第2弾マイナポイントの申込みは9月30日をもって受付を終了したということですが、マイナポイント事務局を騙ってポイント取得の申込を促して誘導するフィッシングメールは引き続き配布されているようです。
「申込期限が延長された」と虚偽情報
マイナポイント事務局を騙った「【マイナポイント第2弾】20,000円分のポイントプレゼント!」と題したメールが配布されています。申込期限が2023年11月末まで延長されたと虚偽の情報を記し、応募専用サイトにアクセスして20,000円分のマイナポイントを取得するように促していますが、誘導先はフィッシングサイトです。
マイナポイント第2弾キャンペーンは2022年1月から始まった総務省のキャンペーンで、マイナンバーカードの取得に5000円分、マイナンバーカードを健康保険証として利用するための申込や公金受取口座を登録するとそれぞれ7500円分、計2万円分のマイナポイントを受け取れるというものです。今年9月30日に申込の受付を終了しましたが、第2弾マイナポイントキャンペーンに乗じたフィッシングキャンペーンはなお継続しているようです。
マイナポイントのキャンペーンはマイナンバーカードの普及を促すことが目的ですから、メールでポイントの取得を促すことはあり得そうですし、フィッシングメールの作りもそれっぽいので正当なメールと勘違いする恐れがあります。ソーシャルエンジニアリングの手法で騙そうとしているわけです。しかし、よく見てみるとこのメールにはおかしな点がいくつかあります。まず、冒頭の文面は「マイナポイント第2弾で2万円のマイナポイントを獲得しましたが、まもなく無効になります」とたどたどしい日本語です。
不可解なURL、海外のサーバー使用か
さらに、メールに貼ってあるURLの綴りは「mynembercard.point.soumu.jq/com/contact/」というもので、これは本来「mynumbercard」とすべきところ「mynembercard」と誤って表記しているように思われます。また「jq」は、日本のドメインの「.jp」の誤りではないでしょうか?このリンク先URLの綴りはメール上の表記にすぎないので、あえてこのような綴りにしていることはないように思います。察するに英語の綴りに慣れていない、日本のドメインに馴染みのない人がひな型のメールに書き加えているのかもしれません。
このフィッシングメールのドメインは、アメリカのレジストラ業者のようですが登録国は香港のようです。一方、メールに貼ってあるURLのリンク先ドメインのレジストラは香港の業者のようですが、登録国はアメリカになっているようです。そしてメールも誘導先サイトもシンガポールに所在する事業者のサーバーが使われているようです。いずれにしてもマイナポイント事務局を騙るフィッシングメールは海外から送られてきているようなのですが、その目的はなんなのでしょうか? 偽の申請画面で、個人情報やマイナンバー、金融情報などを記載すればそれら情報は窃取されると考えられますし、なんらかのマルウェアが仕掛けられる恐れもあります。
総務省では第2弾マイナキャンペーンの受付が終了していることをウェブサイトで伝えるとともに、メールやSMSでマイナポイント関連のサイトへ誘導することは絶対にありません、と注意を喚起しています。そして不審なメールを受け取ったら記載されているURLにアクセスしたり、返信しないように求めています。ただ、フィッシングサイトのページにアクセスしてしまい個人情報などを送信してしまった場合の対応については、あまり情報発信がなされていないように感じます。現状、自分で気をつけるしかありません。確実なメールやSMS以外は開かない触らないことが鉄則です。
■参考
https://mynumbercard.point.soumu.go.jp/flow/mnp-get/security_measures/alert/