Amazon(アマゾン)を騙るフィッシングメールが後を絶ちません。有名企業を騙るフィッシングでは、アマゾンがその50%を占めると言われています。ネット上においてもフィッシングに関しては、多くの注意喚起がなされています。しかしながら、2021年度のフィッシングメールによる被害も、上期より下期の方が増えており、ここ数年の被害を見ても減るどころか、年々増加の一途をたどっています。
今回冒頭に紹介しているメールが届きました。見る人が見ればすぐフィッシングメールと分かりますが、内容が以下の通りです。
**********
差出人:Amazon <no-reply@amazon.co.jp>
宛先:Amazonに登録しているメールアドレス
件名:Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)
amazon.co.jp
Amazonアカウントのエラーまたは不完全なプロファイルにより、システムは残念ながら高リスクのアカウントに設定されており、アカウントと対応する機能の権限が部分的にロックされています。
Amazonアカウントのロック解除にご協力ください。以下のリンクを使用して、Amazon Webサイトにアクセスし、情報を更新してください。
支払い情報を更新する
※ 24時間経過してもこのメッセージに返信がない場合、アカウントのステータスは1週間後に放棄され、完全に削除されるよう設定されます。
**********
メール内容を検証すると・・・
1. 本物のアマゾンからのメールには、文頭に必ず登録したフルネームで「◯◯◯◯様」とありますが、このメールにはありません(例:岡田太郎様)。
2. メール内の「支払い情報を更新する」のリンク先URL「https://static-lamalonetoo.top/」には、文字列に「Amazon」がありません。但し、Amazonを含んでいても、文字列の不適切な位置に挿入されているケースもあり、必ずしも本物とは限りません。クリックした場合、本物そっくりのログイン画面に誘導されます。
3. 文末の「24時間経過してもこのメッセージに返信がない場合・・・・」の文章のような、企業が期限を切って、顧客であるユーザーのアカウントを、一方的に了解なく削除するということは絶対にあり得ません。(大抵のフィッシングメールは、このように期限を切って、脅しともとれる内容の記述があります。この一節があるあだけで、フィッシングメールと判断できます)
4. 差出人メールは、偽物と判断できません(本物と勘違いしそうです)
出典:Amazonサイトより
検証内容の通り、差出人のメールアドレスについては、巧妙な部分もありますが、1項~3項のいずれかが該当すれば、フィッシングと判定できますので、参考にして被害い合わないよういしたいものです。フィッシングは中華発が多いので、日本語の使い方がおかしい場合も、判断の材料になります。
Amazonについては、二段階認証がお勧めです。IDおよびパスワードでログイン後、さらに予め登録した携帯電話番号にSMSで、送られてくる6桁のワンタイムパスワード(一度きりの使い捨てPW)入力でサイトが開きます。仮に盗まれたログイン情報を使って、第三者がAmazonにログインしても、ワンタイムパスワードは、携帯電話所有者に連絡がいくので、サイトを開くことができません。ワンタイムパスワードは、ネットバンキングなどにも利用されています。
9月にも、同様のフィッシングメールがありました。当記事を読んで頂ければ、アマゾンを騙るフィッシングメールと分かりますよね。