耕平
2024年も休むことなく大量に拡散されているフィッシング詐欺。「フィッシング対策協議会」によると、2023年は報告件数ベースで初めて100万件を超える事態となったそうだ。
自称「フィッシング詐欺研究家」の私(耕平)の迷惑メール専用ボックスにも、相変わらず毎日数百通のフィッシングメールが届いている。
そして昨今、そのメールボックスを賑わしているのが、『東京水道局』を名乗るフィッシング詐欺だ。手口は水道料金未納の連絡を入口に、個人情報とお金を騙し取るという悪質なもの。
いったいどのような形で被害に遭ってしまうのか? 潜入調査してみたので、その一部始終をご覧いただこう。
・入口のフィッシングメール
まずは入口である、『東京水道局』を名乗る偽メールを見てみよう。私の場合は1日に5通程度、この偽メールを受信している。
最初に断っておくが、『東京水道局』というのは存在しない。正しくは『東京都水道局』だ。ただし発信元が『東京都水道局』になっている偽メールもあるので、注意していただきたい。
メールを開いてみると、件名が「緊急連絡:東京水道局からの水道料金支払い遅延に関する通知%%ご確認ください:東京水道局による未払い水道料金のお知らせ%%重要:東京水道局より未払い水道料金のご案内⚫︎⚫︎@⚫︎⚫︎.jp(自分のメールアドレス)」と、何だかメチャクチャだ。
しかも送信元のアドレスが「info@uber.com」と、「お前、絶対に水道局じゃねぇだろ」とツッコミを入れたくなるドメインが使用されている。
そして本文は、かなりアッサリしている。
っていうか、「水道サービスチーム」って……。署名に目を向けると、なぜかSNSをメッチャアピールしてきている。
なんかURLを見る限り、かなり怪しい感じが。試しにインスタのURLをクリックしてみると……
リンク切れしてた。
さらに下にスクロールすると……
マイナビウーマン編集部??
もう、完全に支離滅裂だ。本当にやる気があるのか? 水道料金の未払いを偽って騙し取る手口なのに、バグっている件名でドメインは「ウーバーイーツ」を思わせるもので、無駄にSNSをアピールし、発行元はマイナビウーマンという異世界に引き込まれている。
・フィッシングサイトに潜入
偽メールの構成を見るに、おそらく外国人がこのシナリオを描いたのだろう。どんな価値観で日本文化を学んだのか心配になるレベルだ。
半分呆れながら、個人情報を抜き取るフィッシングサイトに潜入していく。メール本文にある「オンラインのお支払いはこちら:支払いページ」をクリック。
すると当然ながら、使用しているブラウザのGoogle Chrome(グーグルクローム)から、警告文が発令される。
メールの内容といい、ここを潜り抜けられない技術の低さといい、マジでポンコツすぎる……。
そして、偽サイトが姿を現す。
まず、携帯番号と名前を記入するフォームが現れた。
ここで、ヤマト運輸やANAを装うフィッシング詐欺に使用した、すべてのフォームに「1」のみを打ち込む、通称「1攻め」を試すことにした。
ただ近年、フィッシング詐欺は進化していて、この手法が通用するものは少ない。とりあえずダメ元で「1」のみを打ち込んでみる。
そして「請求書を受け取る」のボタンをクリックすると……
あっ、進めた。
あれ? もしかして結構ユルい感じ?? なんかそれっぽい明細書が表示された。金額も5070円と違和感がない額だ。ひと通り確認して、「請求書を支払う」のボタンをクリックする。
すると「請求書送付先住所」のフォームが現れた。ここから個人情報の抜き取りが始まるが、先ほどと同様「1攻め」で対抗する。
その下の「住所の追加」をクリックしたところ……
クレジットカードの情報入力フォームが現れた。過去の経験上「ディズニーランド」を騙(かた)るフィッシング詐欺のように、ここまでは「1攻め」で進めたが、カード情報のフォームになると弾かれることが多い。
とりあえず、今まで通り「1」のみを入力。
その下の「支払い」をクリック! すると……
画面が変わり「認証コード」の入力フォームに進んだ。「認証コードが携帯電話または登録メールアドレスに送信されました」と記載されているが、すべて「1」としか記入していない。なのでここまで来れば、ここも「1」だけで大丈夫だろう。
ただ、そんな安易な考えが通用するはずが……
↓
↓
↓
↓
↓
↓
↓
↓
↓
あった。
本物の『東京都水道局』のページに飛ばされた。この手のパターンは、もはや定番だ。この時点で入力した個人情報がすべて抜き取られていると思われる。
・被害に遭わないために
今回紹介した『東京水道局』を名乗るフィッシング詐欺だが、入口のメールから拍子抜けするような内容で、フィッシングサイトも全部「1攻め」で進めてしまうほど、全体的にユルい感じだった。
ただしフィッシングサイトは、東京都水道局が提供している「東京都水道局アプリ」のWeb版を完全に模しているので、登録している東京都民は注意が必要だ。東京都水道局からも「不審なメールにご注意下さい!」という注意喚起を出している。
そしていつも口酸っぱく言っているが、最大の防御法は……
「メールやSMSから、直接サイトにアクセスしないこと」
これに尽きる。というわけで、本記事が被害拡大防止の一助になれば幸いである。
参考リンク:東京都水道局「不審なメールにご注意下さい!」、フィッシング対策協議会[1] [2]
執筆:耕平
Photo:RocketNews24.
【注意喚起】「給水停止」を騙るメールに気を付けよう / 東京都水道局「メールで水道を止めるご連絡をすることはありません」
【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは?
【警告】「ETC利用照会サービス」を騙るフィッシング詐欺が危険! 高速道路利用者はマジで気をつけて!!
【大ピンチ】寒波により都内でも水道の凍結があった模様! 実際に水が出なくなった都民に話を聞いてみた
【警告】「国税庁」を装うフィッシング詐欺が拡大中! 被害に遭わないために知っておくべき2つのこととは?
鳥貴族の食べ飲み放題「トリキ晩餐会(税込3900円)」が思ってたより最高だった / 忘年会に最適だと思った2つの理由
【抽選結果速報】ケンタ福袋2026の抽選に編集部20人で応募してみた → さすがに泣いた
【狙うは3億8000万円】生成AIにロト6の過去全データを学習させ「理論的な予想」をしてもらった結果…
【立ち食いそば放浪記373】JR中央線本線に隠された秘密 / 立川名物として知られる「おでんそば」は、奥地に行くと強くなる
【中国渡航自粛】今なら「一蘭」に並ばず入れるのではないか? いつも中国人で大行列の新宿中央東口店に行ってみた結果…
中国「渡航自粛要請」から2週間が経った京都市内「祇園」「清水寺」「錦市場」の様子を見に行ってみた
【本日発売】「ローソンの福袋」(2160円)があまりにパンパンに詰まってて、持って帰るのちょっと恥ずい
中国の「渡航自粛勧告」から2週間、現在の「奈良公園」で目の当たりにした意外な光景
【中国渡航自粛】ガチ中華だらけの上野・アメ横に行ってみたら → 取材拒否の連続に…
【極論】焼肉って結局ウインナーが一番うまくないか? 「ウインナーだけ焼肉」やってみた結果 …
中国「渡航自粛勧告」から1週間経った、東京・浅草を見に行ってみた
【納得】ガストの「ジョブチューンで唯一不合格だった」メニューを食べてみた → 不合格にする気持ちがわかった
【検証】10年間ほぼ毎日飲んでる「コーヒー」を1週間断ってみたらこうだった
【は?】楽天で見つけた「在庫処分セール半額おせち」を買ってみた結果 → 届いた数日後にブチギレかけた
【雑草対策】カインズで598円「撒くだけで防草できる人工砂」の効果がヤバ過ぎた / お財布にも環境にも優しい超画期的アイテム
【検証】「スタバはどのサイズを頼んでも量は一緒」という動画が出回る → 実際に試してみた
【事故】楽天で買った『訳ありB級フルーツ福袋』を開封した翌日、妻から信じられないLINEが来た「メロンが…」
【注意喚起】auPAYを名乗るフィッシング詐欺が激増中!新しいパターンで個人情報を抜き取る偽サイトにも要注意
【2021年最新版】Amazonを装うフィッシングメール4選 / 偽サイトから個人情報を抜き取る様子も調査してみた
【国民全員が標的】「NHK」を名乗るフィッシング詐欺が横行中!気をつけるべき2つのポイントとは?
2023年最新版! Amazonを名乗るフィッシングメールの件名にある謎ワード【重なら】の正体を考察してみた
【警告】PayPayを名乗るフィッシング詐欺が拡散中! 今までに無い新しいパターンの手口とは?
【警告】「SAISON CARD Netアンサー」を騙るフィッシング詐欺のクオリティが激ヤバ…セゾンカードユーザーは一読必須!
【警告】イオンカードユーザー必読!「イオンカード」を騙るフィッシング詐欺に潜入したらクオリティがヤバすぎた
【北海道地震】断水デマがSNSで流れているので札幌市水道局に直接聞いてみた
【警戒レベルMAX】MyJCBカードを装った悪質フィッシングメールのリンクをクリックして先に進んでみた / 感想 「カード持ってたら確実に個人情報抜かれてた…」
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【警告】JR東日本の「えきねっと」を騙るフィッシング詐欺に要注意! 確実にカード情報を抜き取る危険な手口から身を守る方法とは?