心当たりのないメールが記者に届いた。所持していない大手百貨店関連のクレジットカード名で2万円以上の利用があったので確認のためにリンクへのアクセスを促す内容だった。ネット検索してみると、フィッシング対策協議会のホームページで同カードをかたる詐欺事案が報告されており、さっそく担当者に問い合わせ、社会問題化するフィッシング詐欺の手口や対策を聞いた。
同協議会のHPによると、フィッシング とは実在する組織をかたって、ユーザーネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取すること。典型的な手口としては、クレジットカード会社や銀行からのお知らせのふりをしたメールを送りつけ、「情報確認のため」 などと称してリンクをクリックさせ、あらかじめ用意した本物のサイトにそっくりな偽サイトに誘導。そこにクレジットカード番号や口座番号などの個人情報を入力させて盗み取るという。
今月22日の午前2時前、記者宛に「エムアイカード会员サービスビ利用をご利用いただきましてありがとうございます。お客様のカードご利用内容をお知らせいたします(原文ママ)」「◇利用取引:買物」「◇利用金額:22,163円」などと書かれたメールが届いた。
「このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい」として、「▼ご利用確認はこちらhttps://www.micard.co.jp.●●●●.com」などとURLが指定されていた。
このカードを持っていたらクリックしていたかもしれない。所持していないので不審に思い、同協議会のHPを確認すると、まさに「エムアイカードをかたるフィッシング (2021/01/12)」との報告が掲載。2005年の発足以来、フィッシング詐欺被害の抑制を目的として活動している同協議会の担当者にこのメールを検証したもらった結果、「フィッシングメールです」との回答を得た。
担当者は「このケースですと、URL が『https://www.micard.co.jp』まではおそらく本物と同じだと思いますが、『.●●●●.com』が続いており、誤認しやすいURLとなっています」と指摘。一方で 「ほとんどの利用者は本物のURLについてご存じかというとそうではないことも多いですし、URLだけでは、すぐ分からないケースもあります」と説明した。
同協議会のHPでは1月中旬に「UC カード」や「北海道銀行」をかたるフィッシング報告を相次いで掲出。コロナ禍の昨年以降と、それ以前とを比べて報告件数は増えているのだろうか。
「2020年は、前年の4倍以上の報告件数となりました。なお、報告件数は被害件数ではなく、報告者がフィッシング詐欺と気づいて報告いただいている数がほとんどとなります。被害に遭われた方からの報告も内数に含まれますが少数です。報告件数増加のほとんどがECサービス系のブランドで、フィッシング詐欺の認知度が上がり報告数が増えているということもありますが、コロナ禍でインターネットショッピング利用者が増えていることにも関係があると思われます」
その対策について、同協議会は当サイトに向けて次のように列挙した。
「メール、SMSのリンクからは直接アクセスしない。ブラウザのお気に入り(ブックマーク)、スマフォアプリからアクセスする。クレジットカード情報、口座情報などの入力を求められたら、怪しいと思って立ち止まり、気を付ける。怪しいと思ったら、件名や本文の一部などで検索する。事業者へ確認するのが確実。『緊急』『重要』『ロックします』というような急かす文面でも慌てず、反射的に対処しない。使用するサービスのセキュリティ機能活用(迷惑メールフィルタ、複数要素認証、2段階認証など)」
元神奈川県警刑事で犯罪ジャーナリストの小川泰平氏に話を聞いた。同氏は当サイトの取材に対して「このケースで言えば、インターネットで情報を検索して知識を得たことで被害に遭わずに済んだ。だが、地方では住民の多くがカードを持っている地元百貨店をかたったメールを送り付けて信頼させ、盗んだ個人情報で勝手に買物する事件が増えている。また、『あなたの名前のカードが使われている』との電話を受け、自宅に回収に来た者に聞かれた暗証番号を教えて被害に遭うケースもある」と説明。その上で「カード案件でメールや電話がくることはまずありません。不審な連絡があったら必ず周囲や警察に相談し、ネットで被害報告などの情報を確認してください」と呼びかけた。