【緊急警報】3日間で311件！ポイント失効を騙る詐欺メールが異常増殖中――7ブランドの実態を公開

こんにちは。
「頼れる街のIT専門家」のハートランド・ラボです。

いつも当ラボのセキュリティ情報をご覧いただき、
本当にありがとうございます。

本日は、ここ最近で最も緊迫した、
非常に危険な状態について緊急で警報を発信いたします。

① 突如として押し寄せた大量の「偽メール」

今週、当ラボの調査用メールアドレスに届いた
迷惑メールを解析したところ、恐ろしい事実が判明しました。

確認された詐欺メールのうち、
実に96.4%以上が、
私たちの身近な「ポイント」に関するものだったのです。

その数、わずか3日間で311件。

これは明らかな異常事態です。

解析の結果、これらのメールはすべて、
私たちの財産や個人情報を盗み取ろうとする
フィッシング詐欺（偽のサイトに誘導してパスワードなどを盗む犯罪）だと分かりました。

つまり、私たちのメールボックスは今、過去にない規模の罠（わな）に囲まれているということです。

② なぜ、今この瞬間に集中しているのか？

犯人たちが「5月末」という、
この時期を狙ってきたのには明確な理由があります。

多くの企業やサービスでは、
年度末や春のキャンペーンで貯まったポイントの有効期限を、
「5月末日」に設定していることが多いのです。

犯人たちは、この社会のサイクルを完全に把握しています。

日常的に「ポイント失効」のニュースを目にする時期だからこそ、
このようなメールが届いても、
私たちはつい「本物かもしれない」と信じそうになってしまいます。

これは、魚を釣るときに大量の「撒き餌（まきえ）」をして、
魚の警戒心をなくしてから針を食わせる手法とまったく同じです。

「もうすぐ消えてしまう」「本日中に手続きしないと損をする」
という強い焦りの心理を植え付けることで、
私たちから冷静な確認作業を行う時間を奪おうとしています。

つまり、時期的な心理の隙（すき）を突いた、非常に計算高く悪質な攻撃であるということです。

③ 日本を標的にした「大量生産」の裏側

なぜ、これほどまでに同じようなメールが溢れかえっているのでしょうか。
当ラボで技術的な背景を深く調査いたしました。

現在、世界中で毎日のように発生している「新しい種類のメール攻撃」のうち、
なんと約84%が、この日本国内に向けて放たれているというデータがあります。

その原動力となっているのが、ブラックマーケット（犯罪者たちが集まる闇市場）で流通している
「CoGUI（コグイ）」と呼ばれる、日本人専用に作られたフィッシングキット（詐欺サイトを簡単に構築できる工具セット）の存在です。

このキットを使うと、メールの文面や、偽のログイン画面に表示するブランドのロゴマーク（楽天、Vポイント、Pontaなど）を、
ボタン一つで簡単に差し替えることができます。

犯人たちにとって、中身のプログラム（手口）はまったく同じままで、
見た目のデザイン（ブランド名）だけを変えて何種類もの詐欺メールを量産できるため、
非常に効率よく（コスパよく）攻撃を行える仕組みになっています。

今回、5月末という絶好のタイミングに合わせて、
この量産システムが一斉にフル稼働したと考えられます。

つまり、私たちが今直面しているのは、偶然の流行ではなく、海外の犯罪組織によって日本全体が計画的に集中攻撃されているということです。

④ 襲われた7つの有名ブランド：集計データ

今回、当ラボで検知した311件のメールを、
騙（かた）られたブランド（悪用された企業名）ごとに集計いたしました。

グラフや表をご覧いただくと分かるとおり、
「楽天」「Vポイント」「Ponta」の上位3ブランドだけで、
全体の約74%を占めています。

利用者が特に多く、日常的に使われているポイントほど、
犯人たちに激しく狙われていることが浮き彫りになりました。

つまり、日本中で誰もが持っているお馴染みのポイントこそが、今一番危険な標的になっているということです。

⑤ 届いたメールの「実態」を再現

犯人たちが実際にどのようなメールを送ってきたのか、
その中身を忠実に再現します。
以下は、メールのスクショです。

スクショだけじゃ伝わらないので、以下はこのメールをテキスト化したものです。

このように、非常に丁寧な日本語で書かれており、
一見すると本物の公式メールと見分けがつきません。

裏側の通信記録（ヘッダー情報）を解析する

※なお、メールが届いた道筋を記録した「ヘッダー情報のスクリーンショット」につきましては、
当ラボがお預かりしている受信用サーバーの具体的な内部情報（セキュリティ設定など）が
露出してしまう恐れがあるため、安全性を考慮し掲載を控えさせていただきます。
その代わり、重要な解析結果のテキストを以下に公開いたします。

メールの最も古い「Received（経由したサーバーの記録）」を確認すると、
日本国内の一般企業のWebサーバー（■■■.jp）を不正に踏み台（乗っ取り）にして送信されていることが判明しました。

さらに、メールの送信元が正しいかを検証する「Received-SPF」という項目を見ると、
「softfail（ソフトフェイル：本物の送信元ではない可能性が非常に高いという警告）」
を記録していました。

そして、メールに記載されているURLを調査したところ、
「クローキング」という、非常に悪質な隠蔽（いんぺい）工作の疑いがあることが分かりました。

クローキングとは、アクセスしてきた相手が「セキュリティ会社の調査ロボット」だと分かると、
エラー画面や普通の真っ白なページを表示して正体を隠し、
「一般のスマホを持った人間」がアクセスしたときだけ、本物そっくりの詐欺ログイン画面を表示する騙しのテクニックです。

つまり、送信元を偽装し、一般企業のサーバーを乗っ取り、さらに専門家の目を盗む巧妙なシステムが組み込まれた本気の犯罪メールであるということです。

⑥ 被害に遭わないための「3つの見分け方」

犯人たちの手口は、どれも以下の3つのパターンに集約されています。
これらを知っておくだけで、詐欺を見破ることができます。

1. 「本日中」「今すぐ」という言葉で脅してくる
本物の企業が、大切なポイントが消えるその当日に、
いきなり1通だけのメールで「今日中に手続きしろ」と迫ることはまずありません。
数週間前、数ヶ月前から余裕を持って通知するのが公式のルールです。

2. リンク先のURL（ホームページの住所）の末尾が怪しい
メールに書かれている文字が「ponta.jp」や「rakuten.co.jp」となっていても、
実際に指で触れたり、クリックした先に進むと、
URLの最後が「.top」「.xyz」「.cn」といった見慣れない外国のドメイン（お尻の文字）に変わっています。

3. メールに書かれている理由が「未受取」「失効防止」ばかり
「あなたにまだ渡していないポイントがあります」「手続きをしないとアカウントを止めます」
という内容は、すべてCoGUI（詐欺キット）に最初から用意されているテンプレート（使い回しの文面）です。

つまり、「今日中にリンクを押させようとするメール」は、どんな理由があろうともすべて偽物だと断定して良いということです。

⑦ 私たちが取るべき「正しい対処法」

今回ご紹介した詐欺メールは、年齢や性別を問わず、
スマホを持っているすべての人に届く可能性があります。

特に、普段あまりスマホの操作に慣れていないご高齢のご両親や、
「おトク」という言葉に敏感なお子様などは、
焦って騙されてしまうかもしれません。

ぜひ、この情報を大切なご家族や周りの友人の方々にも、
「今、こういう詐欺がすごく増えているみたいだから気をつけてね」と、
LINEや会話のなかで伝えてあげてください。

皆様の優しい一声が、大切な人の笑顔と財産を守る盾になります。

何か少しでも「これっておかしいな？」と思うメールを見つけたり、
不安なことがありましたら、いつでも当ラボまでお気軽にご相談くださいね。

街のIT専門家として、いつでも皆様の味方です。

それでは、今日も安全なデジタルライフをお過ごしください。