今月だけでフィッシングメールが50通以上も届きました。最近届くフィッシングメールは、従来のテキスト形式のメールではなく、文字修飾や背景色な色使いが自由にできるHTML形式のフィッシングが急に増えました。

上記のスクショは、先日届いたイオン（AEON）を騙るフィッシングメールです。我が家もイオンカードでイオン傘下にある加盟店（スーパー）や直営ションピングセンターで食材を買うのでよく利用します。なので、〇〇月✕✕日のお支払い金額137,290円というメールが届けば、そんな筈はないと、うっかりメール内の「利用明細を確認」をクリックしてしまいそうです。

落ち着いてメール内容を見ればフィッシングと判断できるものですが、注意喚起を含めて以下の通りメール内容を紹介します。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：イオンカード株式会社 <no-reply-Kojm@info-recruit-card.jp>
宛先：私のプロバイダーメー
件名：次回お引落日は10月29日（水）です。
本文

イオンカードをご利用いただきありがとうございます。次回のお支払い金額のお知らせです。
10月29日（水）お支払い金額
———————–
イオンカード
137,290円
利用明細を確認
————————
Web版での確認はこちら
※ ポイントサービスに関するお問い合わせは、カード裏面に記載の連絡先へお問い合わせください。

アプリ・LINEでも
お支払い金額を確認できます。

アプリを開くだけ！金額確定通知の機能も！
iPhone Apple Store（画像ロゴ）
Android Google Play（画像ロゴ）

いつものLINEで簡単アクセス
LINEミニアプリ
友達追加

低気圧前線による大雨に伴う災害により被害を受けられた地域の皆さまに、謹んでお見舞い申し上げます。皆さまの一日も早い復旧をお祈り申し上げます。
弊社では、被害を受けられたカード会員さま、加盟店さまからのお問い合わせ、ご相談を承っております。詳しくはこちら＞

ハンドルネームの設定はこちら＞
メール冒頭にハンドルネームが表示されることにより、不審なメールと見分けることができます。
（設定が無い場合はカード名称を表示します）

お客さま情報更新はこちら＞
より安心してカードを利用していただくために、定期的なお客様情報（外国籍のお客さまは在留期間などの情報を含む）の更新をお願いいたします。
住所変更がある際は弊社からのご案内が届かない場合もありますので、お早めにお手続きをお願いいたします。

お問い合わせ先（お客さまサポート）はこちら＞
※ 本メールは重要なお知らせのため、メール配信を「受け取らない」に設定されている方にも送信しております。

発行者
イオンファイナンシャルサービス株式会社
東京都中央区神田錦町3丁目22番地テラススクエア11階

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

毎回のことながら、①差出人のメールドメイン（＠以降）にイオンの aeon.co.jpの文字列がありません。②「利用明細の確認」リンク先にイオンの文字列（ドメイン）がない。③メール内の①②③④⑤⑥リンク先がすべて同じなのは不自然、企業ではあり得ません。④アプリを開くだけ！と言いながら、①②③のApp Store, Google Play, LINEの画像ロゴにリンク無しというのも不自然

そのほか、引落日のメール連絡なのに、関係ない大雨災害のお見舞い文のほかハンドルネーム設定など関係ない項目を詰め込みすぎの感があります。尚、件名「10月お支払い金額のお知らせ」で同じ内容のメールが日を変えて届きました。

文末の「イオンファイナンシャルサービス株式会社」の住所は本物です。いずれにせよ、フィッシングも巧妙さが増してきています。メール事例をいろいろ学習しながら被害に遭わないようにしたいものです。メール内リンクはクリックせず、ブラウザのお気に入りなどから企業サイトを開きましょう。スマホは画面が小さく全体像が見えず、思わずリンクをクリックすることがあるかもしれませんので注意しましょう。

先日、上記のとおり国勢調査を装うフィッシングメールが届きました。見栄えもきれいで、本当に巧妙になってきました。国勢調査は国民の義務なので、人によってはうっかりリンクをクリックしそうです。フィッシングメールも、最近はテキストメールではなく、文字色や背景色・文字の大きさや装飾など文章の体裁が整えられるHTMLメールが利用される傾向にあります。ぱっと見で、文章表現におかしなところがなければ完全に企業やお役所からのメールと思ってしまいます。メール内容は以下の通りです（色使いも合わせました）。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：国勢調査オンライン<info@creema.jp>
宛先：プロバイダーのメールアドレス
件名：【期限切迫】国勢調査2025オンライン回答のお願い
本文

 国勢調査ロゴ

1ヵ月前に、テキストメールではなく、HTML形式のメールでJAバンクを騙るフィッシングが数通きましたが、最近 巧妙さが増してきているように思います。HTML形式のメールは、文字装飾や色も使えるので全体の体裁がとてもよくなり、企業から届くメールと思ってしまいます。

今回届いたフィッシングは、テキストメールでしたが、ヘルプデスクの連絡先が本物ＪＡバンクの電話番号だったり、耳慣れない「犯罪収益移転防止法」という法律用語を使って、手を替え品を替え攻めてきます。「犯罪収益移転防止法」は、犯罪組織への資金の流れを断つことを目的とした法律で、マネー・ローンダリング（資金洗浄）やテロ資金供与を防止します。金融機関や不動産取引業者などの「特定事業者」は、顧客の本人確認や取引内容の記録、疑わしい取引の監督当局への届出などが義務付けられています。

ＪＡバンクでは、「犯罪収益移転防止法」に基づき、口座開設や共済加入等の際に、お客さまの氏名、住所、生年月日等について確認しています。但し、メールではなく窓口で行われるようですが、これらに則って怪しい悪徳軍団がフィッシングを行っているという訳です。届いたフィッシングメールの内容は以下の通りです。フィッシングメールのパターンをいろいろ紹介することで被害防止の一助になればと思います。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：JAセキュリティシステム <info@gosigosi.com>
宛先：私のメールアドレス（プロバイダーメール）
件名：重要：【お客様情報確認と取引目的の確認】至急ご対応ください【JAネットバンク】
本文：

お客様各位、

いつも、JAネットバンクをご利用いただき、誠にありがとうございます。
現在、当行では定期的にお客様の情報確認を実施しています。この確認は、犯罪収益移転防止法に基づき、金融サービスを健全に提供するための重要な措置です。お客様の資産を保護するため、速やかなご対応をお願い申し上げます。

【お客様情報確認のお願い】
お手数ですが、以下のリンクより「お客様情報」および「取引目的」の確認をお願いいたします。確認後、通常通りの取引が可能になります。

▶ お客様情報を確認・回答する。
https://chengzimc.×××/ja-×××-japan

※確認には約1分程度かかりますので、内容に変更がない場合でも必ずご確認いただきますようお願い申し上げます。

【ご対応期限】
確認手続きは至急対応をお願い申し上げます。もし、期限内に確認が行われない場合、お客様の口座に取引制限がかかる可能性がございますので、速やかに手続きをお願い申し上げます。

【ご注意】
確認を一定期間内に行わない場合、取引に制限がかかることがあります。
個別の取引状況に応じて、追加書類の提出をお願いする場合がございます。
確認が完了した後、速やかに通常の取引が可能となります。

【お問い合わせ先】
確認手続きに関するご不明点がありましたら、下記カスタマーサポートまでご連絡ください。

JAネットバンク　ヘルプデスク
電話番号：0120-058-098（平日　9:00～17:00／土日祝除く）

今後とも、JAネットバンクをご愛顧賜りますようお願い申し上げます。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

いつもの如く見る人がみれば、すぐフィッシングと分かるものですが、怪しいと思ったら、メール内にあるリンク先をクリックしてはいけません。リンクを開くだけでは害が及ばないものが殆どですが、中には開くだけでマルウェアに感染させるものもあります。メールにある要請を本当にしているのか？ 疑いがある時はブラウザからJAバンク公式サイトで、確認する事も判別方法の一つです。

①差出人のメールドメイン（@以降の文字列）が、gosigosi（ゴシゴシ）ってふざけていますよね。
JAバンクのメールドメインは、「@janetbank.jp」「@webcenter.anser.or.jp」「@otp-auth.net」の3つ。これらメールドメイン以外のメールはJAを装うフィッシングの可能性があり要注意です。また複数届いていますが、都度差出人のメールアドレスが違う。

②本文で、「お客様各位」の後に「、」読点があるのも企業メールとしてあり得ません。

③期限こそ指定していませんが、一定期間内に行わないと取引制限があるなど定番の脅しの記述あり。

④メール内のリンクにjabankの文字列がない。メールに表記されているものと実際のリンク先のURLは違う場合が多いのですが、今回はメールに表記してあるものと同一でした。

⑤メールの文章全体が、企業らしからぬ稚拙な感じがします。「ご対応期限」と「ご注意」の内容がダブってくどい感じがします。「ご対応期限」という表現もおかしい。

文末のJAネットバンク ヘルプデスクの電話番号は本物の実在する連絡先です。実際に電話をかければフィッシングとバレる訳ですが、そのリスクをもってしても旨味があるのでしょうね。逆に、ネット検索等で連絡先が本物とわかれば、あえて電話で確認をしなくても、本物のJAバンクから案内されているものだと信じる人もいるかもしれません。本物の電話番号を明記するところも巧妙です。

JAバンクを騙るフィッシングメールの件名は、ほかにも以下のようなものがあります。
・口座振替結果のご案内
・お客さま情報等の確認について
・ご利用アカウントの確認手続きのお願い
・ご利用口座の安全確認手続きのお願い
・【取引制限防止のため】お客様情報の更新が必要です

パソコンメールだけでなくショートメッセージでも届くことがあるようなので皆さん注意をしましよう。当然ながら、JAバンクと取引のない人には、もろフィッシングと分かりますので問題はありませんｗ

先日、上記のようなメールが届きました。宛先は、私が利用しているレンタルサーバーの「ロリポップ」のアカウント内に設定しているドメインから作成したメールアドレスです。なので、ドメイン（＠以降の文字列）には、「lolipop」の文字列が入っています。10個まで作成可能です。現在目的別に6つ作っていますが、その内の一つのメールアドレスに届いたものです。内容は以下の通り。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：メールサポートセンター<ds.lolipop.jp_mail-service-report･････>
宛先：✕✕〇〇＠ds.lolipop.jp
件名：✕✕〇〇＠ds.lolipop.jp 保存容量が90％を超えました
内容
 容量残りわすかのご案内

✕✕〇〇@ds.lolipop.jp 様、
現在のメールボックス容量が90％を超えています。
容量が不足すると新しいメールが受信できなくなります。

・ゴミ箱や迷惑メールの削除
・大きな添付ファイルの移動
・古いメールの整理

　　　今すぐ確認する　　　

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

結論から言えば、フィッシングメールでした。ところが、常々 当ブログでフィッシングメールについて注意喚起しているのに、てっきりロリポップからのメールと思い込み、その私めがメール内のリンク「今すぐ確認する」をクリックしてしまったのです。開いたリンク先には以下のような入力画面に誘導されました（チェックボックスによるログイン情報保存の説明文《保つ当方としてログイン》のおかしい日本語にも気がつきませんでした）。

ロリポップで作成した6つのメールアドレスには、個別にパスワードを設定していますが、すべて覚えている訳ではありませんので、上記の画面からログインしなかったのは幸いでした。レンタルサーバー「ロリポップ」から、私の専用ページにログインすれば、各メールアドレスのパスワードをはじめ、送受信内容や保存容量などが分かりますので、こちらから調べることにしました。

ロリポップのドメイン内で作成した各メールアドレスのメール容量上限は5GBです。フィッシングメールが届いたメールアドレスは、調べるまでもなく利用頻度の少ないメールアドレスでしたので、メールボックスの容量オーバーというのはあり得ず、何かの間違いではと思いました。保存量を調べると5GBのうち約105KBでした。数十通程度の受信メールがあるだけで、オーバーどころかまだ4GB以上の容量が残っていました。

受信件数が約2万件ある別のメールアドレス（Youtube用）でも、5GBのうち約480MBでした。他のメールもこれを超えたものはありません。該当メールは容量オーバーしている筈もないのに、何故ロリポップはこんなメールを送って来たのだろうと不思議でした。

翌日も同じ内容のメールが届きましたが、送信元メールアドレスが同じだったので（実際には一部違っていました）、フィッシングとはまだ気がつきませんでした。lolipop以外にもメインとして利用しているプロバイダーメールやGmail、msn、Yahooなどのメールも利用していますので、万一、受信できなくなっても困ることはなかったので、しばらく様子を見ることにしました。

以下の通り、さらに連日届いたメールの件名「ドメインの有効期限が来ています」や「あと3日でパスワードの有効期間が切れます」で、はじめてフィッシングと気が付いた次第。　日ごろから皆さんに注意喚起しているのに、私としたことが気がつくのが遅すぎますｗ　すっかり騙されお恥ずかしい限りです。

ロリポップは、契約を継続している限り、ドメインの有効期限はありませんし、ましてパスワードが切れることはあり得ません。メールの件名をみてさすがに分かりました。レンタルサーバー契約は自動更新（1年毎 自動的に引き落とし）にしていますので、このようなメールが届く筈もないのです。

何故、気がつかなかったのでしょうか。今回届いたメールアドレスには、企業を騙るフィッシングメールは一度もありません。ただ「アダルトビデオでのあなたの恥ずかしい行為を録画したので、晒されたくなかったら、48時間以内にビットコイン（電子マネー）で送金せよ」と言った類のメールは何度か届き、当ブログにも紹介したことがあります。

このようなメールは、「セクストーション（Sextortion）」と言われており、「セックス（Sex）」と「脅迫・ゆすり」を指す「エクストーション（Extortion）」を合わせた造語で、「性的脅迫」と訳されます。iPhoneやアンドロイドのスマホの利用者をターゲットにしているので、10代～20代の若者が被害者になっているそうです。

デスクトップPCで、Webカメラは常時装着していませんので録画できる訳もなくやってもいないことなので即無視でしたが、レンタルサーバーに絡むなりすましメールは、全くはじめてのことであります。フィッシングメールでは、特徴的な期限を切って脅す訳でもなく、保存容量90％に達した事のみの案内で、ゴミ箱や古いメールの削除などアドバイスもあったので信じてしまいました。

実際に調べてもメールボックスの保存容量は十分あったので、そこで気がつくべきでしたが、自分でも不思議なくらい、フィッシングであることに疑問ももたず、そこまで考えがおよびませんでした。人間思い込むと周りがみえなくなるだと改めて思いました。この手の被害に絶対引っかからないと言う人ほどひっかかりやすいといいますが、自信過剰という思い込みが、冷静に周りを見えなくするのだと思います。

保存容量90％オーバーのメールは、2日続けて届きましたが、送信元メールアドレスは、いずれも長い文字列で、設定枠内では表示しきれず途中からカットされて見えていませんでしたので、同じと思っていましたが、枠を広げて見ると最後の文字列一部が違っていました。今思えば、送信元アドレスも異常に長いし、文字列も違っていたのに不覚でした。

※メールインデックス（クリックして拡大してください）

念のため、該当メールアドレスのパスワードは変更しました。メール内リンクの「いますぐ確認する」をクリックして、ログイン画面でパスワード入力した場合、 フィッシングメールなので、住所・氏名・電話番号や最終的にはクレジットカード番号などの入力を求めてきます。今回見事に騙された私ですが、さすがに個人情報を求めてくる時点で気がつくとは思います。

ロリポップでは、ロリポップのアカウントに登録した連絡先メールアドレス宛にのみメールを送信するそうです。アカウント内のドメインで作成したメールアドレスに送信することはないことと、昨年より、なりすましのフィッシングメールに注意喚起していました。

アマゾン（Amazon）を騙るフィッシングメールが届きました。テキストメールではなくHTMLメール（文字装飾や画像・背景色などが利用可能）で届きました。先日もJAバンクを騙るフィッシングメールが同じくHTMLメールでした。メールをHTML形式にすると文章の体裁が格段に良くなるので、より企業メールらしくなり、被害拡大につながるのではないかと勝手に心配しております。これからはこの手のHTMLメールが増えそうな予兆がします。届いたメールは冒頭に紹介している通りですが、メール内容は以下の通りです。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：amazon.co.jp<7fs5z@seespotrunphotograhy.com>
宛先：アマゾンに登録している私のメールアドレス
件名：会員継続のための最終案内
本文

Amazonプライム会員 様
いつもAmazonプライムをご利用いただき、誠にありがとうございます。

◆に知らせる◆　登録済のお支払い方法で月額会費「600円（税込）」の処理が完了しておりません

下記ボタンより72時間以内に手続きをお願いいたします：

　お支払い方法を更新　
※安全なAmazon公式ページに接続します
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
＜安全なご利用のために＞
・Amazonは決済リンクをSMSで送信しません
・本メールのリンクは常に「amazon.co.jp」ドメインで始まります

ご不明点は公式サポートセンターまで

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

見た目が巧妙になったとはいえ、見る人が見ればやはりフィッシングメールとすぐ判別つきます。①差出人名称は「amazon.co.jp」となっていますが、肝心のメールドメイン（＠以降の文字列）には、amazonの文字列がありません。アマゾンからの正式なメールドメインは、＠amazon.jp、＠amazon.com、@amazon.co.jpとなっています。

②本文のユーザー宛名が「Amazonプレイム会員 様」となっていますが、正式なメールでは、漢字のフルーネーム（例：田中太郎様）になっています。

③本物であることを装うため「Amazonは決済リンクをSMSで送信しません」の表記がありますが（企業はもともとそんなことはしないのでその通りなのですが）、ペナルティこそないものの、フィッシングの特徴である期限（72時間）を切って決済を仰ぐメールもまた、企業から送信されることはありません。

④メール内リンク先「お支払い方法の更新」の下に「※安全なAmazon公式ページに接続します」とありますが、リンク先は、アマゾン公式サイトのURLとは、似ても似つかないamazonを含まない文字列であります。公式サイトは「http://amazon.co.jp･･･｣から始まります。

但し、メールの文末にあるリンク「公式サポートセンター」は、「htpp://amazon」の文字列から始まるURLを利用しており、こちらは本物のページを利用している可能性もあります。こういうところが巧妙であります。

⑤ ◆に知らせる◆　意味不明です。

アマゾン公式サイトにログインし「アカウントサービス」⇒「メッセージセンター」でも、送信された全メールが確認できます。ここに同じものが無ければフィッシングということになります。

フィッシング詐欺はいっこうに収まる気配がありません。旨味を覚えた犯罪集団が、切り口を変えて様々な手法を使って攻めてきます。被害に遭わないためには、いろいろなパターンを知り、フィッシングであることを看破する力を養うことです。ここ数ヵ月フィッシングメールは届いていませんでしたが、先月から度々届くようになりました。しかも、HTMLメールが混在するようなっていますので要注意です。

私も、Amazon Prime会員ですが、支払方法もいつでも辞められるよう月額払い（600円）していますのでモロ該当します。通販の翌日配送・無料配送のメリットも享受していますが、映画好きということもあり、必要に応じて加入していますが、直近の加入はすでに月額払いで10ヵ月継続しています。年額払いの方がお得なのですが、動画配信サービスのサブスクは、見たい映画があったりすると、月単位で都度切り替えて利用していますので、年払いにはしていません。

アマゾンプライム会員は、「年間プラン」または「月間プラン」のいずれかを選択しておけば、変更を希望しない限り、その後手続きをすることは一切ありません。フィッシングにあるような「会員継続のための最終案内」って、全くの意味不明なメールなのであります。

今月、JAバンクを騙るフィッシングメールが数日毎に5通ほど届きました。今まで迷惑メールやフィッシングメールは数多く受信しましたが、装う企業としてJAバンクは今回初めてです。件名は企業らしからぬタイトルですが、メール内容については、おかしな日本語表現もなく、テキストメールが多い中、冒頭の通り HTML形式のフィッシングメールなので、文面の体裁が整っていて本物と勘違いしそうです。メール内容は以下の通り。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：JAバンク　<no-reply960@lovelytips.com>
宛先：私のメールアドレス
件名：【JAバンク】ご本人様確認未完了のため至急対応をお願いします

【重要】ご本人様による口座利用の確認について

平素よりJAバンクをご利用いただき、誠にありがとうございます。

近年、全国的に口座の不正開設や売買、譲渡などを利用した金融犯罪が急増しており、巧妙化・組織化が進んでおります。特に、SNSや不正サイトを通じて口座情報が悪用されるケースが増えており、金融機関としても対策の強化が急務となっております。

カミさんとショッピングセンターなどに外出したとき（毎日外出します^^）、出先では別行動なので、待ち合わせ時間まで、興味ある店のウィンドウショッピングしたり、本を読んだり、スマホでFacebookやYouTubeのビデオやショートを見て時間をつぶします。その中で 清掃員のふりをした普通のお兄さんが、強面の筋肉隆々のパワーリフターを横目に、200キロを超えるバーベルをひょいと上げてしまういたずらビデオ（Youtube）がウケます。その面白さにハマってしまいましたので、ご存知の人もいるかもしれませんが紹介します。

日本の場合、いたずらビデオであることと仕掛人の身分を最後に明かしますが、この動画を見る限り、仕掛人の身分は最後まで明かさないまま別れます。そのおかげなのかいたずらビデオとして、バレず継続しているのかもしれません。

時には老人に変装することもあります。32キロのモップやバケツをいとも簡単に軽く持っているように見え、相手が受け取ったときに、その重さにびっくりするリアクションも見ものです。100キロのバーベルも片手で一気に持ち上げることもやってのけます。

動画に出てくる主（ぬし）は、1999年生まれのウクライナ人のANATOLY（アナトリー）さんです。パワーリフター選手であり、パーソナルトレーナーおよび 人気のYouTuber（動画クリエイター）でもあります。

身長181cm 、体重78kgだそうです。なんとデッドリフト290kg（床におかれたバーベルをヒザ上まで上げる筋力トレーニング）、スクワット210kg（バーベルを肩にのせ、腿が床と平行になるまで腰を落とし、立ち上がる筋力トレーニング）の実力者であります。上半身裸になると、筋肉モリモリ、お腹はシックスパックなのに、何故かつなぎを着ると着やせした普通の清掃員に見えます。その普通の人が突然、超重量のバーベルをひょいと挙げてしまうので、そのギャップで驚きや面白さが倍増するのかもしれません。

ちなみに、パワーリフター競技は、デッドリフト、スクワット、ベンチプレスの三種目があります。脚力・腕力・背筋力を競い、その合計重量で順位を決める競技です。

ANATOLYさんのYoutubeには、たくさんの動画がアップされています。ストーリーは分かっているのに、どの動画もなぜかハマってしまいます。1000万回、2000万回超える動画もあったり、フォロア数800万人以上です。

利用しているプロバイダーメール（エディオン）に、冒頭に紹介している件名「×××＠enjyoy.ne.jpメール終了!!（最終警告）」なるフィッシングメールが届きました。7月29日から7月31日まで、毎日二通届きました。内容は以下の通りです。エディオンとプロバイダー契約をして約29年（回線：フレッツ光西日本）になりますが、エディオンネットを騙るフィッシングメールは初めてです。

年間売上高一位ヤマダデンキ、二位ビッグカメラにおよびませんが、全国的にも知名度も上がり、業界4位の大型家電量販店「エディオン」の発祥の地は広島です。第一産業という小さなパーツ小売店から、「ダイイチ」⇒「デオデオ」と店規模と共に名称が変わり、最終的に、中部エリアの家電店の経営統合を経て「エディオン」という会社名称になりました。

中国地方でエディオンネットに加入している人は多いと思いますので、特に加入が多いと思われる広島市民の方はひっかからないように注意してほしいものです。すでにエディオンからも注意喚起されています。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

差出人：”エディオンネットメール” <shssss-oqn@do6.enjoy.ne.jp>
宛先：＜私のプロバイダーメールアドレス＞
件名：✕✕✕✕＠enjoy.ne.jp メール終了!!（最終警告）

本文
私たちのサーバーはあなたの エディオンネットメールストレージが制限を超えたことを検出し、すぐにアップグレードする必要があります.

メールストレージをアップグレードするには、ここをクリックしてください

あなたが従わなかった場合、私たちはあなたのアカウントをロックし、すべての電子メールデータは永久に失われます.

よろしく

エディオンネットメールサービス。

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

フィッシングメールである理由。
1.エディオンネットのメールボックスは、容量1GB・保管期間60日間です。保管期間過ぎると順次削除されますし、容量オーバーの場合、一般的には古い順から上書きされてゆきます。また、後で述べるPOPサーバーの仕組みから容量不足にはなりません。

2.「あなたが従わなかった場合、私たちはあなたのアカウントをロックし、すべての電子メールは永久に失われます.（句点が「。」ではなくドット「.」になっている）」の一文も、ユーザーの不安を煽り、まさに脅迫文です。企業がこのようなメールを出す筈がありません。他のフィッシングでもよく使われる不安を煽る手口です。

3. 差出人のメールアドレス<shssss-oqn@do6.enjoy.ne.jp>が日によって変わります（正規な企業メールではあり得ません）。メールアドレスのドメインも正規のものと違っています（正規ドメイン：@enjoy.ad.jp)

4.私のメールアドレスを含む件名「✕✕✕✕＠enjoy.ne.jp メール終了!!（最終警告）」になっており、通常ではあり得ない不自然なタイトルです。最終警告といいながら、毎日同じメールを送ったり、文面構成や表現が稚拙で、本文最後の「よろしく」というユーザーに対してタメ口のような表現など企業メールからはかなり乖離しています。

メールサーバーには、送信用サーバー「SMTP」と受信用サーバー「POP」があります。二つを兼用することが多いので、ドメイン名は同一の場合が多いです。メールソフト（Outlook、Gmailなど）で接続設定をするとき、エディオンの場合、SMTP/POP サーバー名は「pop.enjoy.ne.jp」となります。そのほか、プロバイダー契約時のアカウント（ユーザー名、パスワード）やメールアドレスなどを設定（入力）して、はじめてメールの送受信が可能になります。

送られたメールは、SMTPメールサーバーを経由し、POPメールサーバーに保存されます。受信端末（PCやスマホ）でメールソフトを開くと、POPから自動的にダウンロードされ、メール内容を見ることができます。POPサーバーの場合、保存されたメールがダウンロードされるとサーバー内には残りません（エディオンはPOPを利用）。なので、複数の端末でメールを見れるようにしていても、一つの端末（PC）で受信メールを確認すると、他の端末（スマホ）からは見ることができません。

Gmail（Google）、MSN、Yahooなどウェブメールは、受信サーバーに「IMAP」を利用しています。POPサーバーと違って、PC（又はスマホ）にダウンロード後も、サーバーにメールが残っています。ダウンロードするのは、メールのコピー（キャッシュ）なので、受信したメールはサーバーに残る訳です。こちらは、複数の端末から受信メールを確認することができます。

余談になりますが、私は、メールソフトThunderbird（サンダーバード）を利用しています。7つの目的別メールアドレス（プロバイダーメール、マイクロソフトメール、グーグルGmail、レンタルサーバーメールなど）を一括管理をしています。それぞれのメールソフトを個別に開いて内容確認するのはとても効率悪く不便です。サンダバードを開くだけで、すべての受信メールが確認できます。メールソフトGmailやOutlookでも同じように一括管理が可能です。

最近は少し下火になったように思いますが、アマゾン（Amazon）をはじめ有名企業を騙るフィッシングメールがあとをたちません。大手通販であるアマゾンを利用している人は多いと思いますが、フィッシングにより偽サイトに誘導され、個人情報を盗まれてしまうと、アカウント情報はじめクレジットカードの悪用からとんでもない被害に繋がります。

最近、アマゾンにログインすると、パスキー利用のウィンドウが表示される場合があります。すでに二段階認証はしていますが、パスキー設定で更なるセキュリティ強化が図ることができます。

パスキーとは、従来のパスワード認証に代わる新しい認証方式で、指紋認証や顔認証といった生体認証、またはPINやパターン認証を使用してログインを行います。複雑で推測されづらいパスワードを設定することも不要となり、複数のサービスでパスワードを使い回すといった問題への対策にもなります。また、なりすましによるアカウントの不正ログインといったセキュリティリスクも回避できます。

パスキーはパスワードマネージャーの利用による管理が可能なので、同一アカウントでログインしているデバイス（パソコンやスマホなど）間で使用できるのも特徴であります。

また、Webサイトごとに設定した認証情報を用いるため、公式サイトに偽装したフィッシングサイトではログインができず安全性が高まります。そのため、フィッシング詐欺や不正ログインのリスクを軽減できます。

アマゾン公式サイトにログインすると、（私もそうでしたが）パスキー設定のウィンドウが表示される場合があり、指示に従って行えば簡単に設定できます。または、アマゾンにログイン後、「アカウントサービス」⇒「ログインとセキュリティ」⇒「パスキー」 横の「設定」を選択し、画面上の指示に従って設定を完了することが出来ます。

Windows11パソコン（デスクトップPC）にログインする場合、同じくセキュリティ強化のため、パスワードではなくPIN（暗証番号）でログインしています。スタート⇒設定⇒アカウント⇒サインインオプション⇒ PIN (Windows Hello）でパスキー設定が出来ます。このWindows11パソコン（デバイス）で開くサイトのパスキーは、すべてWindows Hello PINになります。アマゾンへのログインは以下の通りです。

(1). 携帯電話番またはメールアドレス入力の後 次に進む。

(2). 「ユーザーを確認しています」のウィンドウが現れますので、PIN（パスキー）入力でログインをします《パスワード入力は不要》。

私の場合、ニ段階認証設定のままなので、PIN（パスキー）入力後 続けてワンタイムパスワード入力画面が表示されます。スマホに届いた6桁のワンタイムパスワード入力の上、サインインでAmazonサイトが開きます。※パスキーを設定した場合、ニ段階認証は不要ですので、解除すればこのウィンドウは現れません。

ただ、手順 (2).「ユーザーを確認しています」のパスキー入力画面で、右下の「キャンセル」をクリックすると、以下のようにパスワード入力が可能である現状では、万一の漏洩防止ために二段階認証をそのまま併用しています。

少し専門的になりますが、パスキーは公開鍵と秘密鍵を用いる「公開鍵暗号方式」に基づいた認証方法を採用しています。サーバ側に保存されるのは公開鍵のみで、秘密鍵はユーザーのデバイス内に安全に保存されます。秘密鍵を使用して認証を行うには、生体認証（指紋認証や顔認証）、またはPINやパターンを使用して本人確認を行います。

仮に公開鍵が漏洩しても、秘密鍵がなければ認証は成立しません。また、秘密鍵はデバイスごとに異なるため、あるデバイスから秘密鍵が盗まれても、他のデバイスでは利用できません。そのため、不正アクセスのリスクを大幅に軽減できます。

PIN（パスキー）は、すでに Microsoft、Apple、Yahoo で利用していますが、今回、Amazon に追加設定しました。パスキーを利用できるサイトはまだ少なく、特にクレカを登録しているサイトは、セキュリティを高めるためニ段階認証を利用したり併用しています。

ちなみに、先に生体認証でロック解除しているスマホでパスキーを設定した場合、その後パソコンから対象サイト（アマゾンなど）にログインすると、PINやパスワード入力の代りに、QRコードが表示されます。そのQRコードを（パスキーを設定した）スマホで読み込むことで安全にログインできます。

最新版であるNTT西日本セキュリティ対策ツールVer19が、6月10日リリースされました。ご存知のように、NTT（西日本/東日本）では、「 フレッツ 光ネクスト 」、 「 フレッツ 光ライト 」 に加入すると、「セキュリティ対策ツール」の1ライセンスが無料（2台目から有料）で提供されます。セキュリティ対策ツールの中身は、トレンドマイクロのウイルスバスタークラウドと同じものです。

メインパソコンでNTT西日本セキュリティ対策ツールを利用しています。他のサブパソコンはウイルスバスタークラウド（ライセンス3台用）を利用しています。

最近 複数のPCを同時に併用することが少なくなりました。サブPCのOSは、Windows10であり、今年10月14日でサポート終了になります。しかも、Windows11へのアップデートは、UEFI・セキュアブートとTPM2.0に対応していないため、アップデート不可（裏ワザで可能ですが意味がありません）。

メディア (USBメモリなど) の貸し借りやPCをオフライン（インターネット＆メールを利用しない）しておけば大丈夫なので、この際 ウィルスバスタークラウドのライセンス数は減らそうかなと思っています。

毎年「NTT西日本セキュリティ対策ツール」の更新案内は、スタートアップツール（NTTアプリ）の《お知らせ》からあります。昨年、《お知らせ》による「セキュリティ対策ツールVer18」の更新案内は9月末でした。

案内があった時点で、NTT西日本公式サイトにて調べたところ、すでに 2024年4月23日 Ver.18への更新案内がされていました。つまり、スタートアップツールの《お知らせ》には、正式なリリース発表から5ヵ月遅れの案内でした。ちなみに、一昨年のVer17へのスタートアップへの更新案内は、8ヵ月遅れの12月でした。いち早く最新Verにアップデートするのであれば、NTT西日本の公式サイトからの確認が必須です。

で、NTT西日本公式サイトにて、セキュリティ対策ツールVer19への更新案内を今年4月末に確認したのですが、なぜか毎年4月にあるリリース案内がありませんでした。その後、5月～6月 定期的に確認をしていたところ、今年に限ってなのか、6月10日にリリースがありました。

新しいバージョンにダウンロード＆インストールするには、NTTWアプリ（NTT西日本セキュリティ対策ツールアプリ）にある「セキュリティ申込・設定ツール」ショートカットから行います。又は、NTT西日本公式サイトから、Ver19のファイルをダウンロード後、インストールも可能です。以下の通り、今年はリリースまもなく最新バージョンのセキュリティ対策ツールVer19のアップデートが出来ました。

※NTTW（NTT西日本）アプリ「セキュリティ申込・設定ツール」のショートカット

※NTT西日本サイトのセキュリティ対策ツールVer19ファイルのダウンロード画面

「セキュリティ申込・設定ツール」をクリックすると、バージョンアップ画面が表示されますので、指示（手順）に従って操作をすればVer19への更新が終了します。

1.「セキュリティ申込・設定ツール」クリックによるVer19へのバージョンアップ画面

2. ファイルのダウンロード＆インストール（アップデート）が行われます

3. 手順に従って操作するとセキュリティ対策ツールVer19への更新が終了します

4. 最新バージョンになったNTT西日本セキュリティ対策ツールVer19