耕平
2020年9月から始まった「マイナポイント事業」。ご存知の通り国の肝入り政策で、登録すると最大20000円分のポイントが付与されるキャンペーンを展開している。そして2023年9月末に2年間続いたキャンペーンが終了する。
総務省の統計によると、8月末時点でマイナンバーカードの保有状況は国民全体の70%を超える結果となっている。しかし逆の意味で言えば、残りの約30%……すなわち3000万人くらいの人が現時点で申請していないことになる。
思うところがあり自らの意思で登録しない人もいれば、申請を忘れている人もいるかと思うが、そういった層を付け狙うフィッシング詐欺が横行している。それが『マイナポイント』を装ったフィッシング詐欺だ!
まさにトレンドも相まって、騙される人も多いかもしれない……ということで、私(耕平)が入口の偽メールの分析から、個人情報を抜き取るまで潜入してみたので、その一部始終と防止策をお伝えしよう!
・偽メールの中身
まず入口である偽メールの中身を見ていこう。現在、私の迷惑メール専用ボックスには2種類の偽メールが確認されている。1つは「【マイナポイント第2弾】20,000円分のポイントプレゼント!」という件名のもの。
差出人名は「マイナポイント事務局」となっている。メールの内容もHTML形式で見た目は本物っぽい。ただし、送付元のメールアドレスをよく見ると……
「ad.apple.com」???
マイナンバーカードの管轄官庁は総務省……すなわち政府機関だ。一般的に政府機関のメールアドレスのドメインは「go.jp」。それが「apple.com」になっている時点で、分かる人には完全にアウトである。
そして下にスクロールしていくと、「■マイナポイントの申し込み方法です?」などの、怪しい日本語の類が見受けられる。
それからもう一つは、同じ件名で差出人も同じだが、内容がテキスト形式のものだ。
こちらの偽メールは先ほどのものとは違い、怪しい日本語の類は一切見受けられない。そして何より恐ろしいのは、本物っぽい差出人のメールアドレスを使用していることだ。
先ほど指摘した政府機関のドメインである「@soumu.go.jp」を偽装していて、なおかつ「@」の前に「mynumbercard」となっている。なので、メールアドレスを判断材料にするのは危険だということ……だが、後述することを覚えておけば、心配する必要は全くないので安心していただきたい。
・個人情報を抜き取る偽サイトの中身
それではメールにあるリンクから、偽サイトに移動して個人情報を抜き取るまでの手口を見てみよう。まずはメール内のリンクをクリックすると、いかにも本物っぽい感じのサイトに飛ばされる。
ただし、URLをよく見てみると……「hanlemtion.com/msg」と政府機関のURLとは異なっている。
ちなみに総務省のマイナポイントの特設ページのURLは「mynumbercard.point.soumu.go.jp」だ。他にも同じ模倣したサイトの作りで、複数の偽のURLが使われていることが確認されている。
しかしURL以外は、見事と思えるほど本物と変わらない。
と、思ったら……
ミナポイント???
あぁ、惜しい。そういうとこなんだよ……詰めが甘いというか、大事な次のページに行くためのリンクボタンの文字でこの失態。自称「フィッシング詐欺研究家」としては、こういうのを見てしまうと、それだけで気持ちが萎えてしまう。
とはいえ、個人情報を抜き取るまでの潜入は続けなければならない。というわけで、クリックすると……
個人情報の入力フォームに進んだ。
いよいよ、ここから個人情報の抜き取りが始まる。そこで私はヤマト運輸を騙るフィッシング詐欺などでも使用した、すべての入力欄に「1」だけを打ち込む、通称「1攻め」で潜入を試みる。
が、最近のフィッシング詐欺は進化しているので、簡単に跳ね返される。
そこで「1」だけではなく、それっぽく適当な数字や名前などを入力。
住所も適当に入力して……
「申込む」のボタンをクリック!
そうすると、クレジットカードの情報を入力するフォームに進んだ。
とりあえず、適当な情報を打ちこんでみると……
やはり弾かれてしまう。
そこで、過去に使用して解約したフィッシング詐欺対策用の情報を打ち込んでみる。
そして「申込む」をクリックすると……
クレジットカードの暗証番号入力のページに移動。
ここは適当な数字を打ち込んで、送信をクリック。
すると、本物の総務省が運営するマイナポイントのページに飛ばされた。
一通り情報を抜き取った後に本物のページに飛ぶパターンは、もはや定番。この時点で悪用される条件が全て整った個人情報の抜き取りが完了だ。
・被害防止のためにたった1つ覚えておくこと
今回、紹介した『マイナポイント』を装うフィッシング詐欺は、申込締切間近という緊急性を狙った悪質なものだ。しかし、これだけ覚えておけば絶対に被害に遭わないというものがある。
それは以前、紹介した「国税庁」を名乗るフィッシング詐欺でも、お伝えしたときと同様……
「総務省から、個人のメールアドレス宛に直接連絡が来ることは絶対にない」
ということだ。行政から何か案内があるときは、基本的には郵送でアナウンスが来る。なので、行政関連の案内がメールで送られてくるようなら100%詐欺だと覚えておけば、まず被害に遭うことはないだろう。
そして、毎回アナウンスしているが……
「メールやSMSから、直接サイトにアクセスしないこと」
これがフィッシング詐欺から身を守る絶対的な防止策だ。
──というわけで、この記事をよく読んでいただくことで被害拡大防止の一助になれば幸いである。
参考リンク:総務省「マイナンバー制度に便乗した不正な勧誘や個人情報の取得にご注意ください!」
執筆:耕平
【注意喚起】「ANA」を装うフィッシング詐欺が横行中! そして競合のあの他社を名乗る詐欺も…
【警告】Paidy(ペイディ)を名乗るフィッシング詐欺が個人情報を抜き取るまでの一部始終を公開 / 騙されないために覚えておくこと
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【緊急警報】「東京ディズニーランド」を名乗る新手のフィッシング詐欺が横行中! ディズニーファンは最大限の警戒を
東京の安宿街にあるホテル(1泊3600円)を利用したら…ベランダから見えた景色にビビった / 南千住「ホテル アクセラ」
【4コマ】魔王軍はホワイト企業 1242話目「魔王城の若手⑬」
水筒を5本も持ち歩いている男のカバンの中身を大公開! 持参アイテムは57点、総重量は11.45kg
なんと初の福井の蕎麦!【家そば放浪記】第218束:星児の知人「金沢のサラリーマン松下さん」からいただいた友吉製粉製麺『越前そば』378円(1人前189円)
【ラーメシ通信】一蘭ファンが「裏メニュー」と密かに楽しむ『一蘭丼』を食べてみた
新宿駅の改札内でお茶漬けを食べた後、向かいの店を見て「冷静に考えたらヤバいな」となった
新宿駅の改札内で売っている「3240円のお弁当」の中身とは? 開けたら…大草原が広がってて圧倒された
【もはや反則】リンツの『PICK&MIX 詰め放題』で禁断の「リンドール抜き戦法」に手を出したところ……店舗最高記録を叩き出した
人生で初めて歌舞伎町の「野郎寿司本店」に行ってみたら、長らく損していたことに気がついた
「歌舞伎揚」が好きすぎるので工場直売所に行ったら、近くにあのカステラの直売所もあって超お得に買い物できてしまった
【謝罪】会社の汚れたアルミ鍋を「オキシ漬け」したまま20時間も放置してしまった結果 → 泣いた
新品デニムを「オキシ漬け」したまま約15時間放置したらこうなった
【激安】Amazonで「20円の高圧洗浄機」を買ってみた
具材を選んで自分で作る「DIY天丼」だと!? まさかと思って注文したら、思ってたのと全然違った
【悲報】リトル・マーメイドが日本公開直前に注意喚起! その内容が行くの迷うレベルだった
【実録】女性35歳を1000円で買いに行った話
「ゴディバ」のクリスマスケーキ(6264円)を買ってみたら想像の100倍くらい小さくてビビった
【無料】カルピスの工場見学ツアーが最強に面白い! 90分の超濃厚な内容で試飲もできて激レア土産も買えるぞ!
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【許せん】「ウクライナ人道危機救援金の募集」を騙る極悪非道なフィッシング詐欺に注意!
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
【激怒】「日本赤十字社」を装って寄付を呼びかけるフィッシング詐欺がかなり悪質!騙されないために覚えておくこと
【警告】JR東日本の「えきねっと」を騙るフィッシング詐欺に要注意! 確実にカード情報を抜き取る危険な手口から身を守る方法とは?
【フィッシング詐欺まとめ】報告件数100万件間近!個人情報を抜き取る危険な偽サービス3選 / 2022年版
【注意喚起】auPAYを名乗るフィッシング詐欺が激増中!新しいパターンで個人情報を抜き取る偽サイトにも要注意
【警告】PayPayを名乗るフィッシング詐欺が拡散中! 今までに無い新しいパターンの手口とは?
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた