「メールやSMSから直接サイトにアクセスしないこと」

毎日200通を超える詐欺メールを受信し、その手口を分析し続けてきた自称「フィッシング詐欺研究家」として、これまで数々の偽メールや詐欺サイトに潜入調査を行ってきた私(耕平)が、常に警告し続けてきたことだ。

そんな私が先日、人生で初めてフィッシング詐欺に引っかかってしまった。その相手は国内最大級のチケット予約・購入サイト「e+(イープラス)」を装うもの。

その手口の巧妙さは、これまで遭遇した詐欺の中でも群を抜いて恐ろしいものだった。暴く側として発信し続けた立場として恥ずかしい限りだが、同じ被害に遭う人を一人でも減らすため、その一部始終を赤裸々にお伝えしたい。

・史上最高レベルの偽メールに完全敗北

まず驚愕したのは、偽メールのクオリティだ。件名は「【e+】 大切なお知らせ:未ログイン会員の退会について」というもので、長年ログインしていない会員の退会処理についての連絡だった。

送信元アドレスは「not-reply@eplus.co.jp」で、本物のドメインを完全に偽装している。これまで数千通の詐欺メールを見てきたが、本文の内容も一切の違和感を感じることはなかった。

メール本文には「このたび、eplusではお客様の個人情報をより一層安全に保護するため、会員規約第7条1項-(8)に基づき〜」とあり、実際に私はイープラスの登録はしていたものの、ここ数年ログインしていなかった。まさに私の状況と完全に一致する内容だったのだ。

特に巧妙だったのは、配信頻度。

よくある絨毯爆撃的な連続送信ではなく、2週に1回程度というリアルな企業の案内メール頻度で送られてきた。この絶妙な頻度設定が、私の警戒心を完全に解いてしまった。

さらに恐ろしいのは、メール末尾に記載された「登録メールアドレス「●●」宛てに、「【重要】 イープラス会員の退会に関するご案内」という件名で通知を送信しております。」という文言。

このようなメールを本当に過去に受け取っていたので、ちゃんとシナリオが組み込まれていることになる。こんな巧妙な偽メールは初めてだった。

・完璧すぎる偽サイトで個人情報を入力

メール内のリンクをクリックすると、本物そっくりと思われるイープラスのログイン画面が表示された。

URLは「cool-eupisam.jp/」となっている。

いつもの私であれば、この本物に寄せたURLを怪しいと気づけていたかもしれない。しかし、あまりに事が自然に流れているため、この時点では確認すら怠っていた。

「とりあえず、ログインしなくちゃ……」

未ログイン会員の退会処理の連絡だったので、何の疑いもせず実際の登録メールアドレスとよく使うパスワードを入力してしまった。

すると、まるでログインに成功したかのようにCAPTCHA画像認証画面が表示された。

今まで推定100以上のフィッシングサイトを見てきたが、この画面が表示されたことは1度もない。自然な流れからのセキュリティ強化も加わり、全くフィッシング詐欺を疑う余地はなかった。

認証を突破すると「届け先確認」というページに移動し、会員番号や個人情報の入力フォームが現れた。

何の疑いを抱くことなく個人情報を入力していく。

住所や電話番号を入力し、下にスクロールしていくと、クレジットカード情報の入力フォームが表示された。

「待てよ?」

ここで、初めて疑問を抱いた。通常クレジットカード情報は別ページで入力するはずなのに、個人情報と同じページに表示されているのは明らかにおかしい。

・騙されたことに気づいた瞬間の絶望

不審に思った私は急いでログイン画面に戻り、昨今流行っている証券会社を装うフィッシング詐欺などで実践した、通称「1攻め」(すべてのフォームに「1」だけを入力する手法)を試みる。

すると、何の問題もなくログインができてしまった。この瞬間、完全にフィッシング詐欺だったことを確信した。

改めてURLを確認すると、本物のイープラスのURL「eplus.co.jp」とは全く異なっていた。完全にやられてしまったというわけだ。さらに検証を続けると、すべての入力フォームに「1」だけを入力しても問題なく先に進むことができた。

そして「登録する」ボタンを押すと画面が真っ白になり、数秒後に「File not found.」というエラーメッセージが表示される。

おそらく、この時点で入力した情報がすべて抜き取られていたのだろう。

急いで本物のイープラスにログインし、パスワードを変更。さらに登録していたクレジットカード情報もすべて削除した。幸い、クレジットカード情報は入力していなかったため、金銭的な被害を免れることができた。

・自称研究家でも騙される詐欺の防止策

今回の体験から学んだ防止策をまとめてみたい。まず、どれだけメールの内容が自然で、サイトのクオリティが高くても、メールからのリンクは絶対にクリックしてはいけない。私自身、いつも警告していることだったが、完璧に罠にはまってしまった。

特に今回の詐欺が恐ろしかったのは、以下の要素が完璧に揃っていたことだ──。

・本物のドメインを完全偽装
・実際の利用状況と合致する内容
・リアルな配信頻度
・本物そっくりのサイトデザイン
・CAPTCHA画像認証という新しい手法

これらすべてが私の警戒心を麻痺させた。特に「長期間ログインしていない会員への案内」という設定は、多くの人に当てはまる可能性が高く、非常に危険だ。

もしイープラスからメールが届いた場合は、必ずブラウザで直接「eplus.co.jp」と入力してアクセスするか、公式アプリを使用してほしい。また、定期的に登録サービスにログインして状況を確認することも重要だ。

・自戒を込めた最終警告

今回の体験は、どれだけ経験を積んでも油断は禁物だということを痛感させられた。詐欺グループの技術と心理戦術は日々進化している。実際数々のフィッシング詐欺の情報を発信している、自称「フィッシング詐欺研究家」の私でさえ、騙されたくらいだ。

特に恐ろしいのは、今回の詐欺が私の実際の利用状況と完璧に合致していたことだ。おそらく何らかの方法で個人の利用履歴を調査し、ターゲットを絞り込んでいる可能性があると考えている。

改めて強調したいが、フィッシング詐欺から身を守る絶対的な防止策は……

「メールやSMSから、直接サイトにアクセスしないこと」

どれだけ本物らしく見えても、必ずブラウザで直接公式サイトにアクセスするか、公式アプリを使用してほしい。私のような恥ずかしい失敗を犯さないよう、この記事が一人でも多くの人の被害防止に役立てば幸いである。

参考リンク:イープラス「【注意喚起】イープラスを騙った不審なメール等にご注意ください」 
執筆:耕平 
Photo:RocketNews24.

▼後日、再び偽メールからリンクを踏むと、アプリのダウンロードページに飛ばされた