猛暑となった2023年の夏の勢いとともに、相変わらずとどまることを知らないフィッシング詐欺。そのほとんどがPayPay銀行三井住友銀行などの金融機関を装ったものや、VISAカードアメリカンエキスプレスを名乗るクレジットカード系のものだ。

そんななか、新たなジャンルのフィッシング詐欺が拡散されている。それは航空会社大手の「ANA」を装うフィッシング詐欺だ。

私(耕平)自身、ANAが運営している「ANAマイレージクラブ」の会員になっているため、一瞬騙されかけた。そして、あの競合会社を装うフィッシング詐欺も拡散されていた。今回はその詐欺の全貌と防止策をお伝えしよう。

・偽メールの中身

まず入口である偽メールの内容を見ていこう。メール自体は至ってシンプルなものだ。

差出人名は「ANAマイレージクラブ」で本物と同じだ。ただし本物のメールとはアドレスが異なっている。

メールの文面を見ると、怪しい日本語の類などは一切なく、誤字脱字も見当たらない。偽メールのクオリティとしては、なかなかのものだ。しかし今まで本物の「ANAマイレージクラブ」から来るメールにテキストだけのものはなく、大抵は冒頭に画像が入っているHTML形式のものだ。

よって、メールの形式で偽物と見分ける目安になると思われるが、確定的では無いため参考程度にとどめておいてもらいたい。

・個人情報を抜き取るまで

そしてメールにあるリンクから、個人情報を抜き取る偽サイトに移動してみる。リンクをクリックすると……

「会員情報確認」と書かれたページが姿を現した。ちなみに本物のページとは見分けがつかないくらいの作りだが、本物は「会員情報確認」ではなく「新規会員登録」と表記されている。

下にスクロールすると、住所の記入欄や……

お決まりのクレジットカード情報の記入欄がある。

そして、ヤマト運輸を騙るフィッシング詐欺などでも使用した、すべての入力欄に「1」だけを打ち込む、通称「1攻め」で潜入していく。

どんどん「1」のみを入力して……

すべて打ち終わったら「登録内容の確認画面へ」のボタンをクリック。

すると……

「メールアドレスに「@」を挿入してください。〜」と表示されたので、メールアドレスの入力フォームに「1@jp」と打ち込む。

その後、「登録内容の確認画面へ」をクリックすると、今度は「カード番号は無効です。〜」と表示された。

このあたりの昨今のフィッシング詐欺の進化は織り込み済みだ。そこでフィッシング詐欺対策用のカード番号を打ち込む。

で、再度クリックすると……

クレジットカードのパスワード入力画面に進んだ。

ここでも「1」のみを打ち込むが弾かれてしまったので、それっぽい英数字を入力。そして送信を押すと……

登録完了画面が表示された。

ちなみに、このページも偽物だ。昨今のフィッシング詐欺では、「東京ディズニーリゾート」を名乗るフィッシング詐欺のように、このタイミングで本物のページに飛ばされるのがほとんどだ。しかし、この「ANA」を名乗るフィッシング詐欺は本物のページに飛ばされることはなかった。

ただ、この時点で完全に悪用される可能性が高い、全ての個人情報が抜かれているだろう。

・あの最大手の会社も

今回「ANA」を名乗るフィッシング詐欺を紹介したわけだが、「ANA」と言えば同じ航空業界では「JAL」を連想する人も多いのではないだろうか? 実は私の迷惑メール専用のメールボックスには、つい先日までこの「JAL」を名乗るフィッシング詐欺が横行していた。

ただこちらのフィッシング詐欺は、なぜか全てのリンク先のページが消滅していて、潜入することができなかった。

余談になったが今回紹介した「ANA」を名乗るフィッシング詐欺は、現時点では偽メールに誤字も無く、偽サイトも本物そっくりであることから、危険性はかなり高いと言える。

前述したメールからの見分け方のポイントや、登録画面の表記の違いなども説明したが、いつ改良されるかわからない。したがって、いつも言っているが……

「メールやSMSから、直接サイトにアクセスしないこと」

絶対的な防止策はこれに尽きる。──というわけで、私と同じ「ANAマイレージクラブ」の会員は、この記事をよく読んでいただくことで被害拡大防止の一助になれば幸いである。

参考リンク:ANA「ANAを装ったフィッシング詐欺にご注意ください」
執筆:耕平 
Photo:RocketNews24.