このページの本文へ

フィッシング詐欺の溜まり場から愛を込めて 第3回

ユーザー数1000万人超! フィッシング詐欺にはもってこい!?

私のクレカ情報を求めて偽のモバイルSuicaが釣り竿を垂らしてきた

2023年07月29日 17時30分更新

文● せきゅラボ/村山剛史

  • この記事をはてなブックマークに追加
  • 本文印刷

モバイルSuicaはクレジットカードと紐づいていますので、フィッシング詐欺にはもってこい(?)のサービスと言えるでしょう

確実にクレジットカードと紐づいているサービスは狙い目

 筆者のもとに届いた詐欺メールを紹介する連載、3回目は「モバイルSuica」を騙るフィッシングメールです。

 フィッシング詐欺の目的は主に金銭を得ることですから、いかにクレジットカードや銀行口座を含む個人情報を窃取できるかが重要となります。とは言え、不特定多数にメールやSMSを送り付けるわけですから、できるだけ利用者が多いサービスの組織・団体を騙る必要もあります。

 つまり、騙る相手を慎重に選ばなければなりません。私のもとに届くフィッシングメールもAmazonのようなメジャーECサイトのほか、メガバンクやカード会社といった数百万人から一千万人以上を顧客に持つサービスを騙るものが大半。届く数に比して、組織・団体名のバリエーションは案外少ないのです。

 その観点では今回取り上げるモバイルSuicaは日本においてベストに近い対象と言えるでしょう。JR東日本のカード型乗車券Suicaをスマホで利用できるアプリサービスとして2006年に誕生し、会員数は2020年に1000万人を超えたほか、発行数に至っては2023年に2000万枚を突破しています。

悪意ある人たちの目的はクレカ情報です

筆者に届いた件名は、『【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて』でした

 上記はモバイルSuicaを騙るフィッシングメールのなかでもポピュラー寄りなものと思われます。筆者のもとにも同一のデザイン・文面で数通届いています。ただし、差出人のメールアドレスはすべて異なりますが。

 勝手にロゴを拝借してモバイルSuica公式(JR東日本)に成りすまし、アカウントと紐づいているクレジットカードの与信手続きに失敗したと偽ることでユーザーを騙し、文中のリンク先から偽のWebサイトに誘導します。

 そしてアカウントとクレジットカードの情報を入力させてそのまま盗み取る、というのが一連の手口と見られます。リンクの文字列は本物同様ですが、実際に飛んだ先は偽のWebサイトなので注意してください。

文章は稚拙だが、リンク先の偽Webサイトは本物そっくり

ひと目で『胡散臭い』とわかりますが、絶対にリンクをクリックしてはいけません

 筆者に届いたモバイルSuicaを騙るフィッシングメールのなかで、2番目に多かった内容が上記です。紐づいたクレジットカード云々ではなく、単純にアカウント更新を促す内容なのですが、肝心の文章が1000万ユーザーを抱えるサービスから送られてきたとは思えません。

 「このままの状態で何もしない場合、アカウントが永久に停止される可能性があります」という機械翻訳じみた文章を読まされて疑念を抱かない日本人はいないでしょう。

 メールの件名も、「[最終警告]モバイルSuicaから情報を更新してください」という胡散臭いもので、比較的フィッシング詐欺だと判断しやすいかと思います。ただし、アカウント情報を入力させるために作られたリンク先の偽Webサイトは良い出来で、おそらく真偽の判別はつきませんので油断しないように。

フィッシング詐欺だとニセモノを見破る簡単な方法は?

 モバイルSuicaの公式サイト内では、個人情報の入力を促す不審なメールが存在すること自体は紹介されているものの、具体的な判別方法までは書かれていません。

 ユーザーができる対策は、アカウント情報を入力させようとするメールが届いてもリンクを触らず、(毎度書いていることですが)自分で検索した公式サイトから問い合わせることです。もちろん、2番目にご紹介したような怪し過ぎるメールは無視・削除が一番です。

 今後、みなさんのもとにフィッシング詐欺のメールやSMSが届いたら、フィッシング対策協議会に報告すると良いでしょう。

カテゴリートップへ

この連載の記事