So-net無料ブログ作成

アカウントのロック解除を促すアマゾンのフィッシングメールに注意 [フィッシング]

 あまり種類の多くないアマゾンのフィッシングメールに、今月から新しいバリエーションが加わった。フィッシング対策協議会は21日、緊急情報を公開し注意を呼びかけた。

 問題のフィッシングメールは、「アカウントのロックを解除する」という件名で、今月初めから不特定多数宛てにばらまかれている。

■不自然な日本語、差出人偽装、文面にアマゾンのロゴ

 本文は、「私たちは、あなたのアカウント情報の一部が誤っていることをお知らせしたいと思います。私たちは、あなたのアカウントを維持するためにお使いの amazon 情報を確認する必要があります。下のリンクをクリックしてアカウント情報を確認してください」となっており、一昨年からアップルのフィッシングメールに使われている文面が、そのまま流用されている。文末には「私たちは24時間以内にあなたからの応答を受信しない場合は、アカウントがロックされます」の一文もあり、不自然な日本語もそのままだが、差出人を「amazon.co.jp」に偽装し、文面にアマゾンのロゴを配したメールに、うっかり騙されてしまうかもしれない。

■HTTPS接続で錠前マーク表示、紛らわしいURL

 メールの指示に従い「マイアカウント確認」をクリックすると、アマゾンの偽のログインページに誘導される。協議会の緊急情報に掲載されているサイトの画像は、画面の中央部分を切り取ったものなので分かりにくいが、偽サイトにはスマートフォン用にデザインしたページが用意されていないため、スマホでアクセスすると画面の不自然さに気付くかもしれない。ただしこの偽サイトは、HTTPS接続で錠前マークが表示されるうえ、「support-amazoin-co.jp.ドメイン名」や「support-amaizon-co.jp.ドメイン名」などの紛らわしい長い名前が使われている。URLの表示領域が狭いスマホ用のブラウザでは、本物と見間違えてしまうかもしれない。URLの先頭を見て早合点せず、必ずドメイン名が「amazon.co.jp」であることを確認していただきたい。

 この偽サイトにログインすると、アカウントのロックを解除するためと称して、請求先の住所、クレジットカードの名義人、カード番号、有効期限、Cvv(カード裏面に印刷されたセキュリティコード)を入力させ、何事もなかったかのように本物のアマゾンのトップページへと飛ばす。気付かないでいると、アカウントやクレジットカードが不正に使われるおそれがある。

■偽アマゾンがよく使う手口とその見分け方

 協議会がアマゾンの緊急告知を出すのは4月以来のことだが、この間もアマゾンを装うフィッシングは、週に数回のペースで続いていた。特に頻度が高かった攻撃者のひとつが、1年以上に渡り続いている今回のもので、7月までは「あなたのAmazonアカウントは別の国にログインしています」という件名で米カリフォルニア州からログインされたからアカウントをロックしたので確認するよう促す内容のメールで誘導していた。

 アマゾンを装うフィッシングメールには、不正ログインやアカウントのロックを口実にするものが多く、ほかにも「あなたはAMAZONログイン認証情報をリセットする必要があります。」という件名で支払い情報の更新を求めるメールや、アップルのフィッシングと同様の添付ファイルから誘導するものなど、いくつかのバリエーションがある。

 アマゾンの公式サイトは、「Amazon.co.jp からのEメールかどうかの識別について」という情報を出しており、メールに使用しているドメインの一覧を掲載している。そこに「amazon.co.jp」「amazon.jp」「amazon.com」が挙げられているが、メールの差出人は偽装されることがあるので注意したい。正規のドメインでない場合は偽物だが、正規のドメインでも本物とは限らない。

 最近よく見かけるのは、メールアドレスは無関係だが、差出人名を「amazon.co.jp」などに偽装したメールだ。スマホの小さな画面では、メールアドレスが表示されないことや、差出人名と区別がつかないことが多い。差出人の長押しや詳細表示などで全てを表示させることができるので、必ず確認していただきたい。

 なお、本物のアマゾンからのメールは、公式サイトや公式アプリのアカウントサービスにある「メッセージセンター」でも確認できる。メッセージセンターには、偽のメールが届くことはないので、そちらを確認すれば確実だ。フィッシングメールのほかにも、アマゾンを装う架空請求SMSや、注文の確認と称して出会い系サイトに誘導するメール、代金を支払わせて商品を送らない、あるいは偽物を送り付ける通販詐欺サイトに誘導するメールも報告されているので、くれぐれも偽アマゾンに騙されないよう注意していただきたい。

(2017/08/22 セキュリティ通信)

【関連URL】
・Amazon をかたるフィッシング (2017/08/21)(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/amazon_20170821.html
・ Amazon.co.jp からのEメールかどうかの識別について(アマゾン)
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304810