相変わらず、進化が止まらないフィッシングメール界隈。
以前紹介した、Amazonのフィッシングメールを始め、数々のフィッシングメールの対策を紹介したが、新たに「三井住友カード」を名乗るフィッシングメールが今、猛威を振るっている。
今回はこのフィッシングメールに潜入した結果、歴代最強クラスということが判明したので、個人情報を抜き取られるまでの一部始終と防御策をお伝えしたいと思う。
・入り口
「フィッシング行為のキモは、入り口であるメールのクオリティによって被害の拡大が左右される」と私(耕平)は考えている。
そこを踏まえて、今回の「三井住友カード」を名乗るフィッシングメールを見てみよう。
まず、パッと見のクオリティは中々のものだと思うが、よく見ると差出人が「smbc」と本家が出さないであろう表記に加えて、件名が「本メールはドメインの運用(メール送受信やホームページの表示)に関わる」と全く意味不明だ。
他にも文章に目を通してみると、「当社の検出を経て、第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。」というような、お決まりの明らかに外国人が、そいつなりに寄せて作った日本語の文章感が否めないようなものも見受けられる。
まぁ、このクオリティでは騙される人も少ないのではないか? と思いきや、この「三井住友カード」を名乗るフィッシングメールは数種類存在する。中でも私が「こいつは手強い」と思ったのが、このメールだ。
差出人名も「三井住友カード」、件名も「【三井住友銀行】重要なお知らせ」と、一切の違和感はない。
メールの本文も、先程のメールを全く違い、日本語の間違いもなく、まさに本家が書きそうな文章で普通に三井住友カードを契約していたら、思わずクリックしてしまうようなクオリティの高さだ。
私の場合は、たまたま三井住友カードを契約していなかったため騙されることは無かったが、契約している人がこのメールを受け取った時は、十分に注意が必要である。
・個人情報を抜かれるまでの一部始終
先程のメールをクリックすると、それっぽいフィッシングサイトに誘導される。
私も数々のフィッシングサイトを見てきたが、使用してるフォントやレイアウトも ほぼ同じなことから今回のページはトップクラスを誇るクオリティの部類に入ると断言できる。
しかし、本物のログインページと比べると、若干の綻(ほころ)びが見えてきた。
まず大きな所で、サイトの左上に本物は「三井住友カード」のロゴがあるが、偽物には無い。
そして、ID・パスワードの記入箇所の下に、本物は「左のピースを右の画像に移動させて、パズルを完成させてください。」といったセキュリティが施されているが、偽物には無く、ログインのボタンがついている。
その他、細かい違いは見受けられるが、上記の2点以外は普段の感覚では、まずそこまで見ないと思うので、ここでは割愛する。
ただ、普段の生活の中で、このメールを受信してサイトを開いた時に、本物と比べるというような思考は、よっぽど警戒している人以外はまず働かないので、このクオリティで来られると疑う余地も無く本物と信じて、つい個人情報を入力してしまう可能性は非常に高いと思っている。
そしてここから潜入を試みるが、前述したとおり、私は「三井住友カード」を契約していないため、デタラメなIDとパスワードを入力して、ログインボタンを押したところ……
なんと、普通にログインできてしまった。
ということは、恐らくこの先もデタラメな情報を打ち込んでも進めることができるだろうと確信し、ここから一気に潜入を試みる。
次に再登録の情報を入力して……
登録完了。
そして……なんと、自動的に本物の三井住友銀行のHPに飛ばされる。
このパターンは今まで見たことが無かったし、かなり自然な流れではあるので、抜き取られたことに気づかない被害者も既に出ているのではないだろうか。
いずれにしても、違和感の無い入り口のメールと本家に限りなく寄せているフィッシングサイト、再登録までの一連の自然な流れから、歴代最強クラスのクオリティと断言して間違いないだろう。
・最強の敵からの防衛策
それでは、この歴代最強クラスのフィッシング詐欺に合わないためには、どうしたらいいのか?
まず、身に覚えの無い場合は、メール自体を「迷惑メール判定+ゴミ箱直行」の1択しかない。
ただ、本当にカードを持っていた場合は、騙されて個人情報を登録してしまう可能性が十分にあるので、以下の対処法を読んでいただきたい。
今回、検証するにあたり複数の「三井住友カード」を名乗るフィッシングメールからアクセスしたところ、いずれも警告が表示された。
これはメールソフトのセキュリティではなく、インターネットブラウザの方でフィッシングサイトを判定しているらしく、私(耕平)はGoogle Chromeを使用しているが、他にもSafariやMicrosoft Edgeでも試してみたところ、同じく警告が表示されている。
この検証から歴代最強クラスのフィッシング詐欺と言えども、ほとんどがインターネットブラウザのセキュリティに引っかかるらしいが、ここで安心してはいけない。
このフィッシングサイトは半日から1日経つと、サイト自体が消滅して、また新しいURLでフィッシングメールを送りつけてくる。
そのため、セキュリティをかいくぐる可能性はゼロでは無いので、こちらの記事にも書いたように、ログインはメールのURLからではなく、検索エンジンやブックマーク経由、もしくはスマホアプリに限定することを推奨する。
また、ちょっとでも怪しいと思ったら、三井住友カードのカスタマーセンターに問い合わせてみてもいいだろう。
とにかく今回のフィッシングメールは、かなりの強敵であることは間違いないので、本記事でこのフィッシング詐欺の一連の流れと防衛策が広まることで、1人でも被害者が出ないことを強く望む。
参考リンク:三井住友カード株式会社「フィッシング詐欺にご注意」
Report:耕平
Photo:RocketNews24.
▼紹介した他にもフィッシングメールは数種類存在する
▼フィッシングサイトはパッと見、本物と変わらないクオリティだ
▼入力後、本家のページに飛ばされるという新しい流れにも注意が必要だ
▼内閣サイバーでも注意喚起を促しているぞ!
【注意喚起】(1/2)
三井住友銀行および三井住友カードをかたるフィッシングサイトへ誘導するメールの報告を受けているとして、フィッシング対策協議会が注意喚起をしています。
本文中のリンクはフィッシングサイトへの誘導です。注意してください!(続く)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) September 17, 2020