2020年9月から始まった「マイナポイント事業」。ご存知の通り国の肝入り政策で、登録すると最大20000円分のポイントが付与されるキャンペーンを展開している。そして2023年9月末に2年間続いたキャンペーンが終了する。
総務省の統計によると、8月末時点でマイナンバーカードの保有状況は国民全体の70%を超える結果となっている。しかし逆の意味で言えば、残りの約30%……すなわち3000万人くらいの人が現時点で申請していないことになる。
思うところがあり自らの意思で登録しない人もいれば、申請を忘れている人もいるかと思うが、そういった層を付け狙うフィッシング詐欺が横行している。それが『マイナポイント』を装ったフィッシング詐欺だ!
まさにトレンドも相まって、騙される人も多いかもしれない……ということで、私(耕平)が入口の偽メールの分析から、個人情報を抜き取るまで潜入してみたので、その一部始終と防止策をお伝えしよう!
・偽メールの中身
まず入口である偽メールの中身を見ていこう。現在、私の迷惑メール専用ボックスには2種類の偽メールが確認されている。1つは「【マイナポイント第2弾】20,000円分のポイントプレゼント!」という件名のもの。
差出人名は「マイナポイント事務局」となっている。メールの内容もHTML形式で見た目は本物っぽい。ただし、送付元のメールアドレスをよく見ると……
「ad.apple.com」???
マイナンバーカードの管轄官庁は総務省……すなわち政府機関だ。一般的に政府機関のメールアドレスのドメインは「go.jp」。それが「apple.com」になっている時点で、分かる人には完全にアウトである。
そして下にスクロールしていくと、「■マイナポイントの申し込み方法です?」などの、怪しい日本語の類が見受けられる。
それからもう一つは、同じ件名で差出人も同じだが、内容がテキスト形式のものだ。
こちらの偽メールは先ほどのものとは違い、怪しい日本語の類は一切見受けられない。そして何より恐ろしいのは、本物っぽい差出人のメールアドレスを使用していることだ。
先ほど指摘した政府機関のドメインである「@soumu.go.jp」を偽装していて、なおかつ「@」の前に「mynumbercard」となっている。なので、メールアドレスを判断材料にするのは危険だということ……だが、後述することを覚えておけば、心配する必要は全くないので安心していただきたい。
・個人情報を抜き取る偽サイトの中身
それではメールにあるリンクから、偽サイトに移動して個人情報を抜き取るまでの手口を見てみよう。まずはメール内のリンクをクリックすると、いかにも本物っぽい感じのサイトに飛ばされる。
ただし、URLをよく見てみると……「hanlemtion.com/msg」と政府機関のURLとは異なっている。
ちなみに総務省のマイナポイントの特設ページのURLは「mynumbercard.point.soumu.go.jp」だ。他にも同じ模倣したサイトの作りで、複数の偽のURLが使われていることが確認されている。
しかしURL以外は、見事と思えるほど本物と変わらない。
と、思ったら……
ミナポイント???
あぁ、惜しい。そういうとこなんだよ……詰めが甘いというか、大事な次のページに行くためのリンクボタンの文字でこの失態。自称「フィッシング詐欺研究家」としては、こういうのを見てしまうと、それだけで気持ちが萎えてしまう。
とはいえ、個人情報を抜き取るまでの潜入は続けなければならない。というわけで、クリックすると……
個人情報の入力フォームに進んだ。
いよいよ、ここから個人情報の抜き取りが始まる。そこで私はヤマト運輸を騙るフィッシング詐欺などでも使用した、すべての入力欄に「1」だけを打ち込む、通称「1攻め」で潜入を試みる。
が、最近のフィッシング詐欺は進化しているので、簡単に跳ね返される。
そこで「1」だけではなく、それっぽく適当な数字や名前などを入力。
住所も適当に入力して……
「申込む」のボタンをクリック!
そうすると、クレジットカードの情報を入力するフォームに進んだ。
とりあえず、適当な情報を打ちこんでみると……
やはり弾かれてしまう。
そこで、過去に使用して解約したフィッシング詐欺対策用の情報を打ち込んでみる。
そして「申込む」をクリックすると……
クレジットカードの暗証番号入力のページに移動。
ここは適当な数字を打ち込んで、送信をクリック。
すると、本物の総務省が運営するマイナポイントのページに飛ばされた。
一通り情報を抜き取った後に本物のページに飛ぶパターンは、もはや定番。この時点で悪用される条件が全て整った個人情報の抜き取りが完了だ。
・被害防止のためにたった1つ覚えておくこと
今回、紹介した『マイナポイント』を装うフィッシング詐欺は、申込締切間近という緊急性を狙った悪質なものだ。しかし、これだけ覚えておけば絶対に被害に遭わないというものがある。
それは以前、紹介した「国税庁」を名乗るフィッシング詐欺でも、お伝えしたときと同様……
「総務省から、個人のメールアドレス宛に直接連絡が来ることは絶対にない」
ということだ。行政から何か案内があるときは、基本的には郵送でアナウンスが来る。なので、行政関連の案内がメールで送られてくるようなら100%詐欺だと覚えておけば、まず被害に遭うことはないだろう。
そして、毎回アナウンスしているが……
「メールやSMSから、直接サイトにアクセスしないこと」
これがフィッシング詐欺から身を守る絶対的な防止策だ。
──というわけで、この記事をよく読んでいただくことで被害拡大防止の一助になれば幸いである。
参考リンク:総務省「マイナンバー制度に便乗した不正な勧誘や個人情報の取得にご注意ください!」
執筆:耕平
▼その他のフィッシング詐欺関連の記事はこちら
【注意喚起】PayPay銀行を名乗るフィッシング詐欺に潜入した結果…今までに無いパターンに遭遇した
【危険度大】「三井住友銀行」を名乗るフィッシング詐欺が横行中 / 本物そっくりのクオリティに最大限の注意を
【緊急警報】「東京ディズニーランド」を名乗る新手のフィッシング詐欺が横行中! ディズニーファンは最大限の警戒を
【注意喚起】2023年版! ヤマト運輸を装うフィッシング詐欺が横行中…防止策を今流行りのアレに聞いてみた
耕平
