見出し画像

イオンカードからの「カードがご利用いただけませんでした」に引っかかってみた

nolan合同会社

迷惑メールをクリックすると何が起こるのか、不安に思ったことはありませんか? このブログでは、実際に届いた迷惑メールのリンクをクリックしてアクセスした結果を検証し、その危険性をわかりやすく解説していきます。 「聞いたことはあるけど、具体的に何が問題なの?」という疑問をお持ちの方へ向け、専門的な内容もできるだけ噛み砕いてお伝えしますので、ぜひ参考にしてみてください。


1. 届いたメール内容

今回検証したのは、「カードがご利用いただけませんでした」という件名の迷惑メールです。イオンカードを装い、カードの異常な利用が確認されたという内容で、確認のためのリンクが含まれていました。

このメールの特徴:

  • イオンカードのロゴを使用

  • 緊急性を煽る件名と本文

  • セキュリティ通知を装った不安喚起

  • 送信専用アドレスを使用した返信防止策

検証は安全な環境であるWindows Sandboxを使用して実施しました。これにより、万が一の感染や情報流出のリスクを防いでいます。

2. アクセスしてみた結果

リンクをクリックすると、本物のイオンカードのウェブサイトと見分けがつかないページが表示されました。ここで重要な発見が3つありました:

  1. 完璧な偽装:ロゴ、レイアウト、デザインが本物そっくりに作られています

  2. 情報搾取の罠:IDとパスワードの入力を要求されます

  3. 巧妙な誤魔化し:入力後は「ID/パスワードが間違っています」というエラーが表示され、その間に情報が盗まれます

では、実際の画面を見せながら説明します。

まず、届いたメールのスクリーンショットです。
差出人に「AEONカード」と表示されているので、AEONから送られてきたメールと誤認しやすいですね。でも、その横に記載されているメールアドレスは、AEONとは全く関係のないアドレスになっています。ここを注意深く見ていれば、一発で詐欺メールと見抜けそうですね。

実際に届いたあやしいメール(一部修正してあります)

では、実際にアクセスしてみます。
※これを見ているみなさんは、このようなメールには不用意にアクセスしないでください。

リンク先にアクセスした偽ページ

このように、本物のページに見える画面が表示されました。
試しに、別のブラウザからGoogleで「イオンカード」と検索してアクセスしてみましょう。

本物のイオンカードのログインページ

左側のメニューが異なりますが、本物そっくりでしたね。
よく見ると、偽ページのほうは「重要なお知らせ」が6月から更新されていません。このように本物のページと比べると差が分かるので、こういったところを確認するクセを付けるとよいですね。

さて、アクセス先のURLを見てみましょう。

ae-on.co.jp???

「ae-on.co.jp」をいうドメイン名を使っています。本物っぽく見えますが、実際には「https://www.aeon.co.jp/」が正しいアドレスです。
よくよく見ると、「co.jp」の後ろにもドメイン名が続いています。

一部のみ表示しています

ドメイン名は「.com/」や「.co.jp/」など「/」が初めて出てくるところまでがドメイン名です。
なので、このドメイン名は「ae-on.co.jp.uyawbe(途中省略)ryufba.com/」となり、あきらかにイオンカードのホームページではないことが分かります。
今回はPCでアクセスしたので、ドメイン名全体を確認できましたが、スマホでアクセスすると、画面が狭いため途中までしか表示されておらず、本物と誤認する可能性があります。攻撃者も誤認してアクセスすることを狙って、ドメイン名の初めのところを本物のドメイン名を使うわけです。

スマートフォンでアクセスしたときのイメージ

では、IDとパスワードを入力してみます。
とは言っても、本物のID/パスワードを入力するわけにはいかないので、適当なID/パスワードを入力してみます。

適当なID/パスワードを入力した結果

「IDまたはパスワードが誤っております」と表示されて、何も起きませんでした。恐らくですが、何を入力してもこの表示が出ると思われます。
他のボタンやリンク先をクリックしても、特に画面が変わらなかったので、IDとパスワードを入力させて入手するのが目的と思われます。

3. 分析・考察

このフィッシング詐欺の手口は、以下の心理的テクニックを駆使しています:

  • 緊急性の演出:「カードが利用できない」という切迫感

  • 信頼性の偽装:本物のロゴや企業名の使用

  • 不安の煽り:セキュリティ上の問題を示唆

  • 親切心の装い:丁寧な言葉遣いと謝罪の文言

4. 実験を通じてわかったこと

今回の検証から、フィッシング詐欺の巧妙化が明らかになりました:

  • 視覚的な完成度が非常に高く、一般ユーザーには見分けが困難

  • 情報窃取後の誤魔化しまで計算されている

  • 正規の企業を装った精巧な偽装メール

対策のポイント:

  1. URLを慎重に確認(正規サイトとは微妙に異なる)

  2. 焦って情報を入力しない

  3. 不安な場合は、カード会社に直接電話で確認

5. まとめ

今回の検証で、フィッシング詐欺の手口が非常に巧妙化していることがわかりました。基本的な対策として:

  • 急かされても慌てて行動しない

  • メールのリンクからログインページに行かない

  • 不審に思ったら、公式サイトを直接開いて確認する

  • カード会社のサポートセンターに電話で問い合わせる

より詳しい迷惑メールの見分け方や具体的な対処方法については、別記事「フィッシング詐欺メール見破り方完全ガイド|最新手口と対策【2024年版】」でご紹介していますので、ぜひご覧ください。

【注意書き・免責事項】

  • この記事で紹介する検証は、安全な実験環境(仮想マシンやサンドボックスなど)で行っています。

  • 迷惑メールのリンクや添付ファイルを一般の環境で開くことは極めて危険です。絶対に真似しないでください。

  • 実際の不正URLやメールアドレスを紹介する場合は、安全確保のために伏せ字やスクリーンショットなどを利用し、アクセスできない形で掲載しています。

  • この記事は情報提供を目的としており、特定の行動を推奨するものではありません。万が一トラブルが発生しても、当方は一切の責任を負いかねます。ご了承ください。

いいなと思ったら応援しよう!

nolan合同会社
チップは励みになります!次の記事制作に使わせていただきます。ご支援いただけると泣いて喜びます✨ありがとうございます!