2026年に入っても猛威を振るい続けるフィッシング詐欺。自称「フィッシング詐欺研究家」の私(耕平)の迷惑メール専用ボックスには、相変わらず毎日約200通もの怪しいメールが届いている。そのほとんどが銀行やクレジットカード会社、大手ECサイトを装ったありきたりのものだ。
ルーティンワークのように「またこのパターンか……」と機械的に削除していたある日、見慣れない偽メールが目に留まった。件名は『冬季節電促進助成金』。差出人は「経済産業省・資源エネルギー庁事務局」を名乗っている。
これは今まで見たことがない新手のフィッシング詐欺だ! ということで、その全貌を暴くべく潜入調査を敢行した。果たして、どのような手口で個人情報を抜き取ろうとしているのか? その一部始終をご覧いただこう。
【画像】このボタンを押したら最後、個人情報抜き取りの罠が待っている
・入口の偽メール
まず前提として、そもそも『冬季節電促進助成金』などというものは存在しない。この事実を踏まえて読み進めてもらいたい。
ということで、入口である偽メールを見ていこう。私のメールボックスに届いたのは「【資源エネルギー庁】助成金申請の受付完了(至急内容をご確認ください)」という件名のメールだ。
本文を見ると、「経済産業省・資源エネルギー庁事務局」を名乗り、「貴殿の助成金申請がまだ完了していないことを確認いたしました」という内容。そして受給可能額として「¥15000」と大きく表示されている。
申請期限も「2026-01-22」と具体的に記載されており、「重要なお知らせ」として期限内に申請がない場合は受給資格が失効するという警告文まで添えられている。なかなか手が込んでいる。
しかし、差出人のメールアドレスを見てみると……「reingerdaniel@damaku.com」???
調べたところ経済産業省のドメインは「meti.go.jp」で、資源エネルギー庁なら「enecho.meti.go.jp」が正しいらしい。それが「damaku.com」って……完全に怪しすぎる。しかも「reingerdaniel」という謎の名前。どう見ても、日本の省庁から送られてくるメールアドレスではない。
この時点でフィッシング詐欺確定なのだが、どのような手口で個人情報を抜き取るのか、さらに潜入を続けることにした。
・フィッシングサイトに潜入
メール本文にある「今すぐ申請手続きへ」というボタンをクリックすると、フィッシングサイトが姿を現した。
本物の資源エネルギー庁のロゴを使用していて、助成金サイトが実在するかは不明だが、いかにもそれっぽい。『冬季節電促進助成金』として「承認済み」のステータス、申請番号、発行日まで記載されており、助成金額は「15000円」、支給方法は「一括支給」と表示されている。
しかしURLを見ると「cbnpt.cn」と、中国のドメインが使用されているので、この時点で完全にアウトである。
下にスクロールすると、収入基準として「単身世帯:年間180万円以下」「2人世帯:年間240万円以下」などの条件が記載されている。さらに「重要なお知らせ」として「助成金の有効期限:1年間」「不正受給には罰則があります」など、いかにもって感じの注意書きが並んでいる。
そして画面中央には大きな「助成金を受け取る」ボタンが。いよいよ個人情報の抜き取りが始まる予感がする。ボタンをクリックすると、「助成金受取情報」の入力フォームが表示された。
「受取人情報と住所」として、姓、名、メールアドレスなどの入力欄がある。ここで私が得意とする数字の「1」だけを入力して進んでいく、通称「1攻め」があるが、昨今のフィッシング詐欺は進化しているので、この手法が通用しないことが多い。
そこで今回は、適当な文字数で適当な情報を入力して進んでいくことにした。
弾かれることなく無事に次のページに進むと、「助成金 受取内容の最終確認」と表示された画面が出現。
ここが巧妙だと思ったのは、支給予定額15000円から「事務手数料2%(-300円)」と「振込手数料(-110円)」が差し引かれ、「受取予定額:14590円」と表示されているところだ。手数料を引くことで、よりリアルな助成金の受取を演出している。なかなか芸が細かい。
さらに下にスクロールしていくと、ここからが本番。住所などの個人情報を入力させるフォームが姿を現した。
適当に入力すると、「確認中です。このままお待ちください……」と表示され、画面中央で何やらグルグル回っている。
そして、もはや定番。「本人確認(不正受給防止のため)」と称した、クレジットカード情報の入力フォームが登場! 「助成金の受け取りなのに、その情報必要ねぇだろ」とツッコミながらもクレジットカードの情報を入力してみる。
といっても、カードはフィッシング詐欺対策用のもので、すでに有効期限が過ぎている。それでも、入力するとSMS認証コードの入力フォームが現れた。
しかし偽の情報を入力しているため、当然SMS認証コードが送られてくることはない。ここでも適当な番号を数回入力すると、またグルグル回り始めた。
その後15分以上待機したが、このグルグルは消えず途中で断念。予測になるが、この最中にクレジットカードへのログインなどを試みていると思われる。