こんばんは,えの吉です。皆さんはフィッシング詐欺はご存じでしょうか。偽装したサイトやメールでユーザーを誘導し,クレジットカードやネット銀行のID,パスワードを盗み取る(ユーザーに自発的に入力させる)詐欺です。ちなみに英語は「fishing」ではなく「phishing」のようです。自分自身,こんなの引っかかる人いるんだろうかと思っていたのですが,かくいう自分が,まんまと引っかかってしまったことがあります。。手口が巧妙だったのと,当時の自身の状況がうまく重なってしまったいう,正にスイスチーズモデルで言うところの,チーズの穴どうしが繋がってしまった状態でおきた訳ですが。。兎に角,最近のフィッシングは巧妙化していますし,その具体的な手口を知ることはとても重要だと思います。
今回は,自分がApple系のフィッシング詐欺に引っかかった事例と,Apple系フィッシング詐欺のバリエーションの紹介,最近のETCカード系の事例,さらにこれらの見破り方を記事にしてみました。
AppleID系のフィッシング
フィッシングされた男の話
2019年の10月末ごろです。時間は,家族に「おやすみ」と言って,自室で1人の活動をし始めた頃でしょうか。所有のiphoneのメールをチェックすると下記のメールが届いていました。
数カ月前に,メインのクレジットカードの有効期限切れに伴う更新と,各種支払い先へのカード情報の更新をやっていたので,まだやり忘れがあったかと思いました。実際のところ,有効期限切れのため,これまで何度も支払いが滞って,別途マニュアルでコンビニ支払いして翌月から新しいクレジットで引き落とし,ということが何度もあったのです。なので,「Appleの更新は漏れていたか!」と思い,早速画面の『支払いの更新』ボタン押し(今考えると『支払いの更新』って変な日本語ですが。。),『AppleIDでログイン』と思って入力するのですが,なかなかログインできません。
ただ,なぜかクレジットの入力画面には行けたので,無事?有効期限が更新された新しいカードの情報を入力を行いました。これで,Appleの支払いも対応して,この一連の面倒なカード有効期限更新の雑用からは解放!!と喜んでいました。
そして翌日・・・
見慣れない,市外局番06-からの電話の着信があり。なんだか怪しいと思いながらも,恐る恐る電話をかけてみると(ここだけは妙に慎重。。)クレジットカード会社だでした。そのクレジットカード会社は,上で書いたメイン使いしているカードの会社だったのですが,カード会社から掛かってくるのは何か怪しいと,かなり警戒して電話対応をしました(ここだけは妙に慎重。。)。
話を聞くと,前日に当該カードでUSJの入園券をあり得ない枚数買った履歴がある(数十万円分!!)とのこと。これを異常なカード利用と判断して頂き,カードを止めた,とのことでした。
そこで初めて,「あっ!!」と思いました。慌てて,USJの券購入以外で怪しいところはないか,また何度もリトライして入力してしまったAppleIDも慌てて新しいパスワードに変更しました。そう,まさかの自分がフィッシングの被害者になってしまったのです。その瞬間,この程度の詐欺に引っかかってしまった自分に対してとても情けなく,悔しい思いがしました。が,済んでのところ,金銭被害はゼロだったので助かったのでした。(その後,有効期限を更新したばかりのカードを破棄し,再度新しいカードを発行し,再び支払先でのカード情報更新をしました。。)
引っかかってしまった理由
引っかかってしまった理由はなんでしょうか?『自分だけは大丈夫と思っていた』から。。ではないです。なんとなく教訓めいた文脈でよく言われる理由ですが,実際引っかかってみて,全然違います。
理由は,単にフィッシングの手口を知らなかったからです。自分自身,フィッシングは銀行のHPがハッキングされて,そこに間違ってログインしたときのみに生じる特殊事情だと思い込んでいました。フィッシングなるものには絶対に引っかかりたくないと思い,ネット銀行のURLにアクセスするときは細心の注意を払っていました。しかし,フィッシングの手口のバリエーションを知らなかったのです。メールに対しては,「文面に記載された怪しいURLをクリックしない!」という程度の注意しか払ってなかったのです。
他に,最後まで気づけなかった理由は,先に書きましたが,ちょうどそのときカードが有効期限を迎えていたこと,仕事で疲れて夜一人の自由時間になったタイミングでメールが来て,面倒なことはさっさと済ませたかった事(これで思考停止になったこと),これらが全て重なってしまったことが原因だと考えています。これのどれか一つがなければ気づけたと思います。まさにスイスチーズの理論で全て同時に揃ったことで,起きてしまったことです。その結果,自分が想定外のフィッシングに引っかかってしまったという訳です。
箇条書きでまとめると以下です。
- フィッシングのこと,またそのバリエーションを良く知らなかった
- メールが来た時点でちょうどクレカの有効期限を迎えていてタイムリーだった
- メールが来た時に仕事で疲れて面倒なことを済ませたい気分だった
- 上記3つが重なってしまった
4つめの事象が重なってしまうことですが,これこそまさにフィッシングが狙うところで,不特定多数にメールを送り付けて,その中で1~3を同時に満たす数少ない人間を陥れるという手口です。2,3はなかなか防ぎようがなく,4は一定確率が起きるので,やはり重要なのは1だと思います。
詐欺の手口を知ることは重要ということで,次に,Apple系のバリエーションと,新手のフィッシング詐欺について紹介したいと思います。
Apple系のバリエーション
下の写真はメールの受信ボックスを『Apple』で検索したものです。関係ないものも含まれていますが,どれが本物でどれが偽物か分かりますでしょうか?
次に,Apple系のフィッシングメールのバリエーションになります。昔の迷惑メールや,今でもよく見る金銭系やエッチ系のものと比べると,かなり巧妙に偽装しています。
一方,以下は本物ですので間違いないようにお願いします。
新手のフィッシング
次に最近見た中で巧妙だと思った新手のフィッシング詐欺の1つETC更新系の事例を紹介します。自分自身,メールを開いた一瞬だけ,「そういえば使ってないけどいろいろETCカード複数発行したし,そのうちのどれが有効期限迎えたのかなぁ」と思ってしまいました。さすがに記載のURLにアクセスする勇気はなく,何が起こるのか分かりませんが,ETCカードという題材からすると,カード情報抜き取りを狙ったものと推測します。ETCカードを別途発行した方など,ETCカードは有効期限の確認が疎かになりがちですので,一瞬「そうかも」と思ってしまう場合があると思います。注意しましょう!!
見破り方
最後のこの手のメールでのフィッシング詐欺の見破り方です。やり方は簡単です。下の写真のように,送信元の『Apple』をタッチして,メールのアドレスを確認しましょう。Appleドメイン(apple.com)でなく,ID(@の前の文字列)がランダムな文字列の場合,偽装メールです。
まとめ
今回は,自分がApple系のフィッシング詐欺に引っかかった事例と,Apple系フィッシング詐欺のバリエーションの紹介,最近のETCカード系の事例,さらにこれらの見破り方について紹介しました。私は事なきを得ましたが,クレジットカード会社がちゃんとしてなかったら,カード会社に気づかれないような少額請求を継続的にされていたら,と思うとぞっとします。今回の記事を読んで頂いて,フィッシングの被害が減ることに少しでも役立ては幸いです。