先日出勤前に届いたメール通知。
【あなたのAmazonアカウントはセキュリティ上の理由で中断されました】
は?マジで?
とりあえずメールを見てみると、文言の日本語が怪しい&Amazonに登録していないメールアドレスに届いていたので、これはフィッシング詐欺メールだなと確信しました。
ただ、こういったフィッシング詐欺の実情を知らない人は、届くと驚いてメール内のリンクを思わずクリックしてしまう場合もあるかもしれません。
という事で、本日は実際に届いたフィッシング詐欺メールをクリックしたらどうなるのか実験してみたのでそのご報告と、自分がフィッシング詐欺対策として気を付けているポイントをご紹介しておきます。少しでも参考になれば幸いです。
今回届いた、Amazonを名乗るフィッシング詐欺メールの内容
今回届いた、Amazonを名乗るフィッシング詐欺メールの内容は以下の通り。
件名:あなたのAmazonアカウントはセキュリティ上の理由で中断されました
差出人:Amazon.co.jp <no-reply@accounts.google.com>
あなたのアカウントは停止されました
こんにちは ********@yahoo.co.jp、
誰かがあなたのamazonアカウントで他のデバイスから購入しようとしました。そうでなければ、Amazonの保護におけるセキュリティと整合性の問題により、セキュリティ上の理由からアカウントがロックされます。
アカウントを引き続き使用するには、24時間前に情報を更新することをお勧めします。 それ以外の場合、あなたのアカウントは 永久ロック.
確認用アカウント
宜しくお願いします
Amazon Protection
Copyright @ 2019 Amazon Inc. 1 Infinite Loop、クパチーノ、CA 95014、All Rights Reserved。
日本語がおかしい部分が散見されるので、普通の人なら「あれ?なんかおかしいぞ。。。」と気付くはず。少しでもメールの内容に違和感を感じたら、絶対に信用しないようにしましょう。
ただ、最近はこういったフィッシング詐欺メールも進化してきています。文面に違和感がなかったとしても、安易に信用しないのが鉄則です。
実際にフィッシング詐欺メールをクリックしてみた!
これ、皆さんは絶対に試したらいけませんよ!
リンク先にマルウェアなど、どんな危険が潜んでいるか分かりません!安易な気持ちで詐欺と気付いているメールをクリックすることはしないように、重々ご注意くださいませ!
さて、管理人も若干ドキドキしながら詐欺メールのリンクを踏んでみました。今回はOperaブラウザのVPN機能を利用し、セキュリティも高め、意を決してリンク先へ。
すると、いきなり【フィッシング警告】が表示されました。ただし、こういった詐欺サイトが設置されて間がない場合はブラウザの警告が出ない可能性もあります。警告が出ないから安全とは決して言えませんのでご注意を。今回はあえて【この警告を無視する】をクリック。
すると、以下のようなエラー画面が表示されました。やや拍子抜けしましたが、すでにフィッシング詐欺サイトは何らかの理由で閲覧できないようになっているようです。
ちなみに表示されたアドレスは以下の通り。
sign-in.amaazon.co.jp.masuk-4.com
※絶対にこのURLにはアクセスしないようにしてください。
【amazon】ではなく、【amaazon】という表示になっているのと、通常であれば【amazon.co.jp】と表示されるべきURLが、【amaazon.co.jp.masuk-4.com】と、後ろに【masuk-4.com】が付いている点がポイントですね。
フィッシング詐欺メールに騙されないために。普段管理人が気を付けているポイントまとめ。
フィッシング詐欺メールは日々進化しており、一見しただけでは詐欺メールと気付けない場合もあります。皆様も十分日ごろからお気を付けくださいね。
ちなみに管理人がフィッシング詐欺対策で気を付けているポイントは以下の通り。
1、基本的にはスマホのアプリを利用する。
こういったセキュリティ通知などが届いた際には、焦ってメール内のリンクをクリックしそうになるかと思いますが、これは相手の思うつぼ。時間制限をかけて焦らせる(~時間以内になど)ことで、考える時間をなくそうとしているのです。とりあえずこういったセキュリティ通知などが届いたら、スマホやタブレットがある場合は、該当する企業の専用アプリからログインを試してみるのがおすすめです。
もしも不正なログインなどがあれば、アプリを起動した時点で何らかの通知が届いているでしょうし、場合によってはパスワードの再設定を求められるかもしれません。いずれにしても、メールを直接クリックするのではなく、一呼吸おいて、アプリがあるならまずはアプリを起動してみることをおすすめします。
2、良く使うサイトはブラウザにブックマークしておく。
これもフィッシング詐欺対策としては有用です。詐欺メールは、メール内の誤ったリンクをクリックし、偽のサイトを表示させ、そこでメールアドレスやパスワード、個人情報を搾取するのが目的です。
しかし、あらかじめ正しいサイトをブックマークしておけば、【セキュリティ通知の詐欺メール→メールを閉じる→ブックマークから正しいURLをクリック】と対処することで、詐欺サイトに騙されることもほぼなくなります。(正規サイトが改ざんされていたら無理ですが、それはどうしようもない)
普段常用しているサイトは、ぜひブックマークしておきましょう。
3、ブックマークしていない場合はGoogleで検索。
これは100%安全とは言えませんが、Googleで大手サイトを検索すれば、通常ならトップに正しいサイトが表示されているはず。あまり推奨は出来ませんが、やむを得ない場合は「Google検索」を活用してみてくださいね。
4、パソコンやスマホのアップデート、セキュリティ対策は最新に。
これはパソコンにしてもスマホにしても最低限必須の防衛策ですが、OS/アプリ/ブラウザなどの状態を最新の状態に保つことは、セキュリティ上非常に重要です。皆さんもこまめなアップデートはお忘れなく。
5、各種アカウントに2段階認証があれば必ず利用する。
どんなサービスでもそうですが、アカウントのセキュリティレベルを高めておく事は非常に重要です。その中でも最近様々なサービスで積極的に導入されているのが2段階認証システム。
ログイン時にIDとパスワードを入力すると、事前に設定した電話番号やメールアドレスに認証コードが届いたり、Appleなどの場合は認証済み端末に認証画面が表示されるというもの。
これなら仮にIDとパスワードが盗まれても、実際のログイン時には自端末に届いた認証コードを入力する必要があるので、相手はサイトへのログインが出来なくなります。もしも利用中のサービスに2段階認証の設定があるなら、必ず設定しておきましょう。
6、パスワードの使いまわしはしない。
2段階認証を利用すればあまり気にしなくて良いという考えもあるかもしれませんが、基本的に各種サービスにおいて最低限パスワードは使いまわししないようにしましょう。
例えフィッシング詐欺でパスワードを盗まれたとしても、パスワードを使いまわししていなければ、被害に遭うのは該当サービスだけで済みます。しかし、様々なサイトでIDとパスワードを使いまわしていると、芋づる式に他のサイトでも不正利用が発生するかもしれません。
最近はAppleにしてもGoogleにしても、自動的にパスワードをサイト毎に生成して保存する機能などが充実してきています。ぜひこれらを有効に活用し、パスワードは絶対に使いまわししないように注意してください。ちなみに自分は、有料ですが「1password」というパスワード管理サービスを愛用しています。
7、もしもに備えて、カード会社などの緊急連絡先はあらかじめ控えておく。不審な引き落としが無いかは要チェック。
どんなサービスにも“絶対安全”ということはあり得ません。自分に過失が無くても、個人情報が流出する場合もあるでしょうし、物理的な窃盗などでカードが盗まれることもあるかもしれません。
もしもに備えて、普段自分が使っているクレジットカードや電子マネーなど、紛失/盗難時の緊急連絡先は、あらかじめスマホの連絡帳に登録(専用のグループを作っておくのがおすすめ)しておいたり、紙にメモして金庫保管などしておきましょう。いざという時の備えは非常に重要ですし、焦ると気が動転してなかなか正常な判断も出来なくなります。平時にこそ、いざという時の備えをしっかり行っておくべきです。
また、普段から銀行口座やクレジットカードから、不審な引き落としが無いかをチェックする癖は付けておきましょう。
8、どうしてもメール内のリンクをクリックする必要がある場合は、遷移後のURLをしっかり読み解く。
何らかの理由でどうしてもメール内のリンクをクリックする必要がある際は、クリック後のURLには十分注意しましょう。ブラウザの上部に表示されるアドレスですね。
先ほど紹介した偽サイトであれば、【amaazon.co.jp.masuk-4.com】と怪しいアドレスになっているので分かりやすいですが、最近はこれらも巧妙に仕組まれるようになっています。
メール内のリンクをクリックした後は、最低限一旦URLを確認する癖は付けておきましょう。
9、その他参考になりそうなフィッシング詐欺対策サイト
フィッシング詐欺対策の参考になりそうなサイトをご紹介しておきます。こちらも併せてご一読を。
まとめ:不審なメールには十分ご注意を。
今回はたまたま届いたAmazonを語る不審なフィッシング詐欺メールについてご紹介してみました。
昨今は詐欺メールの文言も進化し、より自然な日本語を語る事例も増えているようです。皆さんもセキュリティの通知メールなどが届いたら、安易にメール内のリンクをクリックしないよう、十分お気を付けくださいませ。
最近は2段階認証プロセスを採用しているサービスも増えてきています。ぜひ改めて使用中のサービスを確認し、2段階認証が利用可能なら今すぐ設定しておくことをおすすめします。
なお、個人的に期待しているのがiOS 13から採用される予定の【Sign in with Apple】機能。これによれば、対応サイトであれば「Appleでサインイン」をタップし、Face IDかTouch IDで認証するだけでサインインが完了となります。希望に応じてAppleが固有のEメールアドレスを作成し、あなたの本物のEメールアドレスに転送することも可能となるようです。
どの程度対応サイトが出てくるかはまだ分かりませんが、大いに期待している新機能です。Googleもぜひ同様の機能を搭載してくれると、一気に詐欺に騙されることも減るかもしれませんね。
以上、参考になれば幸いです。
【追記】その他のAmazonに関する詐欺メールもご紹介しておきます。
現時点でもどんどん様々な詐欺メールが届いています。最新のAmazonを語る詐欺メールが届いたので、追記しておきますね。騙されないようにご注意を。
※メール内に記載されている電話番号には絶対にかけないように!
Amazonセキュリティ警告:提供された情報がカード発行者ファイルの情報と一致しません
お客様各位 *****@yahoo.co.jp,
私たちはあなたのAmazonアカウントとすべての保留中の注文を保持しました。
ご提供いただいたお支払い情報がカード発行会社のファイルの情報と一致していません。 この問題を解決するには、支払いカードに登録されている名前、住所、電話番号を確認してください。 最近引っ越した場合は、カード発行会社でこの情報を更新する必要があるかもしれません
今すぐアップデート
これには時間がかかります。1日以内に確認プロセスを完了できない場合、保留中のすべての注文がキャンセルされます。 このプロセスが完了するまで、アカウントにアクセスできません。 新しい注文は遅れる可能性があるため、新しいアカウントを開設しないでください。
弊社のセキュリティ対策にご理解とご協力をお願いいたします。
ご清聴ありがとうございました。
よろしく,
Amαzon Support
※原文まま。
Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認
Аmazon お客様
残念ながら、あなたのアカウント
Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため
Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。
Аmazon ログイン
なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。
パスワードを変更した覚えがない場合は、至急(03)-5757-5252までお電話ください。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。
Аmazon
※原文まま。
あなたのアカウントは停止されました
こんにちは ****@yahoo.co.jp、
誰かがあなたのamazonアカウントで他のデバイスから購入しようとしました。そうでなければ、Amazonの保護におけるセキュリティと整合性の問題により、セキュリティ上の理由からアカウントがロックされます。
アカウントを引き続き使用するには、24時間前に情報を更新することをお勧めします。 それ以外の場合、あなたのアカウントは 永久ロック.
確認用アカウント
宜しくお願いします
Amazon Protection
※原文まま。メアドは修正しております。
コメント
はじめまして。
この手のメール、最近多いですね。
自分のところには、Apple ID、クロネコヤマトからも同様のメール(もちろんどちらも偽物)が届きました。
これよりもはるかに自然な日本語で、たまたまそのメールアドレスでのアカウントは持ってなかったので気付きましたが、騙される方が悪いとは言い難い巧妙なレベルで、自衛は不可能に近いと感じました。
今回紹介されている対応策も、そもそもメールに騙されてしまえば、ほとんど役に立たないと思います。
(実は、Apple IDの時は途中まで騙されていて、メアドの確認という2段階認証っぽいAppleそっくりサイトに誘導されました。自分は2段階認証にしていなかったので、逆に「何のために必要?」と、そこで気付きましたが)
iOS13にも期待はしていますが、それだけをあてにせず。
IT関連の仕事につかれている皆様には、この手の成りすましメールを排除する方策を、是非とも講じていただきたいと願っています。
コメントありがとうございます。
おっしゃる通り、フィッシング詐欺という言葉自体を知らない方や、セキュリティ意識の低い方は、そもそもこの記事を目にすることもないと思います。
ただ、一人でもこの記事でフィッシング詐欺への対策や認識を強化してくだされば、個人的には非常に嬉しいです。
今後は自衛だけでなく、メールアプリやブラウザ、セキュリティアプリなどの対策が強化されていき、騙される人が減っていくと良いですよね。
通常この類のメールは迷惑メールフォルダに自動で振り分けされるんですが、今回のこのメールは通常の受信フォルダに届いたため、詐欺と思いませんでした、でも、永久ロックという単語がおかしくて、調べたらこのサイトにたどり着きました。詐欺だと確認できてとても安心しました、ありがとうございました!!!
コメントありがとうございます!
少しでもお役に立てたようで何よりです(*´ω`)
何も考えずに入力してしまい・・・ おかしいと感じてここに辿り着きました。そして直ぐにカード再発行手続きを取った次第です。 もう少し早く気づけば良かった。。。。。 TVで芸能人が詐欺に引っかかるか?というのをやっていて、そんなの引っかからないと思っていたのに。。。 今日仕事でもミスをして。。。 そんな日は気を付けないとダメですね。ありがとうございました。
なんというか、、、いろいろとお疲れ様です。
自分も何度か詐欺には引っ掛かりそうになったこともありますし、人間ミスは0にはできません。要は、ミスをした後に、いかに迅速に適切に対処するかが重要だと思います。
その点、KNさんはカードの再発行手続きもされていますし、対処は適切だと思います。
人生上手くいかない時は意外と悪いことが続きますよね。気持ちを上手く切り替えて頑張っていきましょう!