留まるところを知らず、常に新たな手口が出てくるフィッシング詐欺。自称フィッシング詐欺研究家の私(耕平)は日々潜入を試みているが、とあるフィッシングメールが迷惑メール専用ボックスを賑わせている。それがauPAYを名乗るものだ。

1日に5通は当たり前。多いときは10通を超えるペースで受信している。そんな猛威を振るっているフィッシング詐欺を検証しない手はない。そして個人情報を抜き取る本物そっくりの偽サイトは2種類。そのうちの1種類が今まで見たことのない新しいパターンだった……

・メールの種類は大量? しかし……

まずは入口となるフィッシングメールを見ていこう。前述したようにメールの頻度も過去一レベルで多いが、比例してその種類もかなりの数がある。

ただし、メールを開いてみるとほとんどが同じ文章。この文体はどこかで見覚えが……そう、VISAやJCBを名乗るフィッシングメールに使われるテンプレートがここにも使われていた!

「誠に勝手ながら、カードのご利用を一部制限させていただき~」という理由で偽サイトに誘導するお決まりのパターンの他にも、auロゴやログインボタンがそれっぽく作られている偽メールもあった。

・偽サイトに潜入

フィッシングメール本文のリンクをクリックすると、偽のログイン画面が姿を現す。URLの末尾は「.cn」。これは中国のトップレベルドメインだ。

適当な数字を入れて「次へ」とクリック。パスワードの入力画面が表示される。

ここでも適当な英数字を入れて「次へ」とクリックすると、「お客さまへの重要を知らせ」という、フィッシング詐欺あるある的な雑な日本語の警告画面が!

さっそく「支払い状況を確認」のボタンをクリックすると……

なんと4万円もの未払い料金が! まぁ嘘だけど。そしてここでも「恐れりますガ.」や「〜ご支払いください。」などの、支離滅裂な日本語がズラリ。そして下にスクロールすると、支払い方法の選択肢が表示される。

4択にもかかわらず、なぜか2つの選択肢は選べない状態。残りの2つのどちらかしかなく、とりあえずここは「電子マネー(iTunesギフトカード)」を選択して「次へ」をクリック。すると、支払いに使用するiTunesギフトカードの入力画面に進んだ。

ここも適当に入力。

「次へ」をクリックすると……

本物のauのサイトに飛ばされた!

この時点で、個人情報とiTunesギフトカードの情報が抜き取られている可能性が高いだろう。

・もう一つの偽サイト

いつもならここで防止策をお伝えするのだが、auPAYを名乗るフィッシング詐欺にはもう1パターンの偽サイトが存在する。前述の偽サイトに比べて、現在はこちらの方が主流になっていると思われる。どういったものなのかというと……

偽メールからリンクをクリックすると、前述の偽サイトとは若干異なる入力フォームが表示される。ちなみに、本物のログイン画面と入力する項目は異なるものの、意識していないと気づかないだろう。

とりあえず、初歩的な潜入方法である数字の「1」の羅列だけを各フォームに打ち込み、ログインできるかを試みるも進むことができなかった。

そこで、それっぽい番号やパスワードを実際のIDなどと同じケタ数を入力してみる。

「次へ」をクリックすると……

暗証番号入力のページに進むことができた! 

そして適当な4ケタの数字を打ち込んだ瞬間……

画面中央に「確認中 120秒」というものが表示され、ずっとグルグル回っている。

その後30分くらい様子を見るも、結局このまま画面が変わることはなかった。あくまで推測であるが、この状態の最中に裏で入力された情報からログインしてリアルタイムにログイン情報などの上書きや決済操作などをしていると思われる。

・被害に遭わないために

冒頭にお伝えしたとおり、auPAYを名乗るフィッシング詐欺は現在かなりの数の偽メールが拡散されている。私はたまたまauPAYを利用していなかったので、最初から疑いのスタンスで対応できたが、auPAYを利用している人は細心の注意が必要となるだろう。

そこでまずは、auPAYから出ている「auを騙るフィッシングメール注意のご案内」を一読していただきたい。それを踏まえたうえで……

「メールやSMSから、直接サイトにアクセスしないこと」

これを守っていれば、100%被害に逢う確率は限りなく低くなるだろう。

──以上、この記事が被害拡大防止の一助になれば幸いである。

参考リンク:auPAY「auを騙るフィッシングメール注意のご案内」 
執筆:耕平 
Photo:RocketNews24.