先日、Amazonを騙るフィッシングサイトの存在が報告された。
これまではネット振り込みなど銀行を騙るものが多かったが、一般の人が使うネット通販にも登場したことで、いよいよ身近にも迫ってきたという印象だ。

ここでは、フィッシングの仕組みと、現在どう対策すればいいかをまとめてみたい。

◎偽のウェブサイトに誘導し、個人情報や各種サービスのIDを盗む
フィッシングとは、ユーザーを偽のウェブサイトに誘導し、個人情報や各種サービスのIDを盗むという行為だ。

よくあるのがメールによる誘導だ。
たとえば
銀行やクレジットカード会社、オンラインショップなど正規のサービスを騙り、ユーザーにメールを送り、用意した偽のサイトのURLに誘導する。
そこで住所、氏名、銀行口座、クレジットカードの番号など、個人情報を入力させるというもの。

その結果、こうした個人情報が悪用され、金銭的な実害(架空請求詐欺や不正送金、預金の引き落としなど)にあったり、なりすましに利用されたりといった被害に繋がる可能性がある。

◎Amazonを騙るフィッシングメールに騙されないために
いま確認されているAmazonを騙るフィッシングサイトのURLは「co」ドメイン(コロンビア)だ。

転送元URL
http://www.am●●●●●.co/

転送先URL
http://www.am●●●●●.co/d13b97996c7ce2dad164446b8063a9cf/sign_in.php?encoding=UTF&ErrorE=730fd06c0dbf7a35e7ed67940d813db9

また、Amazon.co.jpが使用しているドメインも公開されているので、確認しておこう。
こうした偽装のURLをクリックしないよう注意することで、ある程度防げる。

しかし、スマートフォンで表示するとリンク先URLが最後まで表示されないこともある。
その場合、なかなか判別が難しい。

まだ詳しいメールの手口は明らかになっていないが、Amazonの公式サイトに上げられているヘルプによると、フィッシングメールには次の内容が含まれている傾向があるという。

・注文していない商品の注文確認をする内容
・Amazon.co.jpのアカウントにご登録のお名前やパスワード、その他個人情報を求める内容
・お支払い情報の更新を求める内容


覚えがないという場合は、下記のように確認すること。
・注文した商品はアカウントサービスの注文履歴で確認する
・メールに記載されている情報とアカウントサービスの注文履歴の内容を確認する


Amazonでは、「お客様の個人情報をEメールで送っていただくようお願いすることは決してありません」としている。

◎フィッシング詐欺への地道な対策
フィッシング対策協議会が月次で発表している「フィッシング報告状況」によると、2016年1月にフィッシング対策協議会に寄せられたフィッシング報告件数(海外含む)は、前月度より1,064件減少し、1,476件だったという。

しかし、悪用されたブランド件数(海外含む)は、前月度より3件増加し、20件となっている。また、1月には、楽天銀行、ハンゲーム、じぶん銀行、セゾンNetアンサー、三井住友銀行、りそな銀行のフィッシングサイトが確認されている。

騙されるのは嫌だ。とはいえ、一切ネットを使いませんというわけにもいかない。

となると、対策としてはネットセキュリティのニュースに敏感であること。
また、地道な活動ではあるが、PCやスマホで使っているメールソフト、ブラウザなどのフィッシング対策を積み重ねていきたい。

フィッシングサイト、メールを見つけたらこまめに報告する。
こうしてツール側を賢くして、警告の精度を上げてもらうというのも堅実でよい手だ。
実際、Twitterで出回っているAmazonのフィッシングメールのスクリーンショットを見ると、Googleのメール送信者ガイドラインに違反したため迷惑メールに振り分けられたというGmailのメッセージが表示されている。

また、前述のフィッシング対策協議会でも、フィッシングと思われるメールを受け取ったら報告できるよう窓口(https://www.antiphishing.jp/consumer/rep_phishing.html)が設定されている。

万一フィッシング詐欺のリンクを踏んでしまった、何かおかしいと気がついたら、すぐに該当のサービスの提供元に問い合わせ、対策をとることだ。


フィッシング対策協議会 報告窓口



大内孝子