Amazonに似せたフィッシングサイト誘導メールがきた

知人から相談がありました。

Amazonから注文していない商品の注文詳細メールが届いて、なんだろうと思って注文確認ボタンをクリックしまったけど大丈夫なのか？・・と。

これはAmazonを装った偽サイト（フィッシングサイト）への誘導メールです。

そこそこ注意深い知人でしたが、これは引っかかってしまいました。こういうのどうやって気をつけるかパソコン詳しくない人とか知らないよ、、という話だったので注意喚起のため記事にしてみました。

注文していないのに注文メールが届く
1. 押してみる
2. 既にログインIDやパスワードを入力してしまった場合
  1. 通報する
  2. Amazonに連絡する
フィッシングサイト対策はどうすればよいか
1. 警戒ポイント
  1. URLの文字列をよく確認する
  2. メールに記載されたリンクはクリックせず検索エンジンの検索結果リンクから入る
2. セキュリティ対策ソフトを導入する

注文していないのに注文メールが届く

実際に届いたメールを見せてもらったところ、このようなAmazonで注文した時に届くメールとそっくりなメールが届いておりました。

ただ、届け先がまったく知らない住所と名前です。

この時点で、「あ、誰かが自分のAmazonアカウントを悪用して買い物した！」と思ってしまい、慌てて注文の詳細を見るボタンを押してしまったそうです。

Amazonを使ったことない人であれば引っかかることはないのですが、使ったことある人であれば確認してしまうでしょうね。

ただ、これは押してはいけません。詐欺サイトに接続されてしまうパターンです。

よくあるパターンとしてURLが記載されていれば、ドメイン名を見たり、SSL証明書を確認することでぱっと見で本物か偽物か判別できたのですが、Amazonのメールのようにボタン形式にされてしまうと確認できないため、押してしまう人もいるかもしれません。

心境的には、悪用されている？早く確認したい、と相手を焦らせて普段と違う状況にすることで警戒心を働かせにくくさせてきます。

絶対に押さないでください（ネタフリではありません）

押してみる

・・・とはいえ、押したらどうなるかITエンジニア的には気になるところでもありますので、押してみます。

万が一に備えて、メインWindows環境とは隔離している突撃用の捨てWindows環境でアクセスしていますので、真似しないでくださいね

ぽちっとな。

するとこんな感じで、Amazonのログイン画面（ぽいもの）が表示されます。

よくできてますね。怪しんでいるから気が付きますが、そうでなければ本物と見間違えてしまいそうです。

ここで慌ててログインすると終了です。

ログインIDとパスワードを盗まれてしまい、悪用されてしまいます。

SSL証明書はセットされているので一見セキュリティで保護されたサイトなので安心、と思われるかもしれませんが、SSL証明書はちょっとWebサイト構築の知識があれば誰でも取得してセットできます。

今回の場合は赤線部分のドメイン名を見ると明らかにamazon.co.jpじゃないので偽サイトです。ただ、画面の見た目はAmazonのログイン画面と瓜二つなので、注意深く確認しないと引っかかってしまいますね。

既にログインIDやパスワードを入力してしまった場合

通報する

もし、既に入力してしまった方は、警察庁のフィッシング110番で相談してください。
（画像をクリックorタップすると移動できます）

Amazonに連絡する

これは実際に私はやってことありませんが、クレジットカード盗難時と同様、Amazonに連絡して偽サイトに入力したアカウントを一時的に無効化してもらえるか確認した方がよいかもしれません。

偽サイトで盗んだあなたのIDとパスワードを使ってAmazonで本当に買い物をされてしまうかもしれません。

フィッシングサイト対策はどうすればよいか

手を変え品を変えてこのようなフィッシングサイトは出てきますので、普段から気をつけることが重要です。気をつけるポイントをいくつか書いておきました。

警戒ポイント

URLの文字列をよく確認する

確認ポイントはこのあたりです。

http://～　で始まる場合はそもそもSSL証明書がなく一般的なECサイトではあり得ない
https://～　で始まっている場合は、ドメイン名がランダムなアルファベットの羅列の場合は偽サイト
https://～　でちゃんとしたドメイン名のようでもちょっと文字が違う場合がある。

さすがに1のパターンはブラウザが警告してくれるので気づきやすくなりましたが、まだまだ2と3はよくあります。

特に3のパターンは、ニトリの公式サイト(nitori)とそっくりに作った偽サイト(mitori)がニュースになりましたね。昔ビックリマンであった「ロッテ」と「ロッチ」みたいなものでよほど警戒していないと引っかかってしまいますのでご注意ください。

メールに記載されたリンクはクリックせず検索エンジンの検索結果リンクから入る

メールに記載されてきたリンクはそのままクリックできて便利ですが、うかつにクリックするとそのまま偽サイトに誘導されてしまうので、目的のサービスを検索エンジンなどで検索した結果から入るとよいでしょう。

ただ、検索エンジンも広告料を支払うことで公式サイトより上位に表示することもできますので、100%安全ではありません。

それと、よく使うサイトはブックマークしておくと良いでしょう。

セキュリティ対策ソフトを導入する

今回のケースのように通常状態なら怪しいから気をつけよう、と警戒できている人でも、支払いが確定しました、というような状態になると急いで確認したくなってしまい、警戒が緩んでしまうことがあります。

そんな時に備えて、セキュリティ対策ソフトウェアで一定の防御をすることもできます。

この記事を書くために数日後、同じメールの注文詳細ボタンを押して再度フィッシングサイトにアクセスしてみたところ、ウイルスバスターくんが自動で止めてくれました。

心配な方は導入を検討してみるのもよいと思います。

このようなフィッシングサイトの被害に遭う人が少しでも減りますように・・・

＜広告＞