相変わらず猛威を振るい続けるフィッシング詐欺。「フィッシング対策協議会」が発表している報告状況によると、2022年4月の報告件数は協議会に寄せられているだけでも9万件を超えているとのこと。これは直近1年間で最大件数だ。ただし、あくまで報告件数なので実際発生している件数は、この数値を大きく上回っていることだろう。

そして私(耕平)のフィッシング詐欺の専用メールボックスに大量に届いているのが、JR東日本が提供しているサービス「えきねっと」を名乗る偽メールだ。現在も大量発生中の「auPAYを名乗るフィッシング詐欺」の次に数が多い。

しかも今回は新しいパターンの個人情報の抜き取り方も確認できた。ということで、個人情報が抜かれるまでの一連の流れと、ユーザー必読の防止策をお伝えしよう。

・偽メールの種類が大量

この「えきねっと」を名乗るフィッシング詐欺の特徴として、とにかく種類が豊富だ。


件名、本文それぞれ違うものだけでも、その種類は個人的に確認できているだけでも30を超える。差出人名は「えきねっと」「eki-net.com」「eki-net.jp」などが代表的だ。中にはJR東日本のサービスなのに「JR西日本」を名乗る偽メールもある。アホか。


他にも「えきねっと」のロゴをパクったものや……


「JR東日本」のロゴが入っているものとか……


やたらシンプルなものなど……


とにかく今までに無いくらい種類が豊富だ。ちなみに「三井住友銀行を騙(かた)るフィッシング詐欺」などに使われている本物のドメインを偽装して配信する極悪な手法は、私が受信している偽メールの中では確認できなかった。


・恐怖の個人情報抜き取りパターン

それでは本文にあるリンクをクリックして、偽サイトに潜入してみよう。姿を現したのは、ほぼ丸々本物のコピーのようなログインページ。


ちなみに本物のログインページは見た目こそほとんど変わらないものの、右下にチャット機能がついているのが、唯一見極める大きなポイントだ。


ここでいつものように「セゾンカードを名乗るフィッシング詐欺」などでお馴染み、初歩的な潜入手法である「全て数字の1のみを打ち込む」という方法でログインを試みる。


すると……

弾かれてしまった。


そこで今度は、本来のユーザーIDに寄せてケタ数も揃えたデタラメな英数字を打ち込んでみた。


ログインボタンを押してみると……

進めた。


個人情報の入力フォームに進み、ここも手入力できる項目には全て数字の「1」のみを打ち込む。


残りの項目も全て「1」を打ち込んで、「入力内容を確認」をクリック!


すると、クレジットカードの入力フォームに進んだ。


ここも全て数字の「1」のみを入力して進もうとしたところ、予想だにしてなかったことが起こる。なんと「カード番号」の項目のみ手入力ができず、あらかじめGoogle Chromeなどにブラウザに登録しているカード情報から選択して自動入力するしか、入力の手段が無いことが発覚!


適当な番号すら打ち込めないので、潜入もここで断念か……と思われた。しかし、それならデタラメなカード情報を自動入力機能に登録すればいいのではないか? と仮説を立て、適当な情報を登録してみる。


入力フォームに戻り、先ほどの偽情報を登録したカードの自動入力を選択すると……

入力できた!


他の項目は適当に打ち込む。


「入力内容を確認」をクリックすると……


クレジットカードのワンタイムパスワード入力画面が現れる。


ここも適当な数字4桁を打ち込んでみる。


「送信」をクリックすると……

登録完了。


この時点で、個人情報がガッツリ抜かれていると思われる。そして待つこと数秒、自動的に……

本物のトップページに飛ばされる。


このパターンは、近年のフィッシング詐欺では定番だ。ここまでが「えきねっと」を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終だ。


・被害に遭わないために

今回紹介した「えきねっと」を名乗るフィッシング詐欺の特徴は、以下の2つに集約される。


・とにかく偽メールの種類が多い
・クレジットカード情報がインターネットブラウザの自動入力機能を使用しないと入力できない


特に2つ目は、以前「Amazon」を装うフィッシング詐欺でも見られたパターンだ。この手法の怖いところは便利な機能がゆえに、確実な情報をサクッと無意識のうちに入力してしまい、いつ抜かれたか気づかないことだ。

なので「えきねっと」にユーザー登録している人の防止策としては、まずJR東日本から出ている注意喚起を一読することが必須だ。それを踏まえたうえで……


「メールやSMSから、直接サイトにアクセスしないこと」


これを徹底してもらいたい。これでほぼ確実に被害に遭うことは無いだろう。

──この記事が被害拡大防止の一助になれば幸いである。

参考リンク:JR東日本「えきねっと」を騙る偽メール、偽サイトにご注意くださいフィッシング対策協議会
執筆:耕平
Photo:RocketNews24.