偽ペイパルからフィッシングメールが届いた話

クリスマスの日に届いたのはサンタのプレゼントではなくフィッシングメールでした。

一瞬本物かと思ってしまいましたが、よく見ると怪しい所がいっぱい。

手口を知ることで騙されるのを防げるかもしれません。メールの内容と詐欺と気づいたポイントについて書きました。

スポンサーリンク

ペイパルとは

ご存じの方も多いと思いますが、PayPal(ペイパル)というのは、インターネットを利用した決済サービスの一つです。クレジットカード情報を相手に知らせること無くお金のやり取りができます。主に海外ショッピングサイトでの支払いに使います。

運営しているのは同名のアメリカ大手企業。世界中で多くの人々に利用されているサービスで、本物であれば決して怪しいものではありません。

今回はその知名度を利用しペイパルになりすました詐欺師がメールを送ってきたんです。

メールのスクリーンショット

詐欺メールのスクリーンショットを貼っておきます。

メールに記載されているアドレスには絶対にアクセスしないでください。

(後で書きますが、本当にやばい「フィッシングサイトのURL」は目に付かないよう隠蔽されています。ですが、メール内のそれ以外のアドレスへもアクセスしたりメールを送ったりするのは控えてください。)

※画像をクリックすると新しいタブで大きいサイズが開きます。

要約すると「海外から怪しいアクセスがあったから下のURL(偽サイト)にアクセスして確認してね~」というメールです。

信頼できる送信者(大嘘)

メールのトップに「このメッセージは信頼できる送信者からのものです」とあるので、メールソフト(Outlookメール)が安全だと判断したように見えますが違うんです。本物だと信用させるための罠です。

実は、メール本文にその文言が書き込まれてるんです。背景に色がついているのでメールソフト側のメッセージに見えますが、本文内で色を付けてるだけ。「メール本文はテキストのみ」という先入観を利用したトリックですね。

つまり「信頼できる送信者からのものです」と書いたのは詐欺師本人なんです。

自分で自分のことを「信頼できる送信者」とか言っちゃうヤツが信用できるわけ無いだろうと。この時点でなりすましメール確定です。

(メールには「テキストメール」と「HTMLメール」があります。前者は文字だけですが、後者は色を付けたりフォントサイズを変えたりでき、レイアウトの自由度が高いです。)

差出人のアドレスが怪しげ

paypal.comに偽装してるのかなぁと思いきやクッソ怪しげなアドレスじゃあないですか!

なんですかこの謎の文字列は、怪しさ満載です。ドメインの部分はもっとシンプルにできなかったんですかね。

技術的な問題があるのでしょうか、それともドメイン代が安いとかなんでしょうか。私にはよく分かりません。

ちなみに宛先は、

BCCで自分のアドレスへ届くようになってました。

paypal.comという文字列を入れることで、本物から来たメールだと誤認させることを狙っているのでしょう。

日本語があまりにも不自然

全体的に機械翻訳っぽく、意味は理解できるものの違和感がある日本語です。特に衝撃的だったのが「あなただった?」という尋ね方。文字だけでカタコト感って出せるんですね、すごいや!

百歩譲ってネイティブでも使う表現だと認めることにしましょう。しかし他人宛のフォーマルなメールでこれはないですよね。まともな企業が送る文面ではないです。

せめて「あなたでしたか?」でしょう。それでもまだ若干変な感じがしますが。

詐欺師の日本語を無料で添削してやるのは癪なのでここまでにしときます。

IDや個人名が入っていない

これまではメールに書いてある怪しい点について指摘しました。今度は書いていないことを怪しむべきポイントです。

「アカウントに不審なアクセスがあったので確認を求める」体裁のメールなのに、受取人のIDや名前が一切書いてありません。

本物のPayPalならアカウントに紐付いているIDや個人名を知ってるはずなんですよ。そして普通はメール内に書いて送ってきます。

それが書かれていない理由は、詐欺師がメールアドレスしか知らないからです。どこかから手に入れた複数のメールアドレスに、同じ文面のメールを送り付けているのです。

驚愕のリンク先

メールの最後に記されているリンク。一見、本物のPayPalアドレスように見えますね。

https://www.paypal.comというのは本物のホームページアドレスです。でもクリックしてはいけません

問題は、途中までしか表示されていない長ーいリンクの後半です。右クリックでURLをコピーしメモ帳に貼り付けて見てみると驚愕の事実が。

後ろの方にこんなURLが入ってました。paypal.comという文字列は入っているものの完全に別物。まず間違いなくフィッシングサイトです。

赤道ギニアのドメイン

.com 」のあとに余計な文字列がつながっていて末尾は「 .gq 」。つまりドットコムドメインではなく、赤道ギニアの国別ドメインということ。初めて見ました。

ちなみに「 .gq 」は無料提供されているようです。誰でも無料で使えるので犯罪者にも目をつけられてしまうのでしょうね。

リダイレクト

長いリンクの後半、redirect_uri= の後に例のギニアドメインURLが書かれています。技術的なことは分かりませんが、リダイレクトということはそこへ転送する設定なんでしょうね。

おそらく、本物のペイパルURLをクリックしたと思ったら、見た目がそっくりのフィッシングサイトへ飛ばされ、入力したパスワードなどを盗み取られるという仕掛け。

怖いのでアクセスはしないです。個人情報を抜くサイトとは限らず、ウイルスやスパイウェアを送り込んでくるのかもしれません。

本物のペイパルに通報

本物のペイパルサイトには、「不審なメールの対処方法」のページがありました。

リンク:なりすまし・フィッシングメールの対処方法|サポート-PayPal(ペイパル)

不審なメールを転送するためのメールアドレスが用意されていたので、例のメールを転送してみました。

するとすぐにペイパル運営からメール(英文)が届きました。通報したことに対する感謝と、調査を進め場合によっては詳細について連絡するかもという内容。万一不審なURLクリックした場合の対処法も載ってました。

対応が手厚いです。なりすまされることが多いんでしょうねペイパルさん…。

国内機関にも通報

日本語のフィッシングメールなので、国内のサイバーセキュリティー関連機関にも通報します。

ググったら、フィッシング対策協議会というJPCERTの関連組織が見つかったので、そこの報告用アドレスにも転送しておきました。

下のページに通報用のアドレスが載ってます。

フィッシング対策協議会 Council of Anti-Phishing Japan | 消費者の皆様へ | フィッシングかな?

冷静な対応を

今回届いたフィッシングメールは冷静に見ればお粗末な内容です。

変な差出人アドレスや不自然な日本語、ID・個人名の不在など疑わしいポイント(ツッコミどころ)が満載。

しかし、冷静な判断力を失っていたらどうでしょう。

「早く対策しないと危険!不正アクセス!ウイルス!スパイウェア!」と脅し、不安で思考力を鈍らせ、普段ならしないようなミスをさせるのが犯人の狙いです。

今回のメールは不安の煽り方が足りないですね。煽りすぎると怪しまれると考え、裏をかいたつもりなのかもしれませんが。

「アカウントのアクセスが制限され安全に保護されています」という風に書いてあるので「じゃあ後で良いや」と思いますよコレ。で、後から見てみると凄い陳腐な内容だという。

おわりに

今回のメールは完成度が低かったのでなりすましを見破れました。しかし最近は本物と判別困難なほど巧妙ななりすましも横行しているようです。注意に注意を重ねようと思いました。

また、陳腐ななりすましでもネットに慣れていない人は騙されちゃうかもしれないなと。

緊急を告げるメールが来てもすぐにリンクをクリックしたりせず、本物のサイト運営に連絡して確認を取りましょう(メールに書いてある連絡先は偽物の可能性高し、ブックマークや検索エンジン経由でアクセス)。

怪しいなと思ったら、リンクをクリックせず、添付ファイルも開かない。返信もせず削除しましょう。

慌てず冷静に対応することが大切だと思いました。

参考リンク

フィッシング詐欺対策について解説しているサイトのリンクです。

書籍