ニュースでも話題になっているとおり、証券会社の口座乗っ取りが多発している。その手段のひとつであるフィッシング詐欺の被害も深刻化の一途を辿っている。

口座のログイン情報を抜き取って不正に株式取引を行うこの手口は、投資家にとって大きな脅威だ。自称「フィッシング詐欺研究家」の私(耕平)のメールボックスにも、毎日大量の証券会社を名乗る偽メールが押し寄せている。

いったい、どのような手法でログイン情報を盗み取るのか? 今回は野村證券、大和証券、SBI証券、マネックス証券の4社を装うフィッシング詐欺に潜入し、その全貌を明らかにしていく!

・その1:「野村證券」を装うフィッシング詐欺

まず驚かされるのは、証券会社を名乗る偽メールの量だ。私の迷惑メール専用ボックスには、1日に200通以上もの怪しいメールが届いている。

件名は「【重要】緊急メンテナンスのお知らせ」や「システム更新に伴う再認証のお願い」など、いかにもありそうな内容で送りつけられる。

そして今回最初に調査したのは、業界最大手「野村證券」を騙るフィッシング詐欺だ。

送信元のメールアドレスは一見すると本物っぽいものもあるが、よく見るとドメインが微妙に異なっている。種類はいろいろあるが、その一部を紹介しよう。

件名は「不正アクセス防止に向けた認証対応のお願い」というもの。

本文は「野村證券を装ったフィッシング詐欺による不正取引が多発しています。」で始まるような “お前が言うなよ” 的な内容だ。

ここから偽サイトに潜入する。

まず、見た目は本物のサイトそっくりだが、URLに注目してほしい。本物の野村證券のURLとは異なるのだ。

ここに「ANA」を装うフィッシング詐欺などで実践した、通称「1攻め」(すべてのフォームに「1」だけを入力する手法)で進んでいくことにした。

そうすると見事にログインができて、そのまま「1攻め」で進んでいく。

そのままログインに必要な情報を、「1」のみで入力したのち、個人情報の抜き取り完了。

数秒後、本物の野村證券のログイン画面に飛ばされる。

この時点で、ログイン情報の抜き取り完了である。ここから乗っ取りに気づくまで、自由自在に不正取引が開始されるということになる。

・その2:「大和証券」を装うフィッシング詐欺

次に「大和証券」を装うフィッシング詐欺を調査していこう。こちらも野村證券と同様、セキュリティ確認を装った偽メールが大量に送られてきている。

一例を出すと「【大和証券】セキュリティ強化のためのシステム更新について」という件名で、本文を簡潔に説明すると「セキュリティシステムを強化したから、ログインして個人情報を再登録してね」というもの。

リンクをクリックすると、URL以外は本物と全く同じ作りになっている。

そして、ここでも「1攻め」が炸裂。

「取引パスワード」の入力フォームでも、適当な英数字を入れると……

認証に成功した……らしい。

そうすると本物の大和証券のページではなく、なぜか親会社の「大和証券グループ」のホームページに飛ばされた。

もちろん、この時点でログイン情報の抜き取りは完了している。

・その3:ネット証券最大手「SBI証券」を装うフィッシング詐欺

3番目に調査したのは、ネット証券最大手の「SBI証券」を装うフィッシング詐欺だ。「SBI証券」の偽メールは、先に紹介した2社に比べてダントツに数が多かった。

その中でも私の迷惑メールボックスで多かったのは、「【SBI証券】セキュリティ環境に関するお知らせ」という件名のもの。

他にもかなりの種類があるが、今回はこの偽メールから潜入する。内容は先ほどの大和証券と同じくセキュリティ強化を謳っているが、少し巧妙だな……と思ったのは「下記リンクよりログインいただき、メッセージボックスにて詳細をご確認ください。」という文言でログインを促しているところだ。

そしてリンクをクリックすると、こちらも本物そっくりのログインフォームが姿を現す。

こちらは「1攻め」で潜入するも、阻まれてしまう。

そこでそれっぽいログイン情報を、それぞれに打ち込んで「ログイン」をクリックすると……

画面中央で数分グルグル回っている。

そして自動的に、本物のSBI証券のホームページに飛ばされた。

個人情報を抜き取るフィッシングサイトは、ログインフォームのみというシンプルな詐欺だが、逆にこういう方が危険だったりする。ネット証券ということもあり、投資家の皆さんには特に注意してもらいたい。

・その4:中堅ネット証券「マネックス証券」を装うフィッシング詐欺

最後に調査したのは、同じネット証券の「マネックス証券」を装うフィッシング詐欺だ。こちらもかなりの数の偽メールが出回っている。

こちらは今までの3社とは違い、「【マネックス証券】簡単ログインで30,000ポイントプレゼント!」など、主にキャンペーンのお知らせという切り口でログインを促している。

他にも「【マネックス証券】お客様限定特典:専属サービスと豪華宿泊・取引優遇のご案内」など、不正ログインなどの「恐怖」で煽るのではなく、「お得度」に全振りしていた。どちらにしても詐欺だけど……。

リンクをクリックすると、もう当たり前のように本物と同じログインフォームが表示される。

さて、このフィッシング詐欺に「1攻め」は通用するのか……

楽勝だった。

「取引タイプ」を選択すると、次のページでキャンペーンに必要ということで「取引パスワード」の入力を促される。

ちなみにここでは「1攻め」が通用しなかったため、それっぽいパスワードもどきを入力すると……

「認証が完了しました」と表示されて……

本物のページに飛ばされた。

しかしなぜかトップページではなく、お客様サポートのページだった。すぐに被害を申告できるよう、配慮してくれたのだろうか? 詐欺のクセに。

・被害に遭わないために

今回4社の証券会社を装うフィッシング詐欺を調査した結果、その手口の巧妙さと危険性がよく分かった。まず4社とも、すべてが本物そっくりのフィッシングサイトということが何より恐ろしい。

実際に連日報道されているほど、被害は拡大している。ただし口座乗っ取りの手口は、ウイルスに感染させて抜き取る方法なども猛威を振るっていることを覚えておいてほしい。そんなあらゆる手口の中の1つが、今回紹介したフィッシング詐欺というわけだ。

というわけで、フィッシング詐欺から身を守る方法として、いつも同じことを言うようだが……

「メールやSMSから、直接サイトにアクセスしないこと」

これを、とにかく徹底していただきたい。

証券口座には多額の資金が入っていることが多く、一度の不正アクセスで取り返しのつかない損失を被る可能性がある。公式アプリの利用、二段階認証の設定、定期的な取引履歴の確認など、複数の防御策を組み合わせることで、大切な資産を守ることができるだろう。

投資で利益を得ても、不正アクセスによって被害を遭ったら元も子もない。まずはセキュリティ対策をしっかりと行うことが重要ではないだろうか。詐欺グループの手口は日々進化しているなか、この記事が被害防止の一助になれば幸いである。

参考リンク:野村證券大和証券SBI証券マネックス証券
執筆:耕平 
Photo:RocketNews24.

▼メールからのログインは絶対にダメ!