に種類が増加し、一向に止まないフィッシング詐欺。以前、イオンカードを騙るフィッシング詐欺によって個人情報が抜き取られるまでの一部始終をお伝えしたが、今、私(耕平)の迷惑メール専用メールフォルダをひときわ賑やかしてい […]


【警告】猛威を振るう「VISAカード」を騙るフィッシングメールのリンクをクリックしてみた / 身を守るために知っておくべきこと

日々進化するフィッシング詐欺。民間団体・フィッシング対策協議会によれば、昨年2020年の報告件数は22万件越えと過去最高を記録したようだが、今年はさらに勢いがあるらしい。 その影響なのか何なのか、先日私のメールボックスに […]


【超危険】アメリカンエキスプレスを名乗るフィッシング詐欺がヤバすぎる! 潜入したらこうだった

2021年に入っても進化が止まらないフィッシング詐欺。過去に楽天カードやJCBカードなどのクレジットカード系のフィッシング詐欺を紹介してきたが、とうとう、アメリカンエキスプレスのフィッシング詐欺が猛威を奮い出した! しか […]


【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」

年末に入り、ますます加速するカード会社関連の名前を騙(かた)るフィッシング詐欺 。これまで楽天カードや、以前紹介した「歴代最強クラス」の三井住友カードのフィッシング詐欺など、そのクオリティは本物と区別がつかないレベルに近 […]


【歴代最強クラスの危険度】「三井住友カード」を名乗るフィッシングメールがスマートに個人情報を抜き取る様子の一部始終と防衛策を大公開!

相変わらず、進化が止まらないフィッシングメール界隈。

以前紹介した、Amazonのフィッシングメールを始め、数々のフィッシングメールの対策を紹介したが、新たに「三井住友カード」を名乗るフィッシングメールが今、猛威を振るっている。

今回はこのフィッシングメールに潜入した結果、歴代最強クラスということが判明したので、個人情報を抜き取られるまでの一部始終と防御策をお伝えしたいと思う。

・入り口

「フィッシング行為のキモは、入り口であるメールのクオリティによって被害の拡大が左右される」と私(耕平)は考えている。

そこを踏まえて、今回の「三井住友カード」を名乗るフィッシングメールを見てみよう。

まず、パッと見のクオリティは中々のものだと思うが、よく見ると差出人が「smbc」と本家が出さないであろう表記に加えて、件名が「本メールはドメインの運用(メール送受信やホームページの表示)に関わる」と全く意味不明だ。

他にも文章に目を通してみると、「当社の検出を経て、第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。」というような、お決まりの明らかに外国人が、そいつなりに寄せて作った日本語の文章感が否めないようなものも見受けられる。

まぁ、このクオリティでは騙される人も少ないのではないか? と思いきや、この「三井住友カード」を名乗るフィッシングメールは数種類存在する。中でも私が「こいつは手強い」と思ったのが、このメールだ。

差出人名も「三井住友カード」、件名も「【三井住友銀行】重要なお知らせ」と、一切の違和感はない。

メールの本文も、先程のメールを全く違い、日本語の間違いもなく、まさに本家が書きそうな文章で普通に三井住友カードを契約していたら、思わずクリックしてしまうようなクオリティの高さだ。

私の場合は、たまたま三井住友カードを契約していなかったため騙されることは無かったが、契約している人がこのメールを受け取った時は、十分に注意が必要である。

・個人情報を抜かれるまでの一部始終

先程のメールをクリックすると、それっぽいフィッシングサイトに誘導される。

私も数々のフィッシングサイトを見てきたが、使用してるフォントやレイアウトも ほぼ同じなことから今回のページはトップクラスを誇るクオリティの部類に入ると断言できる。

しかし、本物のログインページと比べると、若干の綻(ほころ)びが見えてきた。

まず大きな所で、サイトの左上に本物は「三井住友カード」のロゴがあるが、偽物には無い。

そして、ID・パスワードの記入箇所の下に、本物は「左のピースを右の画像に移動させて、パズルを完成させてください。」といったセキュリティが施されているが、偽物には無く、ログインのボタンがついている。

その他、細かい違いは見受けられるが、上記の2点以外は普段の感覚では、まずそこまで見ないと思うので、ここでは割愛する。

ただ、普段の生活の中で、このメールを受信してサイトを開いた時に、本物と比べるというような思考は、よっぽど警戒している人以外はまず働かないので、このクオリティで来られると疑う余地も無く本物と信じて、つい個人情報を入力してしまう可能性は非常に高いと思っている。

そしてここから潜入を試みるが、前述したとおり、私は「三井住友カード」を契約していないため、デタラメなIDとパスワードを入力して、ログインボタンを押したところ……


なんと、普通にログインできてしまった。


ということは、恐らくこの先もデタラメな情報を打ち込んでも進めることができるだろうと確信し、ここから一気に潜入を試みる。

次に再登録の情報を入力して……


登録完了。


そして……なんと、自動的に本物の三井住友銀行のHPに飛ばされる。

このパターンは今まで見たことが無かったし、かなり自然な流れではあるので、抜き取られたことに気づかない被害者も既に出ているのではないだろうか。

いずれにしても、違和感の無い入り口のメールと本家に限りなく寄せているフィッシングサイト、再登録までの一連の自然な流れから、歴代最強クラスのクオリティと断言して間違いないだろう。

・最強の敵からの防衛策

それでは、この歴代最強クラスのフィッシング詐欺に合わないためには、どうしたらいいのか?

まず、身に覚えの無い場合は、メール自体を「迷惑メール判定+ゴミ箱直行」の1択しかない。

ただ、本当にカードを持っていた場合は、騙されて個人情報を登録してしまう可能性が十分にあるので、以下の対処法を読んでいただきたい。

今回、検証するにあたり複数の「三井住友カード」を名乗るフィッシングメールからアクセスしたところ、いずれも警告が表示された。

これはメールソフトのセキュリティではなく、インターネットブラウザの方でフィッシングサイトを判定しているらしく、私(耕平)はGoogle Chromeを使用しているが、他にもSafariやMicrosoft Edgeでも試してみたところ、同じく警告が表示されている。

この検証から歴代最強クラスのフィッシング詐欺と言えども、ほとんどがインターネットブラウザのセキュリティに引っかかるらしいが、ここで安心してはいけない。

このフィッシングサイトは半日から1日経つと、サイト自体が消滅して、また新しいURLでフィッシングメールを送りつけてくる。

そのため、セキュリティをかいくぐる可能性はゼロでは無いので、こちらの記事にも書いたように、ログインはメールのURLからではなく、検索エンジンやブックマーク経由、もしくはスマホアプリに限定することを推奨する。

また、ちょっとでも怪しいと思ったら、三井住友カードのカスタマーセンターに問い合わせてみてもいいだろう。

とにかく今回のフィッシングメールは、かなりの強敵であることは間違いないので、本記事でこのフィッシング詐欺の一連の流れと防衛策が広まることで、1人でも被害者が出ないことを強く望む。

参考リンク:三井住友カード株式会社「フィッシング詐欺にご注意」
Report:耕平
Photo:RocketNews24.



【注意喚起】最新版! Amazonを名乗る悪質なフィッシングメール3選

年々進化するフィッシングメール。

これまで楽天や、佐川急便を名乗るフィッシングメールを過去に紹介したが、ここ最近、Amazonのフィッシングメールの進化が凄まじいという話だ。しかも、そのメールは何種類も存在し、その巧妙な作りに被害者が後を絶たないという。

そんな被害をこれ以上拡大させないためにも、今回、私(耕平)のメールボックスに届いていた、Amazonのフィッシングメールの最新版と防止策をご紹介しようと思う。

・その1:(件名)お支払い方法の情報を更新.

まず最初に紹介するのは、「amazon」を自称する「お支払い方法の情報を更新」という件名のメールだ。

内容は「Amazonプライム」会員に向けてのもので、かいつまんで説明すると、「Amazonプライムの期限が近くて、更新しようと思ったら、有効なクレジットカードが登録されていないので、こちら(偽リンク)にあるフォームから、再登録してね」的なものだ。

さっそく偽リンクをクリックしてみると、私が使っているメーラーの優秀なフィルターが威力を発揮し、「偽のサイトにアクセスしようとしています」の警告が表示される。

それでも検証のため、構わずノーガードで潜入したところ……

残念ながら、1分ほど経過したのちタイムアウトでアクセスできず、どうやらサイトはすでに消えていたもよう。

ただし、「○○では最近、Google セーフ ブラウジングにより、フィッシング行為が検出されました。フィッシング サイトは、他のウェブサイトになりすましてユーザーを欺こうとするサイトです。」とのGoogleの警告メッセージがあったことから、フィッシングサイトであったことは間違い無いだろう。

・その2:(件名)Amazon Services Japan重要!AmazonID情報問題.

次に紹介するのは、Amazon Services Japanを名乗るフィッシングメールで、「第三者から不正にAmazonアカウントにアクセスされた可能性があるから、個人情報を再登録してね」と誘導する内容のものだ。

このメールを受信したのは、2020年7月22日だったが、メール内で表示されているログイン日時は「2019/12/18 23:11:28」とあるので、およそ7カ月前のログイン情報が今頃になって届いたという事になる。

この時点で「天下のAmazonが、そんなショボいセキュリティなわけねぇだろ……」とツッコミどころ満載だが、Amazonのフィッシングメール独特の「オレンジボタンの偽リンク」がこのメールには見当たらない。

だが、それっぽい「個人情報の再登録」という文章にポイントを当てると、クリックできるようだったので、さっそくクリックしてみたところ……

このサイトも先ほどのフィッシングメールと同じく、タイムアウトで表示されなかった。もちろん、こちらもGoogleからの警告を確認した上でクリックしたので、フィッシングサイトが存在していたことは、ほぼ間違い無いだろう。

・その3:(件名)Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認..

最後に紹介するのは、Amazonに登録しているアカウントの確認を促して、情報を抜き取ろうとするフィッシングメールだ。

このメールの特徴としては、まずAmazonのロゴの貼り方が雑で、本物のロゴをギュッと両端から押しつぶしたように圧縮されているため、安っぽいイメージになってしまっていること。

他にも文章の言い回しが微妙に日本語としておかしいところがあり、例えば……

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。残念ながら、Аmazon のアカウントを更新できませんでした。

と、更新のお知らせを促しながら更新できないといった、強引にノリツッコミしているような入りから……

今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

などと、ざっくりした理由を提示してきたりする感じだ。そして、「Amazon ログイン」のボタンをクリックすると……

全体的にクオリティが低いメールに対して、こちらのフィッシングサイトは、本家にかなり寄せて作られていて、パッと見はあまり違和感が感じられない。

しかし、URLをよーく見ると、一目瞭然でAmazonのものでは無い事がわかる。そこで適当なメールアドレスとパスワードを入力したところ……

なんと、Amazonそっくりのサイトに誘導された! しかも、さらに個人情報を入力するフォームが表示され、入力しないと利用できない仕組みになっている。

そこで、またまた適当な名前や住所などの情報を入力したところ、今度はクレジットカードに関する情報の登録フォームが現れた。

「よっしゃ! ここまで来たら、とことんまで打ち合ってやるで~!」と意気込んで、またまた適当な情報を入力しつつ、いよいよクレジットカードの番号の入力フォームに差し掛かったところで……

このフォームは安全な接続を使用していないため、クレジットカードの自動入…

という表示がされて、手動で打ち込む事ができなくなってしまった。

どうやら、PC上で自動入力設定をしていないと、この箇所には番号が入力できず、さすがにガチの番号を登録するわけにはいかないので、残念ながらここで断念する結果となってしまった。

このフィッシングサイトは、かなり作り込まれていて、メール自体がショボかったものの、うかつにクリックしてしまうと、見た目は本家とあまり変わらないため、普通に信じて個人情報を入力してしまう可能性があるので、特に注意が必要だ。

・実はまだまだある

ということで、今回は個人的にピックアップしたAmazonを名乗るフィッシングサイトを3つ紹介したが、これ以外でも私(耕平)が確認したもので、10種類は存在する。

その見破り方については、Amazonから発表されている「Amazon.co.jpからの連絡とフィッシングの見分け方について」を確認することと、以前書いた記事でも対応策を説明しているので、併せて読んでいただき、被害に遭わないよう、十分注意してもらいたい。

Report:耕平
Photo:RocketNews24.



  プロフィール  PR:無料HP  米沢ドライビングスクール  請求書買取 リスク 千葉  アニメーション 学校  IID  中古ホイール 宮城  タイヤ プリウス 新品  コンサート 専門学校  中古パーツ サイドカバー  不動産 収益  四街道 リフォーム  トリプルエー投資顧問 詐欺  コルト 三菱 中古  シアリス 効果