ブログ名を考えられない人のブログ

思いついたことを書いていきます

【注意】ETC照会サービスのフィッシングメールについて

久しぶりに非常に手の込んだフィッシングメールが届き、感動とともにかなり危険だと感じたため、共有します。皆さんはくれぐれも引っかからないようにお気を付けください。筆者は情報処理安全確保支援士試験に合格したこともあり、セキュリティ意識は高いほうだと思っている(思いたい)のですが、それでも引っかかりそうになりました。
以下の記事でクリック可能なリンクはすべて正規サイトへのリンクです。偽サイトのリンクは画像でのみ表示しているので偽サイトにアクセスされることはありません。

届いたメール

受信BOX

フィッシングメール文面

私は「ETC利用照会サービス」を実際に利用しており、しばらくログインしていないというのも正しいので、このメールが届いたときは正直焦りました。
差出人は「ETC利用照会サービス」で送信元メールアドレスはとなっており、etc-meisai.jpは正規のETC利用照会サービスのドメインですので、一見本物のメールのように見えます。
しかし、メールの仕様上差出人は簡単に偽装することができます。これだけで正しいメールだと判断するのは軽率です。
さらに、「ETC利用照会サービス(登録型)ログイン」として記載されているURLを見ると、ドメインがetc-meisai.jpとなっており正しいドメインです。
これでは、たいていの人は実際にアクセスしてしまうでしょう。

 

はい。私はこのURLをタップしてアクセスしてしまいました。

記載リンクへアクセスする(ダメ絶対)

表示された画面


見た目は通常通りの「ETC利用照会サービス」です。何も違和感がありません。
ユーザーIDを入力しようとしたタイミングで、あ、これ確実にフィッシングだなと気づきました。先ほどのメールに記載されているユーザーIDであるところのメールアドレスを入れようとすると文字数オーバーで入りません。おかしいですね。
さらに、ドメインを見てください。先ほどetc-meisai.jpと記載されていたURLをクリックしたはずなのに、謎のドメインに変わっています。
リンク部分をタップしてみると・・・

パット見正規のドメインに見える

となっているのが確認できます。つまり、etc-meisai.jpの後に適当な文字列+.netをくっつけて別のドメインにし、URLの先頭だけ見るとあたかも正規のサイトに見えるように偽装されているのです。
しかし、先ほどのメールのURLを見ると、ちゃんとetc-meisai.jpとなっています。どういうことなのでしょうか。
実はこれはメールにhtmlが用いられており、メール上のURLの見た目はetc-meisai.jpですが、実際のアクセス先は偽装ドメインになるようになっていたのです。

outlookによる表示

htmlメールを表示しない設定にしていると、このように実際のアクセス先のURLが表示されます。なんと手が込んでいるのでしょうか・・・。しかも、メール上に実際に表示される「https://www2.etc-meisai.jp/etc/R?funccode=1013000000&nextfunc=1013000000」は正規の「ETC利用照会サービス」です。つまり、フィッシングメールかどうかは、メールの見た目や表示上のURLだけで判別することは困難であるということです。(もちろん、htmlを無効化し、ヘッダを検証するなどすれば見極めは可能)ITリテラシーがかなりしっかりしている人でも騙されてしまうと思います。

記載リンクへ個人情報を入力する(ダメ絶対)

フィッシングメールと気づいたので、どこまで作りこまれているか確認してみました。(絶対にマネしないでください)

空の状態でもOKだった

このページではユーザーIDとパスワードが求められますが、空の状態で「次へ」ボタンを押しても次の画面に遷移しました。なお、この偽ページの「利用規約」や「プライバシーポリシー」をクリックしてもそのページが開くことはありませんでした。これは偽サイトあるあるです。偽サイトか見分ける1つの目安にするとよいと思います。

クレカ情報の修正を求められる

さて、次のページに行くとクレジットカード情報を入力するように促されます。この画面もやはりよく作りこまれていて、適当なクレジットカード番号を入れると弾かれます。そこで、テスト用のクレジットカード番号を入力してみます。

qiita.com

クレジットカードには、開発用に使うことができるテスト用の番号というものがあります。正規のサイトの場合はもちろん入れるとエラーを返しますが、偽サイトはエラーを返さないことが多いです。これも個人的には目安になると思っています。
さて、テスト番号を入れてみたところ、3Dセキュアの画面に推移しました。

3Dセキュアの画面が表示される

偽サイト様は3Dセキュアも忘れてはいません。どうやらカード番号からブランドもしっかりと検知して表示を切り分けているようです。僕は今回Mastercardのテスト番号を用いたのでしっかりとMastercardのロゴが表示された3Dセキュア画面になっています。ここでも適当なパスワードを入力してみると・・・

登録が完了してしまった


登録が完了してしまいました。今回私が入れたカード情報は完全に適当で嘘の情報なので正規サイトであれば正常に登録が完了するはずがありません。この後、正規の「ETC利用照会サービス」のサイトにリダイレクトしました。たちが悪いです。

今回のまとめとフィッシングサイトの見極め方

今回のようなパターンのフィッシングメールはITリテラシーがある人でも引っかかる可能性が高いと思います。もちろん万能な方法ではないですが、以下のどれかに当てはまればフィッシングメールである可能性が高いです。そもそもメールのリンクは開かないようにしましょう。あとメールのhtml表示は無効化すると安全です(とはいえ犠牲も多いのでお勧めとは言い切れませんが・・・)。

  • 日本語がおかしい
  • 迷惑メールフォルダに入っていればフィッシングメールである可能性は高い
  • ブラウザで開いてみて怪しいドメインになっていないかチェックする
    (そもそもリンクは極力開かない)
  • (判別がつかなかったら)適当に情報を入れてページが推移したら偽サイトの可能性が高い
  • (判別がつかなかったら)偽サイト内のプライバシーポリシーや利用規約などのリンクをクリックしてみて推移しなかったら偽サイトの可能性が高い