「利用者識別番号が分からない人はこちら」 年末年始で“人の心理”につけ込むフィッシングメールが増加：チェック・ポイント・ソフトウェア・テクノロジーズがフィッシングメール事例を公開

チェック・ポイントは、「マイナポータル」や国税庁、通販サイトなどを装う最新のフィッシングメール事例を確認した。一般消費者の心理につけ込むフィッシングメールが多く見られるため、細心の注意が必要だという。

[＠IT]

　チェック・ポイント・ソフトウェア・テクノロジーズは2023年12月22日、「マイナポータル」や国税庁を装う、最新のフィッシングメール事例を確認したと発表した。同社は、クリスマスや年末年始商戦のさなか、通販サイトを装うフィッシングメールにも注意するよう呼び掛けている。

休暇前後は注意力が散漫になるので要注意

　チェック・ポイント・ソフトウェア・テクノロジーズが最近確認したフィッシングメールは、いずれも精巧な日本語で作成されているという。

　マイナンバーカードの取得者向けに政府が運営するWebサイト「マイナポータル」からのメールを装った例では、「緊急支援給付金」が支給されるとして、その手続きのためのメールアドレスとパスワードが必要だと迫る。この“緊急支援給付金”は実際に存在する還付金制度のため、フィッシングメールかどうかの見分けがつきにくく、チェック・ポイント・ソフトウェア・テクノロジーズは「特に注意が必要だ」としている。

「マイナポータル」の偽サイト（提供：チェック・ポイント・ソフトウェア・テクノロジーズ）

　国税庁を装い、「e-Tax」を装ったWebサイトに誘導し、個人情報を抜き取ろうとしている例も確認された。この例では新規登録への誘導だけでなく、「利用者識別番号や暗証番号が分からない場合」の案内を用意するなど、入力に向かう対象者を増やすことに工夫を凝らしている点が特徴だ。

「e-Tax」を装ったWebサイト（提供：チェック・ポイント・ソフトウェア・テクノロジーズ）

　この事例は人の心理をついて重要な情報を盗み出す「ソーシャルエンジニアリング攻撃」に分類されるもので、件名に「最終通知」や「税金の滞納」など不安を誘う表現を使用することで、人の心理につけ込むことを狙っている。ただ、チェック・ポイント・ソフトウェア・テクノロジーズによると「全体的に非常に精巧な日本語で作られているが、しっかりと見ると文章が途切れていたり、違和感のある箇所に句読点があったりするなどの特徴がある。こうした文法的なエラーからフィッシングメールと見抜くことも重要だ」と指摘している。

　チェック・ポイント・ソフトウェア・テクノロジーズは、年末年始など長期休暇とその前後の時期には悪意のあるメールやSMS（ショートメッセージサービス）などが増加すると予想している。ECサイト「Amazon」を装うメールでは、心当たりのない注文の指摘を装い、Amazonとは無関係の悪質なリンクのクリックを促している。アカウントの凍結という緊急性のある文言を使って、「お届け先」に自分とは無関係な人物の名前や住所を入れることで、受信者の不安をあおっていた。

　同社は、「長期休暇中はメールを小まめに確認できず、休暇前後は多忙さやメール処理数の多さが重なって注意力が散漫になるため、サイバー攻撃者にとっては攻撃を仕掛ける格好の時期だ。年末に向けて処理すべき事務作業などが増える中、新たな制度や還付金、納税に関する案内を装って一般消費者の心理につけ込むフィッシングメールが多く見られ、細心の注意が必要だ」と注意を促している。