“スパムメール”の最新手口とは(※写真はイメージです)

写真拡大

 第1回【「オウム真理教のVHSビデオ」を購入しようとしたジャーナリストを襲う“謎の展開”…「奇妙な女」が自宅を訪れ、「黒ずくめの男」の姿まで】からの続き──。古い付き合いの友人から「オウム真理教の内部教育ビデオの中古品を扱っている販売サイトがある」と教えてもらい、資料集めの一環として早速そのサイトにアクセスをしてみた。(全2回の第2回)【作家・ノンフィクションライター・藤原良】

 ***

【写真をみる】明らかに怪しいけど見てみたい「オウム真理教の“内部教育ビデオ”」

 サイトは『株式会社み前利』(読み方不明)で、主に化粧品等のコスメ商品を販売しているネットショップだった。数ある化粧品類のサンプル画像の中に、どういうわけかオウム真理教のVHSビデオが混ざって販売されていた。販売価格は5525円。

“スパムメール”の最新手口とは(※写真はイメージです)

 私は、すぐに購入ページに移動して、氏名住所といった個人情報を入力していった。しばらくすると購入代金の振込先指定銀行口座番号がメールで届いた。

りそな銀行 八王子支店 2389959 グェン カック カイン。

 口座名義人名だけでもネット詐欺の悪臭を強烈に放っていたが、怪しい銀行口座に商品代金を振り込んだ。だがVHSビデオは送られず、自宅に怪しい女性が訪れ、近所では上下黒い服装で黒い目指し帽を被った不審者が目撃された……。

 警察や振り込みに使った銀行に相談しても、これと言った解決策はない。公的にうやむやにされたような印象しかない状況で、次は大量のスパムメールに悩まされるようになった。

 多い時で1日に約30件ものスパムメールが届くようになった。とても酷い状況だが、スパムメールのひとつひとつをよく見てみると、

「2024年度日本国民生活調査の結果により貴方様に6億5400万円の補助金の支払いが優先的に決定しましたので明日の12時までにLINE登録して下さい」

 というような明らかにスパムだと判別できるメールもあれば、堂々と実在する有名企業の社名を悪用しているスパムも多数あるのだ。

偽装できないアドレス

 たとえば、アメリカンエキスプレスを名乗り、「カード情報の定期確認」、「登録情報更新の手続き」を要求し、個人情報やクレジットカードの登録情報を抜き取ろうとする悪質なスパムメールも送られてきた。コピーライト表示は「American Express International」で、プライバシー保護の規約までちゃんと謳われてある。

 定期確認や更新手続きを進めさせようと、手続きの方法が段階ごとに丁寧に説明されている。悪質サイトへの誘導リンクも、そうとは気づかれないようもっともらしく表示されていた。

 実に巧妙で完成度の高いフィッシング詐欺系のスパムだとしか言いようがない。偽物だからこそ本物以上に本物らしく見えるように工夫している様子がひしひしと窺える。一瞬、このメールの内容に沿って手続きをしなければならないと勘違いさせられてしまうほどだ。

 大手企業を名乗るスパムメールの見分け方について、ネット詐欺や宗教問題に詳しい某探偵は「最近の大手会社は専用の自社アプリからのログインでしかやれなくなってるから、ランダムにメールを送ってサイトに誘導することはない」とのことである。

 さらにメールの内容がどんなに本物らしく見えてもメールアドレスは偽造しようがない。送り主のアドレスを確認すれば「不可解なアドレス」となっているはずなので、スパムメールと判別できる。

 ちなみに送られてきたアメリカンエキスプレスの場合は、「@bhhwdgy.cn」という中国(cn)のメールアドレスだった。

イオンの次は丸井の恐ろしさ

 丸井グループが発行しているエポスカードを模倣したスパムメールの場合は、

「不正利用検知システムにより第三者による不正の可能性を検知したため上記取引(TOYOTA walletチャージ 5万円分)を制限させていただきました。以下の回答ページよりご利用内容の確認にご協力ください」

 とあり、そのまま別サイトへの誘導を巧みに促している。しかもメールの最後には、本物の丸井グループ本社がある東京都中野区の住所まで表示してある。

 実は、以前にも丸井グループ本社の中野区の住所は別のスパムメールで既に悪用されており、その頃は、イオン銀行を名乗ったスパムの送り主住所が中野区の丸井グループ本社の住所だった。

 杜撰な住所表記にスパムメールだと気づいた人は多く、「イオン銀行を名乗るスパムは丸井グループ本社の住所表記があるからそこで見抜くように!」という対処情報が広まっていた。

 ところが今回は「丸井グループの正確な本社住所を表記した、丸井グループからのエポスカードの案内」というスパムメールが出現したのである。

 まさに二段重ね攻撃だ。以前のイオン銀行のスパムメールで、イオン銀行ならニセモノだが、丸井グループなら本物というイメージが流布してしまっていた。

銀行のスパムメールにダマされる理由

 そこに丸井グループのエポスカードを名乗るスパムメールが登場したのである。イオンで餌付けし、エポスで釣る──そんな巧妙さだ。

 悪質なネット詐欺に社名を利用された丸井も被害者でしかなく、丸井は自社サイトで「フィッシング詐欺にご注意ください!」として警視庁が開設しているフィッシング詐欺110番(註)や各都道府県のサイバー犯罪窓口への相談を案内している。

 他にも三井住友銀行や水道局を堂々と名乗るスパムも多い。三井住友銀行等の大手銀行を騙ったスパムの場合は「あなたのカードが不正利用されたので再登録手続きが必要」とか「登録情報の定期確認」といった触れ込みで個人情報等を抜き取ろうとする内容のものが常習的だ。

 近年の銀行は反社やトクリュウ対策のせいか、法人などの新規口座開設をする際、その審査が厳正の度合いを超えており、法人の営業活動の妨げになるほどだ。カードの暗証番号を間違えると、すぐにロックされてしまい、ロックを解除するのに相当な手続きが必要だったりして、何かと厳重体制になっている。

 厳重体制のイメージを国民に植え付けている大手銀行から「不正利用の疑いが生じているため再登録が必要」とか「登録情報の定期確認」といったメールが届くと「最近の銀行はいろいろと厳重だな」と混同してついついスパムの内容に従いたくなってしまう人も多いだろう。

法改正を知らない若者たち

 そのせいでネット詐欺の被害に遭ってしまう場合もあるはずだ。これではまさに本末転倒ではないだろうか。この辺りのサジ加減については、各銀行でもっと研究して実践して欲しい。

 それにしてもスパムメールはなぜなくならないのか?

 2002年に制定・施行された「特定電子メールの送信の適正化等に関する法律」という法律がある。05年と08年には改正強化が施され、送信者情報を偽装した広告宣伝メールの送信に対する刑事罰が設定され、広告宣伝に関する海外からの着信メールも規制の対象とされたが、まず、こういった法整備強化がなされたことが周知されていないという問題がある。

 実は改正前は、悪質な広告や宣伝メールは違法だが、たとえスパムだとしても誘導を主としたメールは違法ではないという時期があった。いわゆる悪質サイトに誘導するフィッシング詐欺目的のスパムを送信すること自体は規制対象外だった。

 クレジットカードの番号や個人情報を抜き取るサイトへ誘導するスパム自体も違法ではないという時期があった。先述したように改正強化によってこれも規制対象となったが、そのことを知らずに「フィッシングのスパムは違法にならないからやってもいいでしょ」と勘違いし、ネット詐欺グループのニセ会社などでスパムメールの送信作業にバイト感覚で加担してしまう若者もいる。

ダークウェブの恐怖

 犯罪だと把握していれば絶対にやらないという若者であっても、犯罪行為だと知らなければバイトとしてやってしまうのは無理のない話かもしれない。

 無知ゆえの愚かさは自己責任という指摘もあるが、法改正により規制強化が施されたことはもっと徹底的に周知させる必要があるのではないだろうか。公共の利便性と社会の安全維持を踏まえて必要な情報を周知伝達させることは情報化社会の基本であり、セキュリティ面から見ても単なる情報開示だけで済ますよりも伝達活動に力を注ぐことが犯罪の未然防止にプラスの影響を及ぼすことが容易に考えられる。

 また、2020年には個人情報保護法改正により、オプトインやオプトアウトで第三者提供できない個人情報データが増えた。これにより通称“名簿屋”と呼ばれる悪質業者による個人情報データの手売り転売が以前よりは難しくなった。だが「ダークウェブ(闇サイト)」を利用することで、いまだに個人情報などの転売がたやすくできる取引環境が整っている。

 ダークウェブは、通常のWebブラウザーではアクセスできず、特定のソフトウェアのみでアクセスできるという秘匿性と匿名性に特化したサイトで、盗み獲られた氏名や住所などの個人情報だけでなく、IDやパスワード、クレジットカード番号やスパム用のプログラムツール、マルウェア作成ツール、ランサムウェア関連ツールなど、ネット詐欺やサイバー犯罪に必要な「道具や部品」が多数販売されている。

スパムメールは犯罪の根源

 ハッカーによる不正ハッキングサービスの請け負い案内もあるほどだ。要するにダークウェブを摘発しなければこの手の犯罪が減ることはないだろう。この点についても法の強化や具体的な防止策を講じる必要性が大いにある。

「たかがスパムメール」と言う人がいる。「スパムが送られてきても無視してればいいでしょう」と言う人もいる。

 しかし、スパムメールがあらゆるネット詐欺やサイバー犯罪の“種”であり、スパムメールはダークウェブを構築する“毛細血管”だ。スパムを軽視することは、実は「ネット詐欺やサイバー犯罪を助長している」ことにつながる。それを理解し、スパムメールは犯罪の根源という社会認識を高めることが重要だろう。

 ちなみに、その後も私はフランス人ディレクターの依頼に従って、オウム真理教関連の資料を集め続けた。

 オウム真理教事件は1980年代後半から1990年代中盤にかけてテロ集団と化したオウム真理教が国家権力打倒を目論んだテロ事件だった。

 彼らが連続的に起こした多数のテロ事件は、多くの死者と後遺症に苦しむ負傷者を発生させ、国家権力打倒という目的を達成し得ないまま摘発、逮捕となり、教団代表者のみならず教団幹部や信者ら合わせて192人が起訴された。そして、2018年に代表者と幹部ら7人の死刑が執行された。

オウムとサイバー攻撃

 オウム真理教がテロ行為を活発化させた1990年代はスマホがなく、サイバーテロという言葉も耳にしない時代だった。もし今の時代に、優秀な研究者や行動力のある信者を多数抱えていたオウム真理教があったとして、あらゆるサイバー技術を駆使して国家権力打倒のテロ活動を企てたら、あの頃よりは国家にもっと大打撃を与えることができるかもしれない。

 ひょっとすると国家権力打倒という目的さえ達成してしまう可能性もある。数々の資料に目を通していると、ふとそんな気持ちにもなった。きっとオウムは「悪質なウェアツール」、「悪質サイト」、「ダークウェブ」、「スパムメール」……を大いに活用してテロ活動をするだろう。こんな不安が過ぎるのは私だけではないだろうと強く感じた。

第1回【「オウム真理教のVHSビデオ」を購入しようとしたジャーナリストを襲う“謎の展開”…「奇妙な女」が自宅を訪れ、「黒ずくめの男」の姿まで】では、藤原氏が詐欺サイトでオウムのVHSビデオを購入すると、謎の女性が自宅を訪問したり、黒ずくめの不審者が自宅近くで目撃されたりした一部始終を詳しく報じている。

藤原良(ふじわら・りょう)
作家・ノンフィクションライター。週刊誌や月刊誌等で、マンガ原作やアウトロー記事を多数執筆。万物斉同の精神で取材や執筆にあたり、主にアウトロー分野のライターとして定評がある。著書に『山口組対山口組』、『M資金 欲望の地下資産』、『山口組東京進出第一号 「西」からひとりで来た男』(以上、太田出版)など。

デイリー新潮編集部