Amazonを騙るフィッシング詐欺にわざとログインしてみた 偽サイトはどう作られている?手口を確認しよう

特集記事PR記事

※この記事はセキュリティ製品のPRを含みます

身近に迫るフィッシング詐欺被害

皆さんはフィッシング詐欺を身近に感じたことはありますか?自分が直接被害に遭っていなくても

『実際にフィッシングメールが送られてきたことがある』
『家族や友人が騙された』
『芸能人が被害に遭ったニュースを見た』

という方は多いかもしれません。

フィッシング詐欺はここ数年で被害数が増え続けており、フィッシング対策協議会によると2020年1月から2020年12月にかけて報告数は約4.8倍にものぼったとのことです。

フィッシング対策協議会 『2020/12 フィッシング報告状況』

https://www.antiphishing.jp/report/monthly/202012.html

詐欺ウォールで収集したフィッシング詐欺サイト
年間ブランドランキング(2020年1月~2020年12月)

詐欺ウォールで収集したフィッシング詐欺サイト 年間ブランドランキング


フィッシングメールが騙る送信元は、銀行や公的機関、運送業者やショッピングサイトなど実に多岐にわたります。

その中で、最も被害数が多いものの一つが『Amazon』を騙るものです。利用者が多いことが大きな理由ですが、「外国企業が運営するサイトでよく見られる独特の日本語訳が、フィッシングメールにありがちな不自然な日本語と重なり、詐欺だと見分けるのが難しい」という面もあるかもしれません。

今回はその『Amazon』を騙るフィッシングメールにわざと登録を行い、その裏で犯罪者が何を行っているのかを解説します。

※注意※
本記事では、安全を確認したうえで偽サイトへの情報入力などを行っています。ウイルスやマルウェアなどが仕込まれている可能性もありますので、フィッシングサイトだと分かっているサイトに興味本位でアクセス・情報入力するのは危険です。

Amazon、(Amazon.co.jp)及びそれらのロゴは Amazon.com, Inc.またはその関連会社の商標です。
またAmazon.co.jp は、本サイトおよび本サイト上の商品・サービス、プログラムやキャンペーンのスポンサーではありません。

始まりは1通のメールから

フィッシング詐欺の多くはメールやSMSが起点となります。実在の企業名やメールアドレス、文章を模倣して巧妙に作成されていることが多いです。

210129_1.png(※メール画像は実際のフィッシングメールを元に作成。文章は原文ママ)

今回送られてきたメールは『【重要】Amazon.co.jp アカウントが停止されました。再度アクティブにしてください』という、慌ててログインをして確認したくなるようなタイトルが付けられています。送信名も『Amazon.co.jp』と記載されているため、パッと見ただけではすぐに偽物だと判断できません。

しかし、送信メールアドレスをよく見ると『no-reply@accounts.google.com』という、Amazonとは全く関係のないものだということが分かります。

なおAmazon公式サイトには、Amazonが主にメールを送信する際に使用するアドレスが公表されています。

Amazon.co.jpが使用する差出人Eメールアドレス
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=G4YFYCCNUSENA23B

こちらに記載されていないアドレスの場合、フィッシングメールの可能性があります。

また、本当にAmazonからメールが送られている場合は、同様の内容がメッセージセンターにも送られています。メッセージセンターに該当のメールがない場合は、偽メールだと思ってよいでしょう。


さらに、ログインを促すURLにも注目します。

一見、正しい公式サイトへのURLに見えますが、これはHTMLメールで文字列にリンクを貼っているだけで、飛び先は全く関係のないURLが仕込まれています。「言っていることがよくわからない」という方は『見た目は正しいURLに見えても、実際は違うものが仕込まれていることがある』と知っておくのが良いかもしれません。

※企業が利用するメール配信ツールによっては、本物のメールでも記載されたURLと飛び先のURLが違うことがあります。これだけで「偽メール」と判断できるものではありませんが、犯罪者はこれを悪用して本物のURLに見せかけ偽サイトに誘導します。


参考程度ですが、Amazonを騙るフィッシング詐欺で使われがちなタイトル・内容は以下のようなものがあります。

  • ① 未納料金の請求(例)
  • ・会員登録の未納料金が発生しております。お支払いに応じない場合は法的手続きに移行します。

  • ② 登録情報(支払い情報など)の更新依頼(例)
  • ・Amazonセキュリティ警告:サインインが検出されました
    ・お支払い方法の情報を更新してください
    ・アカウントが停止されました、再度アクティブにしてください
    ・Amazonプライムの自動更新設定を解除いたしました

偽サイトにログイン

210129_3.png

メール内のURLへアクセスしてみると、本物そっくりのログイン画面が表示されました。かなり巧妙に作られています。

偽サイトかどうかを見分けるポイントとしてURLをよく見ることが挙げられますが、『amazan-co-jp.nl』というよく見なければ騙されてしまうような文字列で構成されているため、ぱっと見では気づきにくくなっています。
『もう顧客ですか?』『持続する』と言った、若干不自然な日本語も見られますが、画面の色味やレイアウトが本物と酷似しているため、注意深く見ないと気が付かないかもしれません。

この画面まで来てしまうと偽サイトだと見分けるのはかなり難しくなります。『急いでログインをして確認をしなければ』と思っている場合はなおさら判断が困難でしょう。

今回はわざとダミーアドレスを入力して先に進んでみます。Amazonに登録していないアドレスでも先に進めるようです。続いてパスワードの入力を求められましたので、ここもダミーの情報を入力します。

請求先情報の入力を求められる

210129_5.png

先に進むと、請求先の住所などの情報入力を求められました。

通常、アカウントにログインする際に請求情報を入力させることは考えにくいため、冷静な判断が出来れば「これは詐欺かもしれない」と気が付けるかもしれません。
今回は住所や氏名、電話番号などの入力を求められていますが、クレジットカード情報の入力欄がある場合もあります。

ここでもダミーの情報を入力して先に進んでみます。

さらに進めるとエラー画面に

210129_6.png

さらに進むと、エラー画面が出ました。

「フィッシング詐欺に騙されて偽サイトに自分の情報を入力していくと最終的にどうなるか」には様々なタイプがあります。

手口の例

  • 「認証が完了したのでブラウザを閉じてください」と表示する
  • エラー画面を出す
  • 本物のサイトにリダイレクトさせる

正常な挙動に見えても、入力した情報が盗まれている可能性があります。 巧みな偽サイトの作りによっては、詐欺サイトに情報を入力してしまったことに被害が起こるまで気が付かないこともあるかもしれません。

裏では何が起きている?

では、入力した情報はどうなったのでしょうか。

まず、ログインメールアドレスとパスワードの組み合わせが犯罪者に漏洩しています。犯罪者はそれを駆使してログインを行い、アカウントに登録された個人情報やクレジットカード情報なども抜き取ることが可能です。
「最初のメールアドレスとパスワードだけしか入力していないし、途中で気が付いたから大丈夫」というわけではありません。

また、犯罪者は登録情報を書き換えてしまうことも出来るので、アカウントを乗っ取り、不正に注文・出品を行うこともできます。

Amazonに限らず、フィッシング詐欺の犯罪者はツールでフィッシングサイトを大量生産・管理していると考えられており、入力された情報は一瞬で詐取・更新されてしまいます。気が付いた時にはもう手遅れ...ということも少なくありません。

もしも入力してしまったことに気がついた場合は

まだログインが可能であれば、急いでパスワードを変更しましょう。他にログインメールアドレスとパスワードを同じ組み合わせで使っているサイトがあったら、犯罪者は総当たり的に他のサイトへのログインを試す可能性がありますので、そちらも全て変更する必要があります。

アカウントにクレジットカード情報を登録している場合は、一度登録情報の削除をすることもおすすめします。利用履歴なども確認し、危険な場合はカード会社に連絡して停止してもらいましょう。他にも、不正な注文や出品がないかも確認が必要です。

すでに乗っ取られてしまい、ログインが出来ない場合はAmazonのカスタマーサービスに連絡して対応してもらいましょう。

Amazonお問い合わせページ
https://amazon.co.jp/contact-us
※現在、直接電話での対応は受け付けていないとのことで、こちらから問い合わせることになりますが、問い合わせ前にログインを要求されます。新しく問い合わせ用のアカウントを作るしかないかもしれません。

不正利用など、金銭被害がある場合は、都道府県警の「サイバー犯罪相談窓口」でも相談、通報、被害届けなどを受け付けています。

また、Amazonにはフィッシング・なりすましメールの報告窓口があります。
悪質だと思うメールを受け取ったら、被害者を増やさないためにも、こちらに報告するのが良いかもしれませんね。

フィッシングまたはなりすましメールを報告する
https://www.amazon.co.jp/gp/help/customer/display.html/ref=hp_lp_201909120_rpse?nodeId=201909130

最後にこちらは予防策となりますが、事前にアカウントの二段階認証を設定しておくのが安心です。

フィッシング詐欺に引っ掛からないためには

いかがでしょうか。筆者も「自分は騙されない、大丈夫」と思っていましたが、実際に偽サイトを見てみると、本物のサイトに非常によく似せて作られていて、すぐには判断できませんでした。

普段なら見抜けるようなフィッシングメールも、たまたま『アカウント情報を変更した』『注文を行った』『有料会員の契約更新時期が近付いた』『スマホを変えた』といった『何か思い当たる』タイミングで送られてきたらどうでしょうか? うっかり入力して、犯罪者に情報を盗み取られてしまった場合、様々な被害に遭い、対応に追われることは避けられません。

気を付けたいポイント
  • ログインを急かすタイトル・内容のメールは疑ってかかる
  • メール内のURLではなく、ブックマークや検索からログインする
  • アカウントの二段階認証を設定しておく

ネット詐欺に騙されないためには、常に平常心を保ち「何かおかしいかもしれない」と疑う心を身につけましょう。

210129_7.png

『自分でネット詐欺を見抜く自信がない』『家族にネット知識があまりなく、騙されてしまうのではないかという不安がある』という方は、セキュリティソフトの導入をお勧めします。
中でも、インターネット詐欺ウォールはネット詐欺専用のセキュリティソフトです。通常のセキュリティソフトでは対応が難しい新手の悪質な詐欺サイトもブロックします。

日々のインターネット利用を楽しむためにも、インストールしておくと安心ですね。



あわせて読みたい