詐欺メール(迷惑メール)もいろんなパターンがある。
以前にも書いたが、多くの人に心当たりがありそうな文面で添付ファイルやリンクに誘導するというのがその一例で、たとえば次のような感じだ。
「請求額が確定いたしましたのでお知らせいたします.添付書類をご確認ください.」
「無事許可となりました.添付のとおり許可書類と送り状ご連絡いたします.」
「駐車違反の報告書を添付してます.ご確認の程,宜しくお願い致します.」
「キャンセル手続きが下記の通り完了しております.ご確認ください.」
だがこれならまだ見分けやすかった。そもそも「請求額」「許可」「駐車違反」「キャンセル手続き」など全く心当たりのない人もいるだろうし、関係があったとしても、差出人の社名などに覚えがなければ詐欺メールだと見当がつく。
だがしばらく前から、銀行とか、カード会社とか、ヤフーとか、アマゾンとか、iTunesとか、多くの人が実際にアカウントを持っている企業などを騙って、「アカウントに異常がある」などと言ってログイン情報を盗み取ろうとする詐欺メールが増えている気がする。そのことは、これまでに
「OMCカードを騙った詐欺メール:見分けるポイント」
「防ぎようのない詐欺メール」
でも書いた。うっかり偽サイトでログイン情報を入力しようものなら、クレジットカードを使った買い物などをされてしまうおそれがある。
これまでは、差出人アドレスをきちんとチェックすれば済むと思っていたのだが、そもそもメールの差出人アドレスというのは簡単に偽装できるのだそうだ。現にアマゾンの公式ドメインをもつaccount-update@amazon.co.jpというアドレスからの迷惑メールがある。アマゾンも「Amazon.co.jpからの連絡とフィッシングの見分け方について」というページを用意してくれていて、Eメールを送信する場合に使う発信元ドメイン(@の後の部分)は
amazon.co.jp
amazon.jp
amazon.com
amazonbusiness.jp
email.amazon.com
marketplace.amazon.co.jp
m.marketplace.amazon.co.jp
gc.email.amazon.co.jp
gc.amazon.co.jp
payments.amazon.co.jp
のうちのいずれかだという。だが発信人アドレスが詐称できるのだったらこんなリストも役に立たない。
発信人アドレスがもっともらしい場合、詐欺メールを見分けるポイントとしては次のようなものがある。
(1)大手企業が登録ユーザーにメールを送る場合、登録ユーザー名などを明記していることが多いのではないか。宛名(名前)が書かれていなかったり、メールアドレスを抜き出して「様」をつけただけだったりすれば、詐欺の可能性がある。
(2)発信人アドレスを詐称しても、リンク先は本当の「偽サイト」のはず。クリックする前にリンク先のアドレスを見れば、怪しいと見当がつく場合もあるだろう。
(3)アマゾンの場合、上記ページでも案内されているように「アカウントサービス」の中で「Eメールとメッセージ」という区分の中に「メッセージセンター」というのがあって、アマゾンから正式に発信されたメールを一覧できる。だから、本当にアマゾンが送ったメールかどうかはここで確認できる。
いずれにせよ、受け取ったメールの発信人アドレスだけを見るのでは不十分だということは心しておいたほうがいい。
それにしても、技術的にはメールアドレスの詐称は簡単にできるというわりに、これまで私が受け取った大手企業の名を騙る迷惑メールは、(差出人欄に表示される「名前」で紛らわしいアドレスを表示することはあっても)「アドレス」はいかにも怪しいドメインのものばかりだった。詐欺師たちがなぜもっと発信人アドレス詐称を使わないのかはよくわからない。世の中には真の発信ドメインと、発信人欄に記載されるドメインが異なっていたら迷惑メールだと判定する送信ドメイン認証なるもの(具体的にはSPFとかSENDR ID)があるというから、そのおかげかもしれないが、だとするとamazon.co.jpドメインの詐欺メールはなぜ届くのだろう。迷惑メール業者の手口がますます巧妙化していて気を許せない。
追記:先日、account-update@amazon.comというアドレスから「Amazonセキュリティ警告: サインインが検出されました」というメールが届いた。サインインが検出された(明記していないが、不正ログインの可能性があるということなのだろう)が、自分自身による操作であれば無視していいという内容だ。ちょうどログインした直後だったので、感じとしては本物らしい。私の本名も書かれていたし、リンク先もamazon.co.jpのようだ。(毎日使っているブラウザーからのサインインなので、なぜ今回に限って「セキュリティ警告」が出たのかわからないが、ブラウザーがアップデートされたとか、パソコンが再起動されたなど、いろいろな事情で、サーバーに、同じ端末と認識されなかったのかもしれない。他のサービスでも似たようなことは起こる。)
だがおかしなことが三つある。
まず、念のため、メールに記載されているリンクは使わずにアマゾンサイトにログインし、上記で紹介した「メッセージセンター」を見てみたのだが、このメールの発送記録はない。正規のメッセージであればここに表示されるべきではないか。
しかも、メールには「このEメールがAmazonから送信されていることを確認するにはどうすればよいですか?」と書いてあるのに、どうすればよいかは書いていない。(リンクをクリックすれば説明がある、というであればおかしい。詐欺メールの可能性を疑った受信者が、リンクをクリックすることなく、確認する方法を案内するべきだ。)
あと、なぜリンク先はamazon.co.jpなのに、発信アドレスはamazon.comなのだろう。
仮に今回のメールが本物だとしたら、アマゾンには、ユーザーを戸惑わせるこの3点の改善を望みたい。
追記B:先日アマゾンにログインしようとしたら、携帯電話に(Cメールで)送信された通知を承認する必要があると言われてしまった。二段階認証というやつだ。だが携帯電話にはメッセージが届かない。何度も再送信をクリックしてようやく届いたメッセージはブツ切れでなんか怪しい。タイミング的に本物だろうと思ってリンクをクリックしたが、証明書が合わないからアクセスできないとしてはねられてしまった。このところ「amazon.co.jp」を騙る「アカウントの状態が異常」とかいう詐欺メールがよくくるが、もしかして本物だったのかとの思いが頭をよぎる。ふと思い立ってURLをパソコンに転送したらちゃんと機能して無事ログインできた。それにしても、一度で通知が送られてこなかったり、送られた通知がブツ切れだったり、リンクをクリックしたら証明書不一致ではねられたりとか、天下の大企業のやっていることとは思えない。
追記BB:二段階認証といえば、先日、マイクロソフトアカウントでもCメールが届かなことがあった。もしかして携帯でパソコンからのメール受信を拒否しているからかと思ったが、たしかCメールは拒否の対象外だったのではなかったか。現に追記Bのように届くこともあるのだし。
追記C:フィッシング詐欺を警告する記事を書いてきた新聞記者までひっかかってしまったという(朝日新聞2020-5-20)。「Amazonのアカウントを更新できませんでした」、「24時間以内にご確認がない場合、お客様の安全の為、アカウントの利用制限をさせていただきます」というメールがきたので、メールのリンクに従ってログインし、ID、パスワード、カード情報を入力してしまったという。メールのドメインについて言及はなかったが、リンク先はhttps://www.amazon.co.jp*********mnbg.buzzというもので、amazonらしく装ってはいるが、*******のところに無作為な文字列があって、よく見れば怪しいとわかるはず。詳しいはずの記者が気づかなかったのは、スマホを使っていたからだ。パソコンではリンクにマウスカーソルを合わせればURLを確認できるのだが、スマホではそれができない。スマホの機種によってはリンクを長押しするとURLが表示されるものもあるというので、今後そのような機種が増えてほしい。
記者は数日後、海外のサイトで2万円前後の買い物を十数件されてしまったという。記者の場合、クレジットカード会社の「オーソリセンター」から電話がかかってきて気づいたという。
ではフィッシング詐欺にひっかかってクレジットカード番号を入力してしまったら、気づいてカードを停止するまでに使われた数十万円は返ってこないかというとそんなことはない。カード会社によって規約は違うが、規約違反や管理の過失がない限り、カード会社への届出の日から60日分まではさかのぼって全額補償されるのが一般的だという。だから毎月の利用明細をきちんと確認していれば最悪の事態は防ぐことができる。
追記2:ゆうちょ銀行公式ドメインからの詐欺メールらしきものも2016年には出回っていたようだ(ゆうちょ銀行)。フィッシング詐欺メールの例として挙げられている画面によれば、差出人のメールアドレスは@jp-japanpost.jpというドメインになっており、本物と区別がつかない。メールのリンクをクリックするとやはり本物のホームページそっくりの画面が表示されて、ログインパスワードなどの入力を求められるらしい。場合によっては本物のゆうちょ銀行の電話番号が書いてあるバージョンもある。実際にかけないまでも、電話番号が書いてあると安心してしまうこともあるかもしれないから要注意だ。
関連記事:
「防ぎようのない詐欺メール」
「OMCカードを騙った詐欺メール:見分けるポイント」
「スパムメールのリンクをクリックしてしまった!」
「私が芸能人詐欺メールを本物の間違いメールだと思ってしまった理由」
「私が心配している標的型攻撃メール」
「勝手にメルマガ登録すると脅迫するスパムメールも無視するしかないのか」
「ワンクリック詐欺に支払い義務がないことの法的根拠」
「迷惑メールにこちらのパスワードが書かれていた!」
以前にも書いたが、多くの人に心当たりがありそうな文面で添付ファイルやリンクに誘導するというのがその一例で、たとえば次のような感じだ。
「請求額が確定いたしましたのでお知らせいたします.添付書類をご確認ください.」
「無事許可となりました.添付のとおり許可書類と送り状ご連絡いたします.」
「駐車違反の報告書を添付してます.ご確認の程,宜しくお願い致します.」
「キャンセル手続きが下記の通り完了しております.ご確認ください.」
だがこれならまだ見分けやすかった。そもそも「請求額」「許可」「駐車違反」「キャンセル手続き」など全く心当たりのない人もいるだろうし、関係があったとしても、差出人の社名などに覚えがなければ詐欺メールだと見当がつく。
だがしばらく前から、銀行とか、カード会社とか、ヤフーとか、アマゾンとか、iTunesとか、多くの人が実際にアカウントを持っている企業などを騙って、「アカウントに異常がある」などと言ってログイン情報を盗み取ろうとする詐欺メールが増えている気がする。そのことは、これまでに
「OMCカードを騙った詐欺メール:見分けるポイント」
「防ぎようのない詐欺メール」
でも書いた。うっかり偽サイトでログイン情報を入力しようものなら、クレジットカードを使った買い物などをされてしまうおそれがある。
これまでは、差出人アドレスをきちんとチェックすれば済むと思っていたのだが、そもそもメールの差出人アドレスというのは簡単に偽装できるのだそうだ。現にアマゾンの公式ドメインをもつaccount-update@amazon.co.jpというアドレスからの迷惑メールがある。アマゾンも「Amazon.co.jpからの連絡とフィッシングの見分け方について」というページを用意してくれていて、Eメールを送信する場合に使う発信元ドメイン(@の後の部分)は
amazon.co.jp
amazon.jp
amazon.com
amazonbusiness.jp
email.amazon.com
marketplace.amazon.co.jp
m.marketplace.amazon.co.jp
gc.email.amazon.co.jp
gc.amazon.co.jp
payments.amazon.co.jp
のうちのいずれかだという。だが発信人アドレスが詐称できるのだったらこんなリストも役に立たない。
発信人アドレスがもっともらしい場合、詐欺メールを見分けるポイントとしては次のようなものがある。
(1)大手企業が登録ユーザーにメールを送る場合、登録ユーザー名などを明記していることが多いのではないか。宛名(名前)が書かれていなかったり、メールアドレスを抜き出して「様」をつけただけだったりすれば、詐欺の可能性がある。
(2)発信人アドレスを詐称しても、リンク先は本当の「偽サイト」のはず。クリックする前にリンク先のアドレスを見れば、怪しいと見当がつく場合もあるだろう。
(3)アマゾンの場合、上記ページでも案内されているように「アカウントサービス」の中で「Eメールとメッセージ」という区分の中に「メッセージセンター」というのがあって、アマゾンから正式に発信されたメールを一覧できる。だから、本当にアマゾンが送ったメールかどうかはここで確認できる。
いずれにせよ、受け取ったメールの発信人アドレスだけを見るのでは不十分だということは心しておいたほうがいい。
それにしても、技術的にはメールアドレスの詐称は簡単にできるというわりに、これまで私が受け取った大手企業の名を騙る迷惑メールは、(差出人欄に表示される「名前」で紛らわしいアドレスを表示することはあっても)「アドレス」はいかにも怪しいドメインのものばかりだった。詐欺師たちがなぜもっと発信人アドレス詐称を使わないのかはよくわからない。世の中には真の発信ドメインと、発信人欄に記載されるドメインが異なっていたら迷惑メールだと判定する送信ドメイン認証なるもの(具体的にはSPFとかSENDR ID)があるというから、そのおかげかもしれないが、だとするとamazon.co.jpドメインの詐欺メールはなぜ届くのだろう。迷惑メール業者の手口がますます巧妙化していて気を許せない。
追記:先日、account-update@amazon.comというアドレスから「Amazonセキュリティ警告: サインインが検出されました」というメールが届いた。サインインが検出された(明記していないが、不正ログインの可能性があるということなのだろう)が、自分自身による操作であれば無視していいという内容だ。ちょうどログインした直後だったので、感じとしては本物らしい。私の本名も書かれていたし、リンク先もamazon.co.jpのようだ。(毎日使っているブラウザーからのサインインなので、なぜ今回に限って「セキュリティ警告」が出たのかわからないが、ブラウザーがアップデートされたとか、パソコンが再起動されたなど、いろいろな事情で、サーバーに、同じ端末と認識されなかったのかもしれない。他のサービスでも似たようなことは起こる。)
だがおかしなことが三つある。
まず、念のため、メールに記載されているリンクは使わずにアマゾンサイトにログインし、上記で紹介した「メッセージセンター」を見てみたのだが、このメールの発送記録はない。正規のメッセージであればここに表示されるべきではないか。
しかも、メールには「このEメールがAmazonから送信されていることを確認するにはどうすればよいですか?」と書いてあるのに、どうすればよいかは書いていない。(リンクをクリックすれば説明がある、というであればおかしい。詐欺メールの可能性を疑った受信者が、リンクをクリックすることなく、確認する方法を案内するべきだ。)
あと、なぜリンク先はamazon.co.jpなのに、発信アドレスはamazon.comなのだろう。
仮に今回のメールが本物だとしたら、アマゾンには、ユーザーを戸惑わせるこの3点の改善を望みたい。
追記B:先日アマゾンにログインしようとしたら、携帯電話に(Cメールで)送信された通知を承認する必要があると言われてしまった。二段階認証というやつだ。だが携帯電話にはメッセージが届かない。何度も再送信をクリックしてようやく届いたメッセージはブツ切れでなんか怪しい。タイミング的に本物だろうと思ってリンクをクリックしたが、証明書が合わないからアクセスできないとしてはねられてしまった。このところ「amazon.co.jp」を騙る「アカウントの状態が異常」とかいう詐欺メールがよくくるが、もしかして本物だったのかとの思いが頭をよぎる。ふと思い立ってURLをパソコンに転送したらちゃんと機能して無事ログインできた。それにしても、一度で通知が送られてこなかったり、送られた通知がブツ切れだったり、リンクをクリックしたら証明書不一致ではねられたりとか、天下の大企業のやっていることとは思えない。
追記BB:二段階認証といえば、先日、マイクロソフトアカウントでもCメールが届かなことがあった。もしかして携帯でパソコンからのメール受信を拒否しているからかと思ったが、たしかCメールは拒否の対象外だったのではなかったか。現に追記Bのように届くこともあるのだし。
追記C:フィッシング詐欺を警告する記事を書いてきた新聞記者までひっかかってしまったという(朝日新聞2020-5-20)。「Amazonのアカウントを更新できませんでした」、「24時間以内にご確認がない場合、お客様の安全の為、アカウントの利用制限をさせていただきます」というメールがきたので、メールのリンクに従ってログインし、ID、パスワード、カード情報を入力してしまったという。メールのドメインについて言及はなかったが、リンク先はhttps://www.amazon.co.jp*********mnbg.buzzというもので、amazonらしく装ってはいるが、*******のところに無作為な文字列があって、よく見れば怪しいとわかるはず。詳しいはずの記者が気づかなかったのは、スマホを使っていたからだ。パソコンではリンクにマウスカーソルを合わせればURLを確認できるのだが、スマホではそれができない。スマホの機種によってはリンクを長押しするとURLが表示されるものもあるというので、今後そのような機種が増えてほしい。
記者は数日後、海外のサイトで2万円前後の買い物を十数件されてしまったという。記者の場合、クレジットカード会社の「オーソリセンター」から電話がかかってきて気づいたという。
ではフィッシング詐欺にひっかかってクレジットカード番号を入力してしまったら、気づいてカードを停止するまでに使われた数十万円は返ってこないかというとそんなことはない。カード会社によって規約は違うが、規約違反や管理の過失がない限り、カード会社への届出の日から60日分まではさかのぼって全額補償されるのが一般的だという。だから毎月の利用明細をきちんと確認していれば最悪の事態は防ぐことができる。
追記2:ゆうちょ銀行公式ドメインからの詐欺メールらしきものも2016年には出回っていたようだ(ゆうちょ銀行)。フィッシング詐欺メールの例として挙げられている画面によれば、差出人のメールアドレスは@jp-japanpost.jpというドメインになっており、本物と区別がつかない。メールのリンクをクリックするとやはり本物のホームページそっくりの画面が表示されて、ログインパスワードなどの入力を求められるらしい。場合によっては本物のゆうちょ銀行の電話番号が書いてあるバージョンもある。実際にかけないまでも、電話番号が書いてあると安心してしまうこともあるかもしれないから要注意だ。
関連記事:
「防ぎようのない詐欺メール」
「OMCカードを騙った詐欺メール:見分けるポイント」
「スパムメールのリンクをクリックしてしまった!」
「私が芸能人詐欺メールを本物の間違いメールだと思ってしまった理由」
「私が心配している標的型攻撃メール」
「勝手にメルマガ登録すると脅迫するスパムメールも無視するしかないのか」
「ワンクリック詐欺に支払い義務がないことの法的根拠」
「迷惑メールにこちらのパスワードが書かれていた!」
