1. はじめに
最近のフィッシングメールは、見分けるのが難しいほど巧妙になっています。「ドメイン名の有効期限が切れる」という急を要する内容で受信者を焦らせ、不用意にリンクをクリックさせるメールが届いていました。今回は実際に確認したフィッシング詐欺メールの手口と、その見破り方について共有します。
2. フィッシングメールの新たな手口
今回観察したフィッシングメールは、一見すると正規のサービス提供元からの連絡のように見えます。件名には「【ロリポップ】ドメイン名はまもなく有効期限が切れます。」と書かれ、差出人のメールアドレスも「lolipop.jp@gmo.jp」と、実在するサービス名を含む信頼性の高そうなアドレスになっています。
メールの本文では「お客様のサービスは昨日付に有効期限が切れました」と警告し、「すぐに更新」するよう促しています。期限切れのサービスとして「ドメイン」が挙げられ、期限日も「2025年6月14日」と具体的に記載されています。さらに「手遅れになる前に、今すぐ行動しましょう!」という言葉で焦らせる手法も使われています。
3. 偽装の仕組み
このようなフィッシングメールの巧妙な点は、メールアドレスの「なりすまし」です。表示されている送信元アドレス「lolipop.jp@gmo.jp」は、実際の送信元を偽装したものです。メールのヘッダー情報を確認すると、本当の送信元は全く別のアドレスであることがわかります。
さらに危険なのは、メール内のリンクです。一見すると更新手続きのための正規リンクに見えますが、実際のリンク先は全く異なるドメインを指しています。
4. AWSの悪用手法
注目すべき点は、攻撃者がAmazon Web Services(AWS)のストレージサービス「S3」を悪用している点です。
今回の例では「https://magic8812e.s3.amazonaws.com/3.html」というURLが使われていました。S3は、ウェブサイトのファイルを保存・配信できるクラウドストレージサービスです。このサービスを悪用することで、攻撃者は「amazonaws.com」というAmazonの信頼性の高いドメインを借りて、偽のログインページを設置しています。
画像では、さらにリダイレクト(自動転送)の手法も使われています。クリックすると一度AWSのページを経由した後、「lolipop-order.lacasonadelasfraguas.com」という怪しげなドメインに転送される仕組みになっているのです。このページは本物のロリポップのログイン画面そっくりに作られており、ここでIDとパスワードを入力すると、情報が攻撃者に送信されてしまいます。
5. 見破るためのポイント
こうした巧妙なフィッシング詐欺を見破るためには、いくつかのポイントに注意する必要があります。
まず、URLを必ず確認しましょう。リンクにカーソルを合わせると、実際のリンク先が表示されます。正規のサービス提供元のドメインとは明らかに異なるURLであれば、それはフィッシングサイトの可能性が高いです。
次に、メールの内容が「急いで」「すぐに」などの言葉で焦らせようとしていないか注意しましょう。正規のサービスからのお知らせであっても、冷静に考える時間を奪うような表現は使われないことが多いです。
また、サービスの契約状況を自分で確認することも重要です。不安に思ったら、メールのリンクではなく、自分でブラウザから公式サイトにアクセスして確認しましょう。
6. 技術的な防御策
技術的な観点からは、メールヘッダーの確認が有効です。SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)といった認証技術が正しく設定されているかを確認できます。これらは送信元のドメインが本物かどうかを検証する技術です。
また、AWSのS3バケットを使った攻撃については、URLに「s3.amazonaws.com」という文字列が含まれているかどうかをチェックするとよいでしょう。正規のサービスサイトであれば、通常は独自のドメイン(例:lolipop.jp)を使用しています。
7. まとめ
フィッシング詐欺は年々巧妙になっており、AWSなどの信頼性の高いサービスを悪用する手口も増えています。不審なメールを受け取ったら、URLを確認し、焦らされず、公式サイトから直接情報を確認する習慣をつけることが重要です。送信元アドレスの偽装、リダイレクトの悪用、信頼性の高いドメインの借用など、攻撃者の手口を理解することで、フィッシング詐欺から身を守ることができます。