数あるフィッシング詐欺の中でも、私(耕平)の心を一瞬グラつかせる強敵が現れた。

なんと、アメリカン・エキスプレスの最高峰「センチュリオン・カード」を装うフィッシング詐欺だ。世間ではブラックカードとも呼ばれ、選ばれし者にしか招待状が届かないという、あの伝説のカードである。

私は以前にも「アメリカンエキスプレス」を名乗るフィッシング詐欺に潜入したことがあるが、今回は格が違う。なぜなら相手はカード界の頂点と言われる、センチュリオン。

そのインビテーション(招待状)は、もちろん偽メール……果たして、どんな手法で個人情報を抜き取るのか? 今回も潜入してきたので、その全貌をお届けしたいと思う。

・入口の偽メールのクオリティは過去最高?

まず私のメールボックスに届いたのは、「センチュリオン・カード 限定入会招待のお知らせ」という件名のメールだった。差出人は「American Express」を名乗っている。

開いてみると、びっくりするくらいクオリティ高っ!

漆黒の背景に、おなじみの古代ローマの兵士が描かれたセンチュリオン・カードのビジュアルがドーンと表示されている。「PRIVATE INVITATION」の文字も気品が漂っている。

そして文面には「アメリカン・エキスプレス・カード会員様 選ばれた方に究極の象徴を」と、私みたいな富裕層に憧れる一般市民が好きそうなキャッチコピーが興味を引く。

下にスクロールすると「期間限定・ウェルカムポイント 本招待を通じてご入会いただいた会員様へ、50000メンバーシップ・リワードポイントを特別に進呈いたします。」という案内と、「ACCEPT INVITATION」のボタンが鎮座している。もはや完璧な招待状の体裁だ。

しかし、ここで冷静になってほしい。センチュリオン・カードは、入会金55万円、年会費55万円とも言われるカード界の頂点。プラチナカードでの多額の利用実績や長期間の取引関係をクリアした、ごく一部の人にだけ届くものらしい。

しかも本物のセンチュリオンの招待は、重厚な箱入りの郵便物で届くと言われている。高級感のある専用の案内状が、いわば「体験」として届くのが通常だ。それがメール一本で「こちらからお申し込みください」というスタイル。どう考えても道理に合わない。

そして決定的なのは、私はもう何年も前にアメックスを解約しているということ。利用実績ゼロの人間に最高峰の招待状が届くわけがない。これはもう、フィッシング詐欺で確定だ。

・通称「1攻め」は通用せず

フィッシング詐欺だと分かっていても、潜入して全貌を解明するのが私の使命。「ACCEPT INVITATION」のボタンをクリックして、内部に潜り込んでみる。

すると、表示されたのはアメリカン・エキスプレスのログイン画面。URLは「amkanrikyo.com/aycczyom/login」と、本家とは似ても似つかないが、サイトの作りは本物と見分けがつかないクオリティだ。

ここで毎度おなじみの登場である。すべての入力欄に数字の「1」のみを打ち込む、通称「1攻め」を試してみることにした。

ユーザーIDとパスワードの欄に、それぞれ「1」を1文字だけ打ち込んで「ログイン」をクリック。すると……

「ユーザーIDまたはパスワードが正しくありません。」と、拒否された。さすがに最近のフィッシング詐欺は、「1攻め」対策がしっかり施されているケースが増えている。

こんなこともあろうかと、フィッシング詐欺対策用に作っておいた、それっぽいIDとパスワードを入力する。ID、パスワード欄にも適当な英数字を打ち込んで再度ログインを試みると、無事に次の画面へ進むことができた。

・カード情報をガンガン抜き取りにくる悪質さ

ログインに成功すると、次に現れたのは「本人確認」のページだった。

「ご本人確認のため以下の質問にお答えください。カード表面のカード番号右上に表示されている4桁のセキュリティコードをご入力ください」と、本人確認を装ってカード情報を抜き取りにくる。

ここでも対策用のダミー番号を入力して「次へ」をクリックすると、続いて「カード情報の認証: 3桁のセキュリティコード」のページに誘導された。

今度はカード裏面の3桁のセキュリティコードを要求してくる。表面の4桁と裏面の3桁、両方を取りにくるあたりがエグい。ここも適当な数字を打ち込んで進むと……

ついに「本人認証情報の登録」というページに到達。ここでEメールアドレス、携帯電話番号、4桁の電話用暗証番号という、これまた大事な個人情報を一気に要求してくる。

それぞれにダミーの情報を打ち込んで、「更新する」のボタンをクリック。さらに次のページでは認証コードの入力を求められた。

そして最後の砦、「カード情報をご入力ください。」のページ。15桁のカード番号、4桁のセキュリティコード、カード有効期限を入力するフォームが現れる。

ここまで来ると、もう個人情報の総取り状態だ。すべて適当な情報を打ち込んで「次へ」をクリックすると……

画面がグルグル回り始めた。

そう、以前潜入した「冬季節電促進助成金」を装うフィッシング詐欺と同じパターンで、グルグル画面のままそこから一切進展しない状態に陥ったのである。おそらくこの時点で、入力した情報はすべて抜き取られた後ということだろう。

・被害に遭わないために

今回のセンチュリオン・カードを装うフィッシング詐欺は、入口のメールのクオリティがかなり高く、本物のアメックスのブランディングをうまく利用していた。

しかし、冷静に考えれば見抜けるポイントは複数ある。まず、本物のセンチュリオン・カードの招待は重厚な箱入りの郵便物で届くのが通例で、メールでカジュアルに案内されることはまずない。

次に、メールの差出人ドメインを確認すれば、本物の「@americanexpress.com」や「@aexp.jp」とは異なる怪しいドメインから送られていることが分かる。

加えてフィッシングサイトのURLも、「amkanrikyo.com」という、アメックスとはまったく関係ないドメインだった。本物のアメリカン・エキスプレスのログインページは「americanexpress.com」のドメインで提供されている。

ちなみにアメリカン・エキスプレスの公式サイトでも、フィッシング詐欺に関する注意喚起ページが用意されているので、一度目を通しておくことをオススメする。

──以上、最高峰カードを装う豪華なフィッシング詐欺の全貌だ。最後にいつも口酸っぱく言っていることを、もう一度繰り返したい。

「メールやSMSから、直接サイトにアクセスしないこと」

これに尽きる。どんなに豪華な招待状が届いても、心当たりがなければスルーするのが鉄則だ。本記事が被害拡大防止の一助になれば幸いである。

参考リンク:アメリカン・エキスプレス「フィッシング(なりすまし)詐欺にご注意ください」
執筆:耕平 

▼漆黒の偽メールのクオリティが高すぎる