キヤノンMJ/サイバーセキュリティ情報局
フィッシングメールにうっかり反応してしまった! どうすればいいのか
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Amazonからのメールがフィッシングメール?ログインしてしまったら?」を再編集したものです。
巧妙化するフィッシング詐欺において、Amazonを騙るフィッシングメールを用いた手口は被害事例に事欠かない。この記事では、ますます増え続けるAmazonを騙るフィッシングメールの実態と、そのメールにアカウント情報を入力してしまった場合などの対策について解説していく。
Amazonからのメールを騙るフィッシングメール
フィッシング詐欺とは、実在する著名な企業や組織などの名称を騙り、ユーザーID・パスワード、クレジットカード番号、氏名、住所、電話番号などの情報を詐取する行為だ。最終的には、攻撃者は盗み出した情報を用いて金銭など何かしらの利益を得る。ちなみに、フィッシング(Phishing)という言葉は、魚釣り(fishing)と洗練(sophisticated)から作られた造語とされる。
フィッシング詐欺は2000年代以降、その手段としてメールやSMSなどを主に用いるようになったが、その被害状況は悪化の一途をたどっている。オンライン犯罪対策の関係者が対策の推進や情報交換を行なう「フィッシング対策協議会」の発表によれば、2021年10月現在においても月間で4万8740件(海外含む)もの報告が寄せられるなど、多くのユーザーが被害に遭っている。
フィッシングメールが騙る組織はECサイト、宅配便、銀行、クレジットカード会社など多岐に及ぶが、中でもAmazonを騙る詐欺は、単独で注意喚起関連の記事が掲載されるなど、被害事例は少なくない。フィッシング対策協議会によれば、Amazonを騙るフィッシングは報告数全体のおよそ28.2%を占める。
フィッシングメールは送信者名を詐称したメールを送り付け、何かしらの理由を掲げてユーザーにリンクをクリックするよう促す。その遷移先に本物かのように偽装したウェブサイトを設置することで、ユーザーに情報を入力させるのが一般的な手法だ。
2021年11月時点で確認されている、メール文面上の「理由」は以下のようなパターンがある。
・アカウント情報における不備の修正を迫る
「お客様のアカウントは停止されました」
「送付先情報に誤りがあり注文を出荷できません」
「Amazonプライム会費のお支払い方法に問題があります」
「カスタマーサービスからのメッセージ」
・お得感を訴求してユーザーにクリックを促す
「払い戻しがあるので承認して下さい」
「割引クーポン差し上げます」
文面に記載されている理由はこの限りではないが、基本的に緊急性を煽るメッセージを盛り込み、ユーザーに早急な行動を促すものが多い。焦らせることで、冷静な判断力を奪うという心理的脆弱性を突こうとしているのだ。
Amazonを騙るフィッシングサイトで注意すべき点
Amazonを騙るフィッシングメールでは、以下のような傾向を持つ場合が多い。本物のAmazonからのメールと見分ける際に確認すべき事項として以下に紹介していく。
・リンク先のURLが正規のAmazonのものではない
フィッシングメールのリンクをクリックすると、巧妙にAmazonのログイン画面に偽装したウェブページが表示される。しかし、以下の例のようにブラウザーのアドレス欄に表示されるURLがAmazonの正規の「https://www.amazon.co.jp/」ではなく、微妙に異なるものを用いるケースが多い。すなわち、表示内容もURLも正規のページに似せることにより、アカウント情報を詐取しようとするのがフィッシングサイトだ。
https://www.amazon.co.jp.●●●●.xyz/
「~co.jp」の後に「.●●●●.xyz」が続いているため、正規のAmazonのURLではない。
https://www.amazon.co.jp-●●●.●●●.●●●●.cn/
「~co.jp」の後に「-●●●.●●●.●●●●.cn」が続いているため、正規のAmazonのURLではない。
正規のAmazonのURLでは「https://www.amazon.co.jp/」の後に何らかの文字列が続くことになるため、注意してアドレス欄を見ればその違いはわかるだろう。また、気をつけたいのがメールやウェブページで正規のAmazonのURLが文字列として記載されているものの、クリックすると実際にはURLが異なるリンク先に誘導されるケースだ。以下の例のように、僅かな違いであることが少なくないため、瞬間的に判断することは難しい。
文字列としてのURLの例: https://www.amazon.co.jp/●●●●/xyz/~
リンク先で表示されるURLの例: https://www.amazon.co.jp.●●●●.xyz/~
パソコンの場合、リンクのURLにマウスのポインターを当てれば、リンク先として設定されているURLが確認できる。多くのウェブブラウザー、メールソフトなどではリンク先が左下に位置するステータスバーに表示される。少し手間はかかるが、リンクをクリックする際には、その都度ステータスバーの表示内容をチェックすれば、安全性は高まるはずだ。
・リンク先でアカウントID・パスワードを詐取しようとする
フィッシングメールでは、リンク先のページ上でアカウント情報を詐取することを目的としている。先述のように、アドレス欄のURLが正規のものでない限り、自分自身のIDやパスワードなど、アカウント情報の入力は避けるべきだ。
攻撃者は詐取したアカウント情報を用いて換金を試みる。例えば、Amazonギフトカードや換金性が高い商品を購入するといった具合だ。Amazonの場合、デジタルタイプのギフトカードが用意されているため、買うのも売るのも容易で悪用されやすい。また、ほかのサイトでの決済にAmazonのアカウントを利用できるAmazon Payを悪用される可能性も否定できない。
ほかにも、アカウント情報自体をダークウェブ上のダークマーケットで販売する可能性なども考えられる。アカウント情報を購入した別の攻撃者がアカウントを悪用するかもしれない。攻撃者が換金する方法は多様化しているため、仮にアカウント情報をフィッシングサイト上で入力してしまった場合、その直後に被害が生じていないからと言って、安心するというのは早計だ。
フィッシングサイトで情報詐取された場合の対処は
万一、Amazonを騙るフィッシングメールに引っかかり、偽サイトにアカウント情報やクレジットカード番号などを入力してしまった場合には、以下の手順を踏むようにしてほしい。
1) アカウントの保護
Amazon公式サイト上には、アカウントを保護するためのページが用意されている。上部のナビゲーションにある、「アカウント&リスト」から「ログインとセキュリティ」へと進むと、「アカウントの保護」のメニューがある。ここをクリックすることで具体的に必要な手順が表示される。その手順に沿って、求められる対応を進めていくことでアカウントが保護される。具体的には「パスワードを強固にする」、「自分以外すべてログアウト」、「モバイルPIN/パスコードの設定」などが設定できる。
2) Amazonの問い合わせ窓口への連絡
上記の対応で基本的にアカウントの保護は適切に行なわれる。しかし、念のためにAmazon公式の問い合わせ窓口へも連絡するようにしておきたい。また、発見が遅れて被害に遭ってしまった場合などは、カスタマーサービスに問い合わせをしておくこと。
カスタマーサービスへコンタクトする方法は、「Amazon.co.jpお問い合わせ」を参照してほしい。チャットや電話でのサポートも受けられる。
3) クレジットカード会社への連絡
入力画面上で誤ってクレジットカード情報を入力してしまった場合、Amazon以外のサービスでの悪用も想定されるため、速やかにカード会社へ連絡するようにしたい。また並行して、該当のクレジットカードを登録しているECサイトなどのカード情報も、念のため変更か削除をするのが望ましいだろう。
4) アカウント情報の変更
IDやパスワードの使い回しは推奨されていないが、実際には使い回しているユーザーもいるだろう。攻撃者側もそのような実情を見越し、ほかのサービスで詐取したアカウント情報でのログインを試行することがある。換金性が高いサービスや秘匿性の高い情報を取り扱うサービスで使い回している場合、早急に変更するようにしておきたい。
フィッシングに引っかからないためには
フィッシング詐欺ではユーザーに以下の行動を促し、一連のプロセスを経由して詐欺行為が成立する。
ユーザーがメール(SMS)を開く
↓
リンクをクリックして偽装したウェブページにアクセス
↓
偽装したウェブページ上でアカウント情報を入力
裏を返せば、上記の行為を防ぐための対策を講じれば、詐欺に遭う可能性を低減できる。すなわち、「偽装したウェブページへのリンクをクリック」、「アカウント情報を入力」といった行為を回避できれば、被害を受けることはない。また、「ユーザーに偽装メール(SMS)が届かない」ような状況を確立できれば、攻撃者にとってはお手上げ状態とも言える。このような状況を実現するための対策を以下に挙げていく。
・メール本文内のリンク先を確認
先述のとおり、フィッシング詐欺はリンク先のURLを巧みに偽装しているが、丁寧にチェックすれば不審な点に気づく可能性は高い。ただ、巧妙化する手法に対して、ユーザーの行動だけで対処するのは、見落としなどヒューマンエラーも起こり得る。そうしたケースを回避して被害を未然に防ぐために、セキュリティソフトの利用は有効な対策のひとつだ。
例えば、「ESET インターネット セキュリティ」の場合、フィッシング詐欺対策として詐欺サイトへのアクセスを遮断する機能が備わっている。また、Windows版では迷惑メール自体をフィルタリングして、フィッシング詐欺が疑われるものを除外する機能も搭載されている。セキュリティソフトの利用で「偽装サイトへのアクセス」、「詐欺メールの受信」という2つの行為を予防することができるのだ。
・携帯電話会社やISP提供の迷惑メールフィルターを利用
スマホへ送付されるSMSを用いたフィッシング詐欺、スミッシングの被害も増えている。また、パソコン向けでも未だにフィッシング詐欺を狙う迷惑メール(スパムメール)は後を絶たない。最近では、携帯電話事業者やISP(インターネットサービスプロバイダー)においても迷惑メールフィルターを強化するなど、本格的な対策に乗り出している。
あるプロバイダーでは、メールのドメイン認証を行ない、発信者になりすましたメールは迷惑メールとして扱うなどの対策を講じることで、セキュリティの確保を狙っている。ISPを選定する際に、こうしたセキュリティへの対応方針を考慮するのも一考だろう。
SMSであれば、携帯電話事業者によっては「URL付きのSMSは着信しない」といった設定も可能だ。ただし、この設定を有効にすることで、本来届いてほしいSMSも届かなくなる可能性も考えられるため、利便性と安全性のバランスを考慮した設定を検討するようにしたい。
デジタル時代の生活で求められる防犯対策として
現代の生活はAmazonをはじめとしたECサイトを筆頭に、旅行の予約サービス、音楽、動画の視聴などさまざまなサービスをオンラインで利用することが一般化している。また、コロナ禍を経て叫ばれる行政DXなどの潮流を受け、今後はさまざまな行政サービスもデジタル化していくことが見込まれる。すなわち、インターネットへ接続することが生活する上での前提条件となっていくのだ。現実空間と利用環境が大きく異なるデジタル空間では、今後もさまざまな詐欺が登場することは想像に難くない。
防犯に対する意識という意味では、家に扉があれば鍵が必要であるのと同様に、インターネットに接続するならば、そのセキュリティ対策を適切に行なうことが必要条件となる。もはやインフラとも言えるインターネット空間の特徴を踏まえた防御策を講じておくことが、今後より一層重要視されていくことだろう。
この記事の編集者は以下の記事もオススメしています
-
デジタル
Facebookで頻発する詐欺の手法を紹介 -
デジタル
拡張子を偽装してクリックを誘うマルウェアへの対策 -
デジタル
フィッシング詐欺を見抜くためには、どうすればよいだろうか? -
デジタル
なりすまし詐欺の被害者の体験談を紹介 -
デジタル
情報漏えいが発覚! まずやるべきこととは? -
デジタル
匿名化ツール「Torブラウザー」はなぜ開発されたのか -
デジタル
企業が脱パスワードに向けて検討するべき点