仕事環境と仕事道具

プロが徹底解説!フィッシング詐欺の見分け方&撃退法(永久保存版)

更新日:

今朝、私が管理しているメールアカウントに、PayPalからメールが届きました。

結論としては、かなり手の込んだPayPalを装った『フィッシング詐欺』のメールだったのですが、メールを開いたとたん、私は感覚的にこれを見分けることができました。ただ、ITに疎い方の場合にはひかっかってしまう可能性があるので、今回の実例をもとに、フィッシング詐欺かどうかの見分け方と、その撃退法についてまとめてみました。私の記事を普段読んで頂いている大切な皆さんのためにまとめていますので、この記事を読まれた方はぜひ、大切な方にこの記事をシェアして頂ければと思います。

1)今回のメールの内容

今回は、私が普段ビジネスで利用している『PayPal』からのメールを装った内容が英文で届きました。
PayPalは全世界で利用されているサービスなので、英文で届いても不自然ではありません。むしろ、全世界対応のサービスのフィッシング詐欺メールは、英語で来ることが多いですね。その方が詐欺をはたらく側の労力も削減できますからね。

内容を読むと、『あなたのアカウントに問題が発生したので、一時的に利用を停止しています。再開するために下記のリンクをクリックして、必要情報を入力してください。』というものでした。

実際のメール

PayPalはお金を扱うシステムなので、利用が停止されてはビジネスオーナーとしては困ります。ですから、こういうメールが届いたら「すぐに対応せねば!」と焦ってしまいがちです。

私も一瞬そういう気持ちになりましたが、直感的に「おやっ?」と思う点があったので、ひっかかることを防ぐことができました。

まず、この怪しいと思った点について解説していきます。

1−1)送信元名が「PayPal JAPAN」となっているのに、内容が英文で届いた

まず私が今回のメールが怪しいと思ったのは、ここです。私は日本とマレーシアのPayPalアカウントを持っています。当然、マレーシアのPayPalからは常に英文のメールが届きます。なのでPayPalから英文のメールが届くこと自体は、特に違和感を感じるものではなかったのですが、逆に日本のPayPalからは常に日本語でメールが届きます。

つまり、『「PayPal JAPAN」という宛先から、英文のメールが届いた』というミスマッチに違和感を感じたのです。

1−2)普段の日本のPayPalからのメールは、送信元名が「PayPal」となっている

私は次に、落ち着いて日本のPayPalから過去に届いたメールを確認していきました。そうすると送信元は全て、「PayPal」となっていました。つまり、正規のPayPalからのメールは、送信元名が「PayPal」となっているということになります。

1−3)送信元のメールアドレスがおかしい

次に、送信元のメールアドレスをチェックしました。ここでほぼフィッシング詐欺である、ということを確信しました。それまで正規のPayPalから届いていたメールの送信元アドレスは、「service-jp@PayPal.com」となっていましたが、今回のメールは、「mk3950@js5.so-net.ne.jp」となっていました。これは明らかにおかしいですよね(笑

さらに、このメールに返信しようとすると、宛先が「norepls@japanese-services.com」になります。
正規のPayPalの返信先のメールアドレスは、「service-jp@PayPal.com」となっています。

つまり、送信元及び返信先のメールアドレスが、普段と異なっている、という点も、フィシング詐欺の特徴です。

通常のPayPal 今回のメール
送信元メールアドレス service-jp@PayPal.com mk3950@js5.so-net.ne.jp
返信先メールアドレス service-jp@PayPal.com norepls@japanese-services.com

(※送信元と返信先のメールアドレスは変えることができます。送信元とは、メールが届いた時の、見た目上の送信元メールアドレスのことで、返信先は、そのメールに返信する際の宛先にセットされるものです。一般的なメールソフトで送信する場合は、この送信元と返信先のメールアドレスは同一になりますが、Webシステムから直接配信する場合には、このように宛先を分けることができます。)

フィッシング詐欺の犯人が、サービス運営者になりすまして、サービス運営者のメールアドレスを使って送信する、いわゆる「なりすましメール」を送ることはできますが、次の2点の理由により、それはやりづらいという点があります。

1点目)なりすましメールは、メールソフトの方で警告が出る

他人のメールアドレスを使って別の人がメールを送る行為は、既に多くのメールソフトやメールサービスで対策されています。つまり、正規のPayPalのメールアカウントを使って犯人がメールを送っても、届いた時点で「このメールはフィッシング詐欺の可能性があります。」という警告表示が出る可能性が高いのです。

2点目)フィッシング詐欺メールを受信した人が返信したら正規の運営者にバレる

仮に、フィッシング詐欺メールを受信した方が、詐欺と気付かずに問い合わせのメールを返信したとします。すると、仮に正規の運営者のメールアカウントから送信されたように装っていた場合、この問い合わせのメールも正規の運営者に届くことになるので、フィッシング詐欺の犯人のことがバレる可能性が高まります。すると詐欺がはたらきづらくなるのです。

以上の2点により、最近のフィッシング詐欺の犯人は正規のサービス運営者とは異なるメールで、フィッシング詐欺メールを送ってくることが多いです。

この時点で、99%フィッシング詐欺ということは確定したのですが、最近にフィッシング詐欺がどこまで緻密に行われているかを確認するため、より深くチェックをしてみました。

2)フィッシング詐欺サイトの内容をチェックしてみた

私はフィッシング詐欺メールに記載されているリンクの飛び先にどのような画面が待ち受けているかどうか、恐る恐るクリックしてみました。

いや、この手の詐欺メールは、アカウント乗っ取りかクレジットカードの情報を盗むかのどちらかなので、クリックしただけではこれらの情報は盗まれないので、実際には、「どれどれ、どこまで精巧に作られているのかな?」とワクワクしながらクリックしてみたのです(笑

すると、こちらのようなPayPalのログインボタンが表示されました。

フィッシング詐欺サイトのPayPalログイン画面

一見、ちゃんとしたPayPalのログイン画面のように見えます。

ここで落ち着いて、私が普段ログインをしているPayPal JAPANのログイン画面をチェックしてみます。

正規のPayPalログイン画面

この2つを比較して、間違い探しをやってみましょう(笑

日本語と英語が違うという点は置いておいて、内容は殆ど同じように見えますが明らかに違う点が2つありました。

1点目)ログインURLが違う

正規のPayPalでは、PayPal.comというドメインのURLになっています。しかもきちんとSSL接続になっており、「PayPal, Inc.[US]」という表記が出ています。(Google Chromeの場合)

ところがフィッシング詐欺メールの方はsyspup-pay0pal.comになっています。画面が同じなのにドメインが異なるというのは、明らかにおかしいですよね。

2点目)フィッシング詐欺サイトの方だけフッターにリンク設置されている、しかもリンク切れてしている(苦笑

フィッシング詐欺サイトの方だけ、フッター(画面の下の部分)にリンクが設置されていました。
リンク名は、「Contact Us」「Privacy」「Legal」「World Wide」となっています。

これらのリンクをクリックすると、いずれも「Not Found」という表示になりました。

正規のPayPalがこのようなミスを犯すとは思えませんので、明らかにおかしいですね(笑

ここでログイン情報を入力してしまうと、フィッシング詐欺の犯人に、PayPalアカウントのID・パスワードを盗まれてしまうことになりますので、ご注意ください。

さらに私は追跡調査をすることにしました(笑

この犯人の目的は、PayPalアカウントのログイン情報を乗っ取るだけではないと思われます。

なぜかというと、PayPalアカウントにログインできただけではお金を引き出すことはできず、PayPalに出金先の銀行口座を登録する必要があるからです。もちろん、犯人が自分の銀行口座を登録すれば、出金することはできますが、正規のPayPalに犯人の銀行口座を登録することになるので、登録してから出金するまでに、PayPalアカウントの所有者もしくはPayPal側に気づかれてしまう可能性があり、そうすると警察当局に通報されて『足がつく』可能性があるからです。

ということで、『この犯人の真の目的は、おそらくPayPalにログインした後にクレジットカード情報を入力させることだ』と私は予測しました。

でもそれを確認するためには、このログイン画面からログインしないと、次の画面を確認することはできません。

でも、よく考えてみてください。フィッシング詐欺の犯人は、PayPalのログイン情報を知らないわけなので、適当にID・パスワードを入れても、次に進ませてくれるはずです。

というわけで、

ID:hoge@hoge.com
PASS:hogehoge

と入力して、ログインボタンを押すと、案の定、次に進めました(笑

またまた以下のようなもっともらしい画面が表示されています。

ここでヘッダー(画面の上部)とフッター(画面の下部)のリンクをクリックしても反応しませんでした。
犯人の目的は、「Resolution Center」のリンクをクリックさせることだと思われます。

騙されたフリをしてこのリンクをクリックすると・・・

すると、住所を入力させる画面が出てきました。
いきなりクレジットカードを入力させない点がなかなか手が込んでいますね(笑

ナビゲーションを見ると、住所を入力した後にクレジットカードを入力させる流れになっていることがわかります。
ということで、この犯人の目的はやはり、クレジットカード番号を盗むことだと思われます。

この画面になると、なんとなく全体的にデザインが洗練されていない感じがしてきますね。

ちなみに、このフィッシング詐欺サイトのログイン画面のURLは
http://syspup-pay0pal.com/signin/

となっていましたが、
このドメインのトップページにアクセスしてみたところ、この画面が表示されました。

こちらは「バズプラスニュース」というサイトのようです。
ではこのサイトの運営者がフィッシング詐欺を働いているのか?
というとそうでもなさそうです。

その理由は、ヘッダーのリンクをクリックすると、buzz-plus.comというドメイン内のページに飛ぶからです。
つまり、syspup-pay0pal.comのドメインの所有者であるフィッシング詐欺の犯人が、buzz-plus.comのサイトのトップページだけまるごとコピーして、盗用している可能性があります。

3)別の角度からもチェックしてみる(犯人を追ってみる)

これまでの調査で、フィッシング詐欺かどうかの判断は十分につくのですが、ここからは、「犯人を追ってみる」ことにします。
その方法は、「ドメイン所有者を調査する」ということです。

ドメインは誰でも取得できますが、取得する際に個人情報を登録する必要があります。この個人情報はある程度外部に公開されているので、この情報を調べることにより、犯人の身元を特定できる可能性があります。

このドメインの所有者情報は、ITエンジニアであれば「whois」というコマンドで一発で調べられるのですが、普通の人はコマンドが打てないと思いますので、普通の人は下記サイトを使って調べることができます。

・IPドメインサーチ
http://www.mse.jp/ip_domain/index.shtml

ここの、「IP or ドメイン」という欄に、調べたいドメイン名を入力して送信します。
(ここでドメイン名を入力して送信しても、特にこちら側の個人情報が取得されることはありませんので、ご安心を。)
すると、次のような結果が表示されました。

ここで、重要なポイントは、「Name Server」という部分です。この場合は「NS1.TARHELY.PW」と「NS2.TARHELY.PW」となっています。
次にこの「TARHELY.PW」というドメインについて、同じようにIPドメインサーチに入力して調べてみます。

今度は結果がずらずらと出てきますが、ドメイン管理者の住所「Admin City」やシステム管理者の住所「Tech City」がブタペスト(Budapest)となっているのが怪しいですね(笑

さらに、TARHELY.PWドメインのName Serverとなっている「CLOUDFLARE.COM」というドメインについても、IPドメインサーチにかけてみます。

今度は、これまでと異なり、上記のように表示されるだけで、このドメインについての詳細な情報をチェックすることはできませんでした。
ちなみに、この「CLOUDFLARE.COM」というドメインをGoogleで検索してみます。

すると、CloudFlareという「CDNサービス(ホスティングサービスに似たようなもの)」の提供元であることがわかりました。
つまり、CloudFlareはフィッシング詐欺の提供元とは異なるということになります。

・CloudFlare

https://www.cloudflare.com/

今回の調査で得られたのは、途中で出てきたブタペストの住所がフィッシング詐欺の犯人である可能性もゼロではないですが、そう簡単に尻尾を出すとは思えないので、この住所はレンタルサーバの提供元かなにかの可能性が考えられます。外部に表示するドメイン管理者情報は、必ず本人の個人情報を表示しなければならないのではなく、レンタルサーバの提供元の個人情報を表示することもできるからです。

ということで、今回の調査からは犯人の身元を特定するには至りませんでした。

ちなみに、正規のPayPalのドメイン情報をIPドメインサーチで調べてみたところ、次のような表示になりました。

また、フィッシング詐欺サイトが盗んだと思われる「buzz-plus.com」というドメインもIPドメインサーチにかけてみたところ、次のような表示になりました。

これらは明らかに、syspup-pay0pal.comのドメインの所有者情報と異なっていることがわかります。

4)いよいよここから、倍返しです!(フィッシング詐欺の撃退法)

もし仮にフィシング詐欺の犯人の身元を特定したら、警察にでも突き出したいところですが、今回はそこまで至りませんでしたので、然るべきところに通報して、撃退することにします。

まず、今回のフィシング詐欺の犯人が迷惑をかけていると思われる正規のPayPalと、buzz-plus.comのサイト運営者に連絡をしてみます。
この2者については、この詐欺サイトを放置していると自分達の名誉に関わってくる可能性があるので、何らかの対応をしてくれる可能性があります。特にPayPal側は、自社の名前をうたった詐欺としてPayPal会員に通知してくれたり、然るべきところに通報してもらえる可能性があります。buzz-plus.comさんはあまり期待できないかもしれませんが、一応連絡してみます。

さらに、フィシング詐欺を報告する先として、Googleにも窓口がありましたし、日本国内の組織である「一般社団法人 JPCERTコーディネーションセンター」が運営する「フィッシング詐欺協議会」のサイトからも報告できるようですので、報告してみます。

Googleフィッシング詐欺の報告

https://safebrowsing.google.com/safebrowsing/report_phish/

フィッシング対策協議会

https://www.antiphishing.jp/contact.html

これらの対応を行うことにより、フィッシング詐欺をいち早く駆除できることになります。

また、私達にできることは、「この記事をシェアして頂いて、フィッシング詐欺の見分け方や、今回の詐欺サイトを周知して頂くこと」だと思います。

フィッシング詐欺の手口は様々ですが、日本国内において多発しているのは銀行のネットバンキングの口座情報を入力させるような手口のようです。いずれも今回説明した方法で簡単に見分けることができますので、ぜひこのページをブックマークするなり、Evernoteに保存するなり、Facebookやtwitterでシェアするなりして、ご自身や周りの大切な方々がフィッシング詐欺にひっかからないようにして頂ければ幸いです。

この記事が気に入ったら
いいね ! しよう

Twitter で
  • この記事を書いた人

平城 寿 Hirajo Hisashi

宮崎出身のナナロク世代。@SOHO創業 ⇒ 国内No.1達成 ⇒ 海外ノマドを経て、『IT』と『ビジネス』を武器に、組織にとらわれずに生きていける人を育成する活動をしています。

-仕事環境と仕事道具

Copyright© @SOHO創業者 平城寿の公式サイト , 2017 All Rights Reserved.