PUBG Mobileのアカウント情報を狙うフィッシングサイト

『PUBG Mobile』ユーザーのアカウント情報を手に入れることを狙った偽サイトが多数現れています。

ただでもらえるチーズは、ねずみ取りの中にあるものです。少々人聞きの悪い例えですが、無料で手に入る何かは本来「おびきよせるための餌」です。しかし近ごろは、多くの企業がフリーミアム戦略をとっていることもあり、本来の姿が利用者側では意識されなくなってきています。

フリーミアムモデルは、特にゲーム業界で広く見られます。ゲームの開発者も販売元も、ゲームにはまってくれて最終的にはゲーム内課金してくれるようになってくれることを期待して、ちょっとしたものをお試しで(無料で)提供しています。この、ただでもらえるチーズの持つ中毒性こそ、サイバー犯罪者が付け入る隙となり得るのです。『PUBG Mobile』のレアアイテムが手に入るとうたい、アカウント情報を差し出させようとするフィッシングサイトが、多数見つかりました。

『PUBG Mobile』の新モード登場便乗キャンペーン

先日、『PUBG Mobile』と『Metro Exodus』のコラボレーションによる新モードがスタートしました。『Metro Exodus』のアイテム、モンスター、メカニックが体験できる、期間限定のコラボモードです。コラボモードの開始からほどなくして、新アイテムが手に入るというキャンペーンのWebサイトが大量に現れました。

『PUBG Mobile』と『Metro Exodus』のコラボレーション記念と称し、ガチャを回せるようになっているフィッシングページ

『PUBG Mobile』と『Metro Exodus』のコラボレーション記念と称し、ガチャを回せるようになっているフィッシングページ

どれも同じような見た目をしています。『PUBG Mobile』と『Metro Exodus』のイメージが使われており、ルーレットの止まったところに書いてあるアイテムを手に入れることができるという内容です。ルーレットは、グローバル版のPUBG Mobileでガチャを回すときに出てくる「Lucky Spin」とよく似ています。ルーレットは無料で回すことができ、うまくいけば新しい銃が手に入るかもしれません。

TwitterまたはFacebookでのログインオプションがある。SNSでのログインは『PUBG Mobile』ユーザーにはおなじみの方法

TwitterまたはFacebookでのログインオプションがある。SNSでのログインは『PUBG Mobile』ユーザーにはおなじみの方法

獲得したアイテムを受け取るには、自分のアカウントにログインする必要があります。『PUBG Mobile』のユーザーにはおなじみの、TwitterまたはFacebookでログインする方式ですが、どちらを選んでもエラーメッセージが表示されます。

もう一度試すと、今度はログインできたように見えますが、さらに追加でアカウント情報の入力が求められます。キャラクター名や電話番号のほか、『PUBG Mobile』のアカウントレベルなども入力しなければなりません。情報を入力して送信すると「アイテムは24時間以内にお届けします」という内容のメッセージが表示されます。

左:追加情報の入力フォーム。そのユーザーのPUBG Mobile アカウントの価値を値踏みする材料に使われると考えられる。右:アイテムを24時間以内に届けるという内容のメッセージ

左:追加情報の入力フォーム。そのユーザーのPUBG Mobile アカウントの価値を値踏みする材料に使われると考えられる。右:アイテムを24時間以内に届けるという内容のメッセージ

『PUBG Mobile』x『Metro Exodus』のフィッシングサイトの目的

残念ながら、アイテムが届くことはありません。これらはすべて、偽物のWebページなのです。当社のリサーチャーは、数日のうちに260件もの偽サイトを発見しました。その数は現在も増え続けています。これらはTencent(『PUBG Mobile』の開発元)とは何の関係もなく、『Metro Exodus』の開発元とも関係ありません。これらWebサイトの目的は、ゲーマーのデータを盗むことです。

このサイバー犯罪者たちはまず、FacebookまたはTwitterのログイン情報を手に入れます。ユーザーとしてはどうしても新アイテムを手に入れたいという気持ちが強い、SNSでのログインはその他アプリでもよく使われている、したがってFacebookまたはTwitterでのログインを求めても疑われることはないだろう、という計算が背後で働いています。

しかし、彼らはもう一歩踏み込み、電話番号やアカウントレベルも聞いています。アカウントの再販価値を評価するために、こうした情報を取っていると考えられます。

PUBG Mobileのフィッシング被害に遭わないために

このフィッシングは、PUBG Mobileの新シーズン開始に合わせて十分に準備されてきたと見えます。アイテムが当たるという偽Webページは、デザインの面でも要求されるアクションの面でも、非常にもっともらしい作りになっています。それでも、詳しく見てみると、フィッシングサイトに特徴的な要素が見えてきます。

  • アイテム獲得キャンペーンは、PUBG Mobileの公式サイトまたはゲーム内で展開されているのでなければ、ほぼ間違いなく詐欺であると考えてください。
  • 自分の見ているWebサイトのドメインが「pubgmobile.com」ではない場合は、何も入力せず、すぐにそのWebサイトから離れてください。
  • キャンペーンが本物なのであれば、必ず開発元から公式アナウンスがあるはずです。開発元のSNSアカウントや公式サイトを確認してみましょう。そのアカウントやWebサイトが本物かどうかの確認も、お忘れなく。また、本物のアカウントやWebサイトでもハッキングされることがある、ということを念頭に置いておきましょう(実際にそういうことがありました)。
  • いかにももっともらしい詐欺を見抜くには、鋭い目が必要ですし、それだけでは見破れないときもあります。したがって、危険なWebページをブロックして詐欺やフィッシングから守ってくれるセキュリティ製品の使用をお勧めします。
ヒント