私(耕平)はこれまで数々のフィッシング詐欺の潜入を試みた。そのほとんどが楽天カード三井住友カードなどのクレジットカードだったが、ここにきて新手のフィッシング詐欺が猛威を振るっている。それはPayPay銀行(旧ジャパンネット銀行)を名乗るものだ!

銀行口座のログインを促すフィッシング詐欺は、一昔前にメガバンクの名前を装うタイプを中心に流行っていた。そういえばここ最近はあまり見られなかったなと思いつつ潜入してみたら……他のフィッシング詐欺にはない巧妙な手口だったため、個人情報が抜かれる一部始終と防止策をお伝えしたいと思う。

・詐欺メールは複数パターン

まずは入口であるフィッシング詐欺メールを見ていこう。このPayPay銀行を名乗る詐欺メールは相当数の種類が存在すると思われる。

私が確認できているだけでも4種類。差出人が「PayPay銀行」という名前で、アルファベットが大文字と小文字のもの、中には<PayPay銀行>と括弧の記号が変わっているもの、さらに「PayPay-Bank」といったものだ。

件名も「[PayPay銀行]個人情報が失効のご連絡」、「【重要】PayPay銀行からのお知らせ」、「[PayPay銀行]利用確認」などが確認できた。

メール本文については、テキストだけのメールと……

PayPay銀行のロゴが入っているものと2種類ある。

ちなみに私はPayPay銀行を長年使っている。本物のメールも届くが、一見すると偽物とは見分けがつきづらい。

次に個人情報を抜き取る偽サイトへの潜入を試みてみよう。

・一筋縄ではいかないフィッシングサイト

詐欺メールのリンクをクリックすると、他のフィッシング詐欺と同じように警告画面が表示される。

最近だと以前紹介したJCBカードを装うフィッシング詐欺のようにくぐり抜けてくる事例もあるし、これが表示されるだけでも安心だ。

警告画面が表示されているにもかかわらず、構わず進んでいくとフィッシングサイトが姿を現した。

フィッシングサイトの警告を促すGoogle Chrome特有の「危険」の表示、そしてURLは「baybay-bank〜」といったフィッシングサイトのお手本のような「とりあえず文字で寄せてみました」的なものを使っている。

ちなみに本物のログインサイトと瓜二つに仕上げているが、本物の方は冒頭でフィッシング詐欺の注意喚起がされている。

いよいよ、ここから潜入だ。フィッシングサイトの特徴として、アメリカンエキスプレスのフィッシング詐欺を検証した時のように、適当な文字を入れてもログインできてしまうというものがある。

今回も同じく、適当に「1」のみ数字を打ち込んで潜入を試みてみた。

──が、なんとこのフィッシングサイト、ログインすることができない!

この方法はフィッシングサイトを見抜くひとつの手段だったりするのだが、今回は通用しないらしい。

そこで、「1」を表示されているケタ数だけ打ち込んだ結果……

ログインできた!

なるほど、数字は適当でもケタ数は合わせないとダメということがわかった。続く本人情報入力でも、同じく「1」を表示されたケタ数だけ入力する。

「次へ」のボタンを押したところ……

なにっ!? 先に進まない??

もしかしたら、同じ数字の羅列では受け付けない仕様にパワーアップしているのでは? と思い、今度は「1234567〜」と、同じ数字を連続して使わないパターンで試したみたところ……

これでも、受け付けない……。

これは今まで検証した中で初めてのパターンだ。もしかしたら、この時点で抜かれてるけど進まないという仕組みになっているのか?

「それならば、あえて本物の番号を打ち込んではどうか?」

そんな考えが頭をよぎったが、相手はフィッシングサイトだ。とはいえ、「フィッシング詐欺ハンター」を自称する身として、ここで踏みとどまるわけにはいかない!

──強い決意のもと、覚悟して本物の番号を打ち込むことに……しようと思ったものの、情報を抜かれることは明らか。そこで最初の8桁(おそらくPayPay銀行である程度、共通で使われている)だけを本物と同じもの、残りは適当に打ち込む方法で試してみた。

そして「次へ」のボタンを押すと……

入れた!!!!!!

次に生年月日だが、ここは適当に打ち込んでも問題ないと思われる。「1955/3/4」と打ち込み、御年66歳を演じてみる。

「次へ」のボタンを押してみると……

「お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。」と、今さら丁寧に謝罪されたあげく、なぜか自動的に本家の「投資信託」のページに飛ばされる。

もし正直に情報を入力していたらここでジエンド。以上が、私の遭遇したPayPay銀行を名乗るフィッシング詐欺の一部始終だ。

・被害に遭わないために

今回検証したフィッシング詐欺で特筆すべきは、「本物に寄せた番号を入力しないと、先に進むことができない」という今までに無いパターンだ。

詐欺と疑いながらも、適当な番号を打ち込むと進めない。うっかり本物のサイトと信用して、ログイン情報を入力してしまうケースも0では無い。

ではどうしたらいいのか。それはいつもお伝えしている通り、大前提として……

「メールからサイトにアクセスしない」

これが1番の防止策だ。また、PayPay銀行も注意喚起を促しているので、こちらも確認することをオススメする。

──以上だが、この記事の内容が被害防止の一助になれば幸いである。

参考リンク:PayPay銀行 フィッシング(Phishing)
執筆:耕平
Photo:RocketNews24.

▼検証段階では警告画面が表示されたが、されない可能性もあるので注意!

▼本物に寄せた番号を入力しないと先に進めない仕組み

▼最終的に本物のページに飛ばされる