フィッシング詐欺メールを受け取ったので、思わず記念に画面キャプチャーしちゃったので、ぜひこの記事をご覧のみなさまに見ていただこうと思う。

フィッシング詐欺メール

三井住友カードから「お客様情報の確認」という内容のメールで、カードの利用確認のお願いとしてログインボタンがついている。

お客様の名前「〇〇様」という個人名はなし。

そして、煽るように24時間以内の確認がないとアカウントの利用制限をするという文言付き。アカウントを制限という文言と赤字で煽ることによって、判断力の低下を狙っているものと思われる。

ログインボタンのURLのトップレベルドメインは「cn」で中国のドメインだ。

メールが自動配信されているから返信しない要注意事項が書かれているうしろに面白いことが書かれている。

– パスワードは誰にも教えないでください。

– 個人情報と関係なく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。

– オンラインアカウントごとに、異なるパスワードを使用してください。

フィッシング詐欺メール本文

いや、フィッシング詐欺のメールからセキュリティの基本を教わるとは思わなかった。ログインした先には飛んで確認はしていないけど、パスワード入力欄があったら傑作かな。ちなみに、三井住友カードのVpassのパスワード要件を調べたら6~20桁の半角英数字だった。記号は使えない。

そして最後に配信元の情報として「三井住友カード」と「株式会社」が付いていない社名が書かれている。普通、こういうところって正式な社名を書くはずなんだけどね。

メールアドレスのドメインをwhois検索で調べてみたら中国のドメインレジストらから登録されたものだということがわかった。

受け取ったときに注意する点

まず、こういうフィッシング詐欺メールを受け取ったとき、まともな企業ならこんなことをするはずがないだろうということに気がつけることが大切だ。特に金融系の会社が直接何かを重要なことをやりとりするときは、郵送による書面でのやりとりとなるはずだ。

その上で次のようなことに気をつけてみよう。

  • 宛先のメールアドレスは企業のURLと一致しているか、あるいは企業のウェブサイトに案内があるか?
  • 急がせたり不安を煽ったりする内容であるかどうか。
  • 日本語に不自然な部分はないか?
  • リンクのURLが企業のURLと一致するかどうか?(HTMLメールの場合は右クリックなどで「リンクをコピー」と出てくるので、コピーしてメモ帳などのテキストエディタに貼り付けてみる)
  • 最初の挨拶文に個人名がない。
  • 普段、企業が送るメールと異なる書式。

メールアドレスやリンクのURLが企業のウェブサイトと一致するかどうかをみるとき小文字のエル「l」が大文字のアイ「I」になっていたりする可能性もあるので注意。あと、日本の企業だとドメインの最後にjpが付いているけど、途中にjpが付いていてドメインの最後がcomとかcnとかだったりするのは怪しい。

詐欺を行う場合、不安を煽る内容で精神状態を不安定にさせて正常な判断力を奪おうとする。まともな企業ならこんな内容のメールをお客様に送りつけるわけがない。

また、普段と異なる書式(デザイン)は怪しいし、まともな企業なら個人宛に送るメールで「〇〇様」などという個人名を入れないはずがないので、それが見られない場合は疑っていい。

あとはどうしても判断がつかない場合は、企業宛に問い合わせたり、似たような事例があって誰かがSNSで共有していないか検索してみる。慌ててリンクをクリックせずに、まずは落ち着いて対応しよう。

おわりに

フィッシング詐欺メールってよく出回っているというニュースは見かけるけど、なかなかお目にかかれないものでもある。普段から接していないからこそ、こういうメールを受け取って慌ててしまいがちになるけど、そこは落ち着いて対応していきたいものである。

なお、ぼくは三井住友カードは契約していない

Posted by:こうすけ