2024年も休むことなく大量に拡散されているフィッシング詐欺。「フィッシング対策協議会」によると、2023年は報告件数ベースで初めて100万件を超える事態となったそうだ。

自称「フィッシング詐欺研究家」の私(耕平)の迷惑メール専用ボックスにも、相変わらず毎日数百通のフィッシングメールが届いている。

そして昨今、そのメールボックスを賑わしているのが、『東京水道局』を名乗るフィッシング詐欺だ。手口は水道料金未納の連絡を入口に、個人情報とお金を騙し取るという悪質なもの。

いったいどのような形で被害に遭ってしまうのか? 潜入調査してみたので、その一部始終をご覧いただこう。

・入口のフィッシングメール

まずは入口である、『東京水道局』を名乗る偽メールを見てみよう。私の場合は1日に5通程度、この偽メールを受信している。

最初に断っておくが、『東京水道局』というのは存在しない。正しくは『東京都水道局』だ。ただし発信元が『東京都水道局』になっている偽メールもあるので、注意していただきたい。

メールを開いてみると、件名が「緊急連絡:東京水道局からの水道料金支払い遅延に関する通知%%ご確認ください:東京水道局による未払い水道料金のお知らせ%%重要:東京水道局より未払い水道料金のご案内⚫︎⚫︎@⚫︎⚫︎.jp(自分のメールアドレス)」と、何だかメチャクチャだ。

しかも送信元のアドレスが「info@uber.com」と、「お前、絶対に水道局じゃねぇだろ」とツッコミを入れたくなるドメインが使用されている。

そして本文は、かなりアッサリしている。

っていうか、「水道サービスチーム」って……。署名に目を向けると、なぜかSNSをメッチャアピールしてきている。

なんかURLを見る限り、かなり怪しい感じが。試しにインスタのURLをクリックしてみると……

リンク切れしてた。

さらに下にスクロールすると……

マイナビウーマン編集部??

もう、完全に支離滅裂だ。本当にやる気があるのか? 水道料金の未払いを偽って騙し取る手口なのに、バグっている件名でドメインは「ウーバーイーツ」を思わせるもので、無駄にSNSをアピールし、発行元はマイナビウーマンという異世界に引き込まれている。

・フィッシングサイトに潜入

偽メールの構成を見るに、おそらく外国人がこのシナリオを描いたのだろう。どんな価値観で日本文化を学んだのか心配になるレベルだ。

半分呆れながら、個人情報を抜き取るフィッシングサイトに潜入していく。メール本文にある「オンラインのお支払いはこちら:支払いページ」をクリック。

すると当然ながら、使用しているブラウザのGoogle Chrome(グーグルクローム)から、警告文が発令される。

メールの内容といい、ここを潜り抜けられない技術の低さといい、マジでポンコツすぎる……。

そして、偽サイトが姿を現す。

まず、携帯番号と名前を記入するフォームが現れた。

ここで、ヤマト運輸ANAを装うフィッシング詐欺に使用した、すべてのフォームに「1」のみを打ち込む、通称「1攻め」を試すことにした。

ただ近年、フィッシング詐欺は進化していて、この手法が通用するものは少ない。とりあえずダメ元で「1」のみを打ち込んでみる。

そして「請求書を受け取る」のボタンをクリックすると……

あっ、進めた。

あれ? もしかして結構ユルい感じ?? なんかそれっぽい明細書が表示された。金額も5070円と違和感がない額だ。ひと通り確認して、「請求書を支払う」のボタンをクリックする。

すると「請求書送付先住所」のフォームが現れた。ここから個人情報の抜き取りが始まるが、先ほどと同様「1攻め」で対抗する。

その下の「住所の追加」をクリックしたところ……

クレジットカードの情報入力フォームが現れた。過去の経験上「ディズニーランド」を騙(かた)るフィッシング詐欺のように、ここまでは「1攻め」で進めたが、カード情報のフォームになると弾かれることが多い。

とりあえず、今まで通り「1」のみを入力。

その下の「支払い」をクリック! すると……

画面が変わり「認証コード」の入力フォームに進んだ。「認証コードが携帯電話または登録メールアドレスに送信されました」と記載されているが、すべて「1」としか記入していない。なのでここまで来れば、ここも「1」だけで大丈夫だろう。

ただ、そんな安易な考えが通用するはずが……

あった。

本物の『東京都水道局』のページに飛ばされた。この手のパターンは、もはや定番だ。この時点で入力した個人情報がすべて抜き取られていると思われる。

・被害に遭わないために

今回紹介した『東京水道局』を名乗るフィッシング詐欺だが、入口のメールから拍子抜けするような内容で、フィッシングサイトも全部「1攻め」で進めてしまうほど、全体的にユルい感じだった。

ただしフィッシングサイトは、東京都水道局が提供している「東京都水道局アプリ」のWeb版を完全に模しているので、登録している東京都民は注意が必要だ。東京都水道局からも「不審なメールにご注意下さい!」という注意喚起を出している。

そしていつも口酸っぱく言っているが、最大の防御法は……

「メールやSMSから、直接サイトにアクセスしないこと」

これに尽きる。というわけで、本記事が被害拡大防止の一助になれば幸いである。

参考リンク:東京都水道局「不審なメールにご注意下さい!」、フィッシング対策協議会[1] [2
執筆:耕平 
Photo:RocketNews24.