メルペイ不正利用事件 ブラックマーケットの実態に迫る

「ポイント還元！」「割り引きをうけられます！」
こうしたタイトルのメールが届いたらあなたならどうしますか？
ついつい、クリックしそうになっても、いったんその手を止めてください。
それは、被害が相次いでいるフィッシング詐欺かもしれません。
急増の背景について、サイバーセキュリティーの専門家に取材しました。 

2月6日、スマートフォンの決済サービス「メルペイ」の他人のアカウントを乗っ取り、商品を購入したとして中国人の専門学校生が逮捕されました。
「メルペイ」の利用者にメールを送り、偽のウェブサイトに誘導する「フィッシング詐欺」の手口でIDやパスワードを盗み取っていたとみられています。
乗っ取られたアカウントが使われて、加熱式たばこが購入されていました。

「フィッシング詐欺」は全国で急増しています。
フィッシング対策協議会によりますと、フィッシングメールなどの報告件数は、2022年はおよそ96万件で、前の年より44万件余り増えて過去最多となりました。 

大手フリマアプリ「メルカリ」と書かれたメールですね。
3000円分のポイントを受け取れるというキャンペーンの対象期間や対象条件なども書かれていて、一見、本物のように見えます。
ついつい、メールに記載されたURLをクリックしてしまう人もいるかもしれないですね。

こちらは実際に届いたメールで、典型的なフィッシング詐欺の文面です。
3000円という価格が、高すぎず安すぎずでもっともらしいですよね。
でも、注意してみると、おかしいと感じる部分があります。
詳しくみていきましょう。

このようなメールが届いた場合は、開く前にメールアドレスをよく確認してください。
noから始まり、メルカリのアドレスには見えないですよね。
そして、＠より右側のドメインと呼ばれる部分を見て下さい。
Xから始まっていておかしいです。
また、末尾が『.cn』となっています。
『.cn』は、中国でよく使われているドメインで、このメールを調べたところ中国のサーバーから送られていました。

最近は、メールアドレスも巧妙なものがありますよね。

日本国内で多く使われている『.jp』を使うフィッシングメールや、決済サービスの事業者の名称を使ったアドレスからのメールも増えています。
アドレスが正規のものかどうか確認するか、事業者に電話で問い合わせたり、事業者の公式ホームページなどで正しい情報を確認したりしてください。

これは、バーコード決済事業者のログイン画面ですね？

フィッシングメールで届いた本物そっくりの偽のログイン画面です。
こうした偽物を作る技術も高度になっていて、警戒が必要です。
最近はAIの技術などを使いながら、日本語の文章を作っているとみられるものもありますよ。
自分が利用している決済サービスを名乗るメールが届いた場合でも、記載されたURLをすぐにクリックすることは避け公式のサイトやアプリから必ずログインしてください。

どうして自分の使っている事業者のメールが届くのでしょうか？
つい、本物だと思ってしまいます。

闇市場＝ブラックマーケットでメールアドレスが売買されている実態があります。
実際にブラックマーケットでの取り引きの状況を調べてみましょう。
取材協力・サウスプルーム／CNSECURITY

日本で使われている複数の決済サービスの名前がついたグループがあります。このなかで、それぞれの事業者を利用している人の、IDやパスワードなどアカウントの乗っ取りに必要な情報が売買されています。
中には、運転免許証の写真や携帯電話の番号も販売されています。
不動産関係の企業から流出したのかもしれませんが、氏名とその人の不動産情報が一覧になった物もあって、悪用されるリスクがあります。

こんな個人情報まで売買されているのかと驚きました。
今回は、何らかの方法でメールアドレスを入手して、フィッシング詐欺を行っていたとみられていますが、メールアドレスはどのように売買されているのですか？

ブラックマーケットにはいろんなグループがありますが、そこの中にはメールアドレスだけを専門で扱っているものもあります。
この投稿は、日本で使われているメールアドレス20万件を販売しますという内容です。
これを『コンボ』と呼んでいますが、多くのメールアドレスを一度にダウンロードして使うという形です。
ブラックマーケットでは、メールアドレスの単価はIDやパスワードより安いので、メールアドレスを買って自分でフィッシングメールを送ってIDとパスワードを入手する手口の人もいます。

こちらは、メールアドレスを入力すると、その人がふだん利用している決済サービスを調べられるプログラムです。
メールアドレスの利用者がどの決済事業者を使っているかが分かるので、その内容に合ったメールを送ることができます。
そのため、メールを受け取った人が、『本当のメールが事業者から届いた』と思い込んでしまうのです。

いまいちど、フィッシング詐欺の特徴を理解して、不審なメールは開かないという対策が必要ですね。

そうですね。メールアドレスが流出して不正に利用されるというリスクを消費者の方も理解する必要があります。
また、メールアドレスは、企業のメールアドレスを管理するサーバーがハッキングされるケースや、システムに不正なプログラムが入りこんで、情報が抜き取られるようなケースがあります。
企業側も犯罪に悪用されかねない顧客の情報がブラックマーケットで売られていることを理解し、情報の収集と対応を進めていく必要があります。