耕平
2024年も休むことなく大量に拡散されているフィッシング詐欺。「フィッシング対策協議会」によると、2023年は報告件数ベースで初めて100万件を超える事態となったそうだ。
自称「フィッシング詐欺研究家」の私(耕平)の迷惑メール専用ボックスにも、相変わらず毎日数百通のフィッシングメールが届いている。
そして昨今、そのメールボックスを賑わしているのが、『東京水道局』を名乗るフィッシング詐欺だ。手口は水道料金未納の連絡を入口に、個人情報とお金を騙し取るという悪質なもの。
いったいどのような形で被害に遭ってしまうのか? 潜入調査してみたので、その一部始終をご覧いただこう。
・入口のフィッシングメール
まずは入口である、『東京水道局』を名乗る偽メールを見てみよう。私の場合は1日に5通程度、この偽メールを受信している。
最初に断っておくが、『東京水道局』というのは存在しない。正しくは『東京都水道局』だ。ただし発信元が『東京都水道局』になっている偽メールもあるので、注意していただきたい。
メールを開いてみると、件名が「緊急連絡:東京水道局からの水道料金支払い遅延に関する通知%%ご確認ください:東京水道局による未払い水道料金のお知らせ%%重要:東京水道局より未払い水道料金のご案内⚫︎⚫︎@⚫︎⚫︎.jp(自分のメールアドレス)」と、何だかメチャクチャだ。
しかも送信元のアドレスが「info@uber.com」と、「お前、絶対に水道局じゃねぇだろ」とツッコミを入れたくなるドメインが使用されている。
そして本文は、かなりアッサリしている。
っていうか、「水道サービスチーム」って……。署名に目を向けると、なぜかSNSをメッチャアピールしてきている。
なんかURLを見る限り、かなり怪しい感じが。試しにインスタのURLをクリックしてみると……
リンク切れしてた。
さらに下にスクロールすると……
マイナビウーマン編集部??
もう、完全に支離滅裂だ。本当にやる気があるのか? 水道料金の未払いを偽って騙し取る手口なのに、バグっている件名でドメインは「ウーバーイーツ」を思わせるもので、無駄にSNSをアピールし、発行元はマイナビウーマンという異世界に引き込まれている。
・フィッシングサイトに潜入
偽メールの構成を見るに、おそらく外国人がこのシナリオを描いたのだろう。どんな価値観で日本文化を学んだのか心配になるレベルだ。
半分呆れながら、個人情報を抜き取るフィッシングサイトに潜入していく。メール本文にある「オンラインのお支払いはこちら:支払いページ」をクリック。
すると当然ながら、使用しているブラウザのGoogle Chrome(グーグルクローム)から、警告文が発令される。
メールの内容といい、ここを潜り抜けられない技術の低さといい、マジでポンコツすぎる……。
そして、偽サイトが姿を現す。
まず、携帯番号と名前を記入するフォームが現れた。
ここで、ヤマト運輸やANAを装うフィッシング詐欺に使用した、すべてのフォームに「1」のみを打ち込む、通称「1攻め」を試すことにした。
ただ近年、フィッシング詐欺は進化していて、この手法が通用するものは少ない。とりあえずダメ元で「1」のみを打ち込んでみる。
そして「請求書を受け取る」のボタンをクリックすると……
あっ、進めた。
あれ? もしかして結構ユルい感じ?? なんかそれっぽい明細書が表示された。金額も5070円と違和感がない額だ。ひと通り確認して、「請求書を支払う」のボタンをクリックする。
すると「請求書送付先住所」のフォームが現れた。ここから個人情報の抜き取りが始まるが、先ほどと同様「1攻め」で対抗する。
その下の「住所の追加」をクリックしたところ……
クレジットカードの情報入力フォームが現れた。過去の経験上「ディズニーランド」を騙(かた)るフィッシング詐欺のように、ここまでは「1攻め」で進めたが、カード情報のフォームになると弾かれることが多い。
とりあえず、今まで通り「1」のみを入力。
その下の「支払い」をクリック! すると……
画面が変わり「認証コード」の入力フォームに進んだ。「認証コードが携帯電話または登録メールアドレスに送信されました」と記載されているが、すべて「1」としか記入していない。なのでここまで来れば、ここも「1」だけで大丈夫だろう。
ただ、そんな安易な考えが通用するはずが……
↓
↓
↓
↓
↓
↓
↓
↓
↓
あった。
本物の『東京都水道局』のページに飛ばされた。この手のパターンは、もはや定番だ。この時点で入力した個人情報がすべて抜き取られていると思われる。
・被害に遭わないために
今回紹介した『東京水道局』を名乗るフィッシング詐欺だが、入口のメールから拍子抜けするような内容で、フィッシングサイトも全部「1攻め」で進めてしまうほど、全体的にユルい感じだった。
ただしフィッシングサイトは、東京都水道局が提供している「東京都水道局アプリ」のWeb版を完全に模しているので、登録している東京都民は注意が必要だ。東京都水道局からも「不審なメールにご注意下さい!」という注意喚起を出している。
そしていつも口酸っぱく言っているが、最大の防御法は……
「メールやSMSから、直接サイトにアクセスしないこと」
これに尽きる。というわけで、本記事が被害拡大防止の一助になれば幸いである。
参考リンク:東京都水道局「不審なメールにご注意下さい!」、フィッシング対策協議会[1] [2]
執筆:耕平
Photo:RocketNews24.
【注意喚起】「給水停止」を騙るメールに気を付けよう / 東京都水道局「メールで水道を止めるご連絡をすることはありません」
【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは?
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【大ピンチ】寒波により都内でも水道の凍結があった模様! 実際に水が出なくなった都民に話を聞いてみた
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
【500円】くら寿司でホールケーキが食べられるの知ってた? しかもクリスマスは半額! でも注文を迷う理由
「ゴディバ」のクリスマスケーキ(7020円)を買ってみたら、去年と完全に別物になっていてビビった
【フロントガラスの凍結対策】Amazonの人気商品が「サクラ度99%」だったのでガチで有能な901円のアイテムを買ってみた → 泣いた
【地獄】満足度85%を超える「バースジャパン福袋」の中身が悪すぎて震えた…満足の喜びとともに届く脅威の極悪アイテムがこちらです
すき家 vs 松屋「いくら丼」をテイクアウトして比較 → こんなにはっきり白黒つくってマジか…!
【狙い目】福袋を毎年買いまくっている記者17人に「マジで楽しみにしている2025年の福袋」を聞いたらこうだった
【無料チケットの嵐】タリーズ「1万円福袋」のバラマキ感がヤバい / 2025年福袋特集
【車のフロントガラス凍結対策】オートバックスで328円で売っているアイテムが良すぎた / コスパ最高カー用品
【抽選結果速報】スタバ福袋2025の抽選に編集部全員(20人)でエントリーしたらこうなった
【謎】ローソンの福袋(1080円)の中身がお得なんだけど、販売が気まぐれすぎる → 広報に詳細を聞いてみた結果
【謝罪】会社の汚れたアルミ鍋を「オキシ漬け」したまま20時間も放置してしまった結果 → 泣いた
新品デニムを「オキシ漬け」したまま約15時間放置したらこうなった
【マジかよ】業務スーパーで「国産のおせち」を買いに行ったらこうなった
中国通販サイト『Temu』で「小型ファンヒーター」を買った結果 → まさかの展開の連続に泣いた
「アウトドアブームが終わってキャンプ用品が投げ売りされている」と聞いたので、ドン・キホーテとハードオフをハシゴしてみた
【注意喚起】auPAYを名乗るフィッシング詐欺が激増中!新しいパターンで個人情報を抜き取る偽サイトにも要注意
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
【警告】PayPayを名乗るフィッシング詐欺が拡散中! 今までに無い新しいパターンの手口とは?
2023年最新版! Amazonを名乗るフィッシングメールの件名にある謎ワード【重なら】の正体を考察してみた
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」
【北海道地震】断水デマがSNSで流れているので札幌市水道局に直接聞いてみた
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【気をつけて】LINEを名乗るフィッシング詐欺が横行中! 安易にパスワードを入力しちゃ絶対にダメェェエエエ!!