日々進化するフィッシング詐欺。私(耕平)の迷惑メール専用ボックスには、毎日200~300通もの詐欺メールが舞い込んでくる。

これまで複数の証券会社AmazonPayPayなど様々な企業やサービスを装った詐欺メールを紹介してきたが、今回は今までに見たこともない新手のフィッシング詐欺が目に飛び込んできた。その差出人名は、なんと……

『警察庁』

件名を見ると「警察庁:あなたはギャング活動」という意味不明な日本語。こんなものが詐欺メールであることは一目瞭然だが、逆に新鮮さを感じる。今回はこの前代未聞の詐欺メールに潜入し、その手口と防止策をお伝えしよう。

・あり得ない差出人と意味不明な本文

それでは思わず「えっ?」ってなってしまうような、詐欺メールの中身を見ていこう。

冒頭で述べた通り、差出人名は「警察庁」となっている。しかし送信元のメールアドレスは「1hj9ufeeyl66@akwt.com」という、明らかに怪しげなものだ。

本物の警察庁のドメインは「@npa.go.jp」。そもそも日本の行政機関のドメインは「.go.jp」で終わるものがほとんどなので、この時点で偽物と見破れる。

メールの本文は驚くほど簡素で、「あなたはギャング活動に関与しています、以下の口座に150万を振り込んでください。」

という一文と、その下に口座番号がズラリと並んでいるだけ。何の根拠も証拠も示さず、日本なのに「ギャング」という単語を使い、そしてなぜか「150万円」という中途半端な金額を要求している。

記載されていた口座番号は、すべて「三菱UFJ銀行」のもの。調べてみたところ、すべてが実在する口座番号だった。

おそらく何らかの方法で入手した「捨て口座」と呼ばれるものだろう。

また、メールの署名部分には「警察庁〒100-8974 東京都千代田区霞が関2丁目1番2号電話番号 03-3581-0141(代表)※留意事項」と書かれている。

が、住所と電話番号は本物である一方、「※留意事項」の後に何も記載がない。こういったマヌケすぎる不備も、詐欺メールを見破るポイントとなる。

・通常のフィッシング詐欺との違い

この「警察庁」を名乗る詐欺メールは、これまで私が調査してきた典型的なフィッシング詐欺とは明らかに異なる特徴を持っている。

通常のフィッシング詐欺では、まずメールからリンクをクリックさせ、偽サイトへと誘導する。そこで個人情報やクレジットカード情報を入力させ、最終的には本物のサイトに飛ばして「何事もなかったかのように」装うというのが一般的な流れだ。

また「楽天銀行」を装うフィッシング詐欺のように、IDとパスワードのみを抜き取る「シンプルタイプ」も存在する。これは一見シンプルだが、「ログインできれば何でもできてしまう」という点で非常に危険性が高い。

しかし今回の「警察庁」詐欺メールにはこうした偽サイトへの誘導リンクは存在せず、単純に「ここに振り込め」という露骨なタイプの詐欺メールだ。フィッシング詐欺の「進化形」というより、むしろ「原始的」な手口と言える。

それでいて150万円という大金を要求する大胆さ。これは典型的な「恐怖心を煽って冷静な判断力を奪う」という詐欺の古典的手法だが、あまりにも雑すぎる作りのため、冷静に見れば誰でも詐欺だと気づくレベルだろう。いわば……

「振り込んでくれたら、超ラッキー!!!」

的なもの。おそらくリスト業社から買ったメールアドレスにBcc送信で一斉にメールを送るだけだから、労力も大して伴わない。

・本物の警察庁からはメールが来ない

さて、ここまで「警察庁」を名乗る詐欺メールの手口を見てきたが、最も重要な知識をお伝えしよう。それは……

「警察庁から個人のメールアドレス宛に重要な連絡が来ることは絶対にない」

これを覚えておいてほしい。行政機関からの連絡は、基本的には郵送で行われる。特に罰金徴収や犯罪告発といった重要な案件を、メールで連絡することはあり得ない。

したがって、「警察庁」や「〇〇警察署」などの公的機関を名乗るメールが届いた場合、まずは詐欺メールだと疑うべきである。

また、以下のポイントも覚えておくと良いだろう。

・行政機関のドメインは「.go.jp」で終わる
・公的機関から罰金などの支払い要求がメールで来ることはない
・「ギャング」「犯罪組織」など曖昧な表現で犯罪を告発することはない
・身に覚えのない犯罪について突然連絡が来ることはない

・被害に遭わないために

今回紹介した「警察庁」を名乗る詐欺メールは、見た目の怪しさから比較的見破りやすいものだった。しかし、今後より巧妙化する可能性は十分にある。

例えば「三井住友銀行」を名乗るフィッシング詐欺のように、本物そっくりのメールやサイトを用意し、「カードの不正利用が確認されました」などと不安を煽り、個人情報を入力させるというパターンが多い。

また「SAISON CARD Netアンサー」を騙るフィッシング詐欺のように、本物のドメイン(@saisoncard.co.jp)を武装した高クオリティな偽メールという、最強クラスの手口もある。

それらに比べると今回の「警察庁」をかたる詐欺メールは雑すぎるものの、この手の「恐怖心を煽る」詐欺は、高齢者や情報リテラシーの低い人々を標的にしていることが多い。自分が騙されないことはもちろん大切だが、周囲の人々にも注意を促すことが重要だ。

最後に、毎回お伝えしているフィッシング詐欺防止の絶対的な対策を改めて強調しておきたい。

「メールやSMSから、直接サイトにアクセスしないこと」

これに尽きる。もし本当に警察庁からの連絡が必要な場合は、必ず郵送か直接の訪問があるはずだ。不審なメールを受け取ったら、まずは冷静に、そのメールの信頼性を確認する習慣をつけよう。

というわけで、この記事が被害拡大防止の一助になれば幸いである。

参考リンク:警察庁「フィッシング対策
執筆:耕平 
Photo:RocketNews24.

▼この記事の執筆時現在、「捨て口座」は凍結されていた