今年も年明けから、猛威が止まらないフィッシング詐欺。私(耕平)の迷惑メール専用ボックスには、年末年始関係なく相変わらずあらゆるサービスの名前を騙(かた)る偽メールが、ひっきりなしに届いている。
そんな中、新たな手口のフィッシング詐欺が姿を表した。それはキャッシュレスサービスの筆頭「PayPay」を名乗るフィッシング詐欺だ。いったいどんな手口なのか? 潜入調査してみたので、防止策も含めてレポートしよう!
・毎日1通届く偽メール
はじめに話しておくと、この「PayPay」を名乗るフィッシング詐欺は、入口から出口までの全てが今までに無い手口だ。数々のフィッシング詐欺に潜入してきた私でも、全てが初めてお目にかかるような流れである。ということで、まずは入口の偽メールを見ていこう。
この偽メールの特徴としては、今でも猛威を振るっている「Amazonを騙(かた)るフィッシング詐欺」みたいな、1日に何通も送られてくる「爆撃系」のメールとは異なる。
どういうことかというと、1日に1通だけ件名に「2023年1月11日お支払い金額のお知らせ – PayPayカード」というような、日付が入った形で送られてくるのだ。
そしてメールアドレスに目を向けると、とてもPayPayのものとは思えない、デタラメなもの。
メールを開封すると、なぜか「このメールには本文がありません」と表示される。
その下の「履歴を表示」をクリックすると……
メール本文が表示された。
金額は40000円と表示されている。もちろん使った覚えが無いのだが、それでクリックさせるのが奴らの手口。ということで、「ご利用明細を確認する」のボタンをクリック。
すると、PayPayの支払い画面らしきサイトに移動した。そして金額はなぜか20000円に減額されている。
・フィッシングサイトが存在しない
まぁ、よくある偽サイトに誘導して個人情報を抜き取るパターンなのか? と思いきや……
本物のPayPayの支払い画面だった。
今まで私が潜入してきたフィッシング詐欺は、全て共通して「偽メール → 偽サイト」に誘導するパターン。その後、個人情報を抜き取ったり、架空の支払いを促したりといった手口だった。
ところが、この「PayPay」を名乗るフィッシング詐欺は「偽メール → 本物のPayPay支払い画面」というシンプルな流れ。このパターンは今まで無かった。本物のPayPayの支払い画面なので、残高を抜いて仮の支払いなどを試してみたが、そんな小細工は通用しない。
・いったい何が目的なのか?
この「PayPay」を名乗るフィッシング詐欺に表示された金額は、いったい何に対して支払うものなのか? ズバリ結論から言うと、某オンラインゲームの課金を装うものだ。偽メールからクリックして支払い画面に行くと、そのオンラインゲームの名前が表示される。
そして一定時間が経つと、支払いができなくなってしまった。
その画面のURLを見ると、「●●●●●.jp」と先ほどのPayPayの支払い画面以外のURLが表示されている。
そのURLを手がかりに調べてみると、このオンラインゲームを運営する会社のサイトにたどり着いた。
しかし、そのサイトのURLをよく見ると、同じURLっぽいがドメインが「●●●●●.co.jp」となっていた。
ということは、その運営会社を装った架空請求の可能性が高い。よって、このオンラインゲームを課金してプレイしているユーザーは騙されてしまう可能性があるので、注意が必要だ。
なお、ほかにも電子マネー「ビットキャッシュ」をPayPayの支払い画面から購入させる手口も発見されている。
・防止策は?
この「PayPay」を名乗るフィッシング詐欺は、個人情報を抜き取る偽サイトが存在せず、架空の支払いのみを要求してくるものだ。ただ偽メールからのアプローチは、他のフィッシング詐欺と変わらない。
そもそも冷静になって考えてみればわかるのだが、ご利用明細の確認メールなのに、リンク先のページに支払い用のQRコードがあること自体が不自然だ。
よって確実な防止策として……
「メールやSMSから、直接サイトにアクセスしないこと」
毎回言ってるが、結局これに尽きる。これを押さえておくだけで、被害に遭う確率は限りなくゼロに近くなるだろう。
そして、PayPayから注意喚起されている「フィッシングメールにご注意ください」も一読していただきたい。
──この記事が、被害拡大防止の一助になれば幸いである。
参考リンク:PayPay「フィッシングメールにご注意ください」
執筆:耕平
Photo:RocketNews24.