「PayPalユーザー」を狙う巧妙なフィッシングメールにご注意：ESETが手口と対策方法を解説

　PayPalユーザーを狙う新手の巧妙なフィッシング詐欺が報告されている。スロバキアのセキュリティ企業 ESETの研究者が2017年1月27日（現地時間）、その手口と対策方法を解説した記事を同社の公式ブログで公開した。以下、ブログ記事を抄訳する。

PayPalユーザーを狙う新手の巧妙なフィッシング詐欺の手口

　このフィッシング詐欺では、最初にロゴや文言が一見本物のような電子メールが届く。

　しかし、文法や構文にミスが多く、送信者はネイティブスピーカーではないと推測される。詐欺が疑われる証拠の1つだ。

一見すると本物のようなメールが届く（出典：ESET）

　メール受信者が「Log in」リンクをクリックすると、

　の短縮URLサービスを経由して、

　のURLのアドレスランディングページに誘導される。

　このページでは、もっともらしい偽のログイン画面が表示され、真正性を示すSSL証明書まで用意されている。

　しかし上記のように、ランディングページのドメインはPayPalとは無関係である。他のフィッシング詐欺でもそうだが、詐欺師は一般的に、動的に生成された多数のドメイン名を使う（本物のドメイン名と“若干”違うだけの場合もある）。これも詐欺サイトとされる分かりやすい証拠になる。

　この偽ログイン画面に情報を入力すると、偽メールの文面とつじつまを合わせた偽情報を含むメッセージが表示される。

情報を入力すると、偽メールの文面とつじつまを合わせた偽情報を含むメッセージが表示される（出典：ESET）

　このメッセージは、差し迫った印象を与え、不安を駆り立てる手口で、さらなる情報の入力を促している。ここで「Continue」リンクをクリックすると、以下のページが開き、重要な個人情報の入力を求められる。これが詐欺師の目当てとする情報だ。

不安を駆り立て、重要な個人情報の入力を求める（出典：ESET）

　この画面では、米国でのみ有効な社会保障番号（Social Security Number）の入力を促しているが、併せて居住国も質問している。また、「この画面で要請している情報を提供するまで、PayPalと連絡できない」と伝えることで、引き続き切迫感を演出している。

対策方法

　もしPayPalのセキュリティが心配ならば、「PayPal.comに直接ログイン」して、自分のセキュリティ設定を更新することが必要である。また、こうしたフィッシングメールを受けて個人情報を提供してしまった場合にまずすべきことは、被害の拡大を避けるために早急にPayPalのパスワードを変更することだ。

　なお、サイバー犯罪者はフィッシングサイトを「本物そっくりにする」ことに労力を注いでいる。仮にPayPalユーザーではないとしても、別のサービスでも起こり得ることであることを念頭に置いてほしい。

　こうしたフィッシング詐欺に対する自衛策は以下の通り。

• 「問題が発生している」として、WebサイトURLのクリックや添付ファイルのオープンを求めるメールがPayPalなどから送られてきた場合は、その要求に応じるのではなく、対象企業／サービスのサイトに「直接」ログインするようにする
• Webサイトの閲覧中にPayPalなどのサイトにアクセスしようとしてアラートを受けた場合は、アドレスバーのURLが正規のものかどうか（今回では、http://www.paypal.com/やhttps://www.paypal.com/から始まるかどうか）などを確認する。
• ユーザーが1つのパスワードを複数のサイトやサービスで使い回しているとフィッシング詐欺の問題がさらに深刻化する。このためにWebサイト／サービスを展開する企業は、ユーザーのためにも「2要素認証の導入」を考える