最近は amazon や楽天などの大手ショッピングサイトはもとより、銀行や郵貯などの金融機関もフィッシング詐欺の対象になっています。

 

だから少々疑わしいメールを見てもあまり気にはしませんが、先日 yodobashi から届いたメールは思わずクリックしそうになりました。

 

 

内容はこれまでの手口と同様、特定のアドレスをクリックさせようとするものであまり代わり映えしません。

 

どうしてこのメールにドッキリしたかというと、最近 yodobashi でのショッピングに心当たりがあるからです。

 

ショッピングサイトは多数あるけれども、これまでのフィッシング詐欺のメールは　amazon や楽天などの大手が殆どです。

 

フィッシング対策協議会 の緊急情報一覧のアーカイブを見ても殆どが大企業で、自分に届くメールも amazon や楽天以外のショッピングサイトを装ったものは記憶にありません。

www.antiphishing.jp

 

 

 

そういう状態で心当たりのあるショッピングサイトからのみメールが届けば、本物かと一瞬思ってしまいますよね。

 

直ぐに思い浮かぶのは、クッキー（Cookie） やメールを盗み見されたのではないか、ということ。

 

もしそうだったら、懸念は yodobashi に留まりません。

なので google 検索してみると、今回はたまたま（？）yodobashi がターゲットになっているだけのようで、上記フィッシング対策協議会 の緊急情報にも ヨドバシカメラをかたるフィッシング (2020/04/21) というニュースが掲載されていました。

 

 yodobashi からも、【重要】ヨドバシカメラを装ったフィッシングメール（なりすましメール）にご注意ください という警告が出されていました。

 

 

 

 

 

けれども、相変わらず記載されている対処方法はお粗末なものでした。

 

 

 

ヨドバシカメラをかたり、偽サイトに誘導してログイン情報やお客様情報等を盗み取ろうとする不審なメールが発見された旨の報告がありました。
不審なメールのリンク先には絶対にアクセスしないようご注意ください。

万が一、不審なメールのリンク先にアクセスしてしまった場合、このような偽サイトにて、会員ID、パスワード、お名前、カード番号、有効期限、ご本人様確認番号、生年月日、電話番号、郵便番号、都道府県、市区町村、住所、建物名などを絶対に入力しないように、ご注意ください。

 

　　　　　　↓

 

■なりすましメール内の転送先の URLの例
https://yodobashi.mwc.●●●●.cn/?token=●●●●&email=●●●●
https://yodobash.curtain-●●●●.com/?token=●●●●&email=●●●●
上記以外のドメイン名、URLも使われている可能性があります。

 

　　　　　　↓

　 

■EV SSL証明書をご確認ください
当社ではDigiCert Inc.のEV SSL証明書を採用しています。EV SSL証明書とは、対応したブラウザでは、ウェブサイトの運営組織の実在性を明確に特定し、ご利用者をフィッシング詐欺から保護することができる証明書です。
ブラウザのアドレスバーが下記のような表示になっていることをご確認ください。

 

　　　　　　↓

 

 

■URLの確認
当社Webサイトや当社からお送りする電子メールに記載されたリンクのURLが「https://xxx.yodobashi.com」や「https://xxx.yodobashi.com」で始まるURL（xxxは任意の英字）になっていることをご確認ください。

 

 

 

 

これで、対策になっているのでしょうか？

大体、「https://xxx.yodobashi.com」や「https://xxx.yodobashi.com」で始まるURLと言われても１つ目と２つ目のURLの違いがわからない。

 

 『上記以外のドメイン名、URLも使われている可能性があります。』とも書いてあるし、yodobashi は見た人を混乱させようとしている？

 

 

それはともかく、書いてある対処法は非常に不十分だと感じます。

 

 

ヨドバシカメラをかたり、偽サイトに誘導してログイン情報やお客様情報等を盗み取ろうとする不審なメールが発見された旨の報告がありました。
不審なメールのリンク先には絶対にアクセスしないようご注意ください。

万が一、不審なメールのリンク先にアクセスしてしまった場合、このような偽サイトにて、会員ID、パスワード、お名前、カード番号、有効期限、ご本人様確認番号、生年月日、電話番号、郵便番号、都道府県、市区町村、住所、建物名などを絶対に入力しないように、ご注意ください。

 

 

 

私だったら少なくとも「不審なメールのリンク先には絶対にアクセスしない」などを太字やアンダーラインなどで強調しておきます。

 

その前に、

  ・「不審なメールのリンク先」よりも先ず不審なメールにはアクセスしない

  ・会員登録したメールアドレス以外にはメールを送ることはない

  ・覚えのないメールアドレスに届いたメールは開かない

 が抜けていると思います。

 

 

 

 更にいうと、yodobashi 側からは問い合わせに対する返信以外で顧客にメールを送ることはない、と書けるように仕組みを作っておく必要があると思います。

 

現時点ではどの企業も不正アクセスされた場合にユーザーにはメールで連絡すること

が一般的なので、「企業側からユーザーへメールを送ることはない」というのは非現実的に思われるかも知れません。

 

けれども、少なくともショッピングサイトではこういったことが可能です。

緊急時には登録してある電話番号へ連絡するか、速達や電報などで連絡すればいいだけです。

（対象人数が大量だと電話は厳しいかも知れないので、非常時に迅速な大量印刷を請け負ってくれる契約を結んでおく必要があるかも知れません）

緊急時にメールで連絡することのメリットは費用的なものが殆どで、メールはいつ読まれるかわからないので即応性の点では寧ろ劣っています。

 

費用に関しては、もし本当に不正アクセスされて被害が出ているのであれば連絡に掛かる費用など些細なものです。

 

私は ベネッセ個人情報流出事件 で補償としてQUOカード 500円分を受け取ったことがあります。

 

9月10日 - ベネッセは記者会見を開き、顧客情報漏洩件数を3504万件と公表。個人情報漏洩被害者へ補償として金券500円を用意するとした。35社が漏洩した個人情報を利用しており、事業者に対して個人情報の削除を求めるなど、利用停止を働きかけていると説明した^[16]。

 

 Wiki によると顧客情報漏洩件数は3504万件で、補償対象がどれ位だったのかはわかりませんが、

 

• • 7月31日 - 4～6月期の連結決算は、売上高が前年同期比7％減、営業利益が同88％減となり、営業損益は、前年同期の39億1000万円の黒字から一転、4億3000万円の赤字になる^[要出典]。
• 2016年5月6日 - 4月時点の進研ゼミ会員は243万人と、前年同期から28万人減った。16年3月期の連結最終損益を、従来予想の38億円の黒字から82億円の赤字（前期は107億円の赤字）に下方修正。10-3月期（下期）の連結最終損益も、従来予想の13.7億円の赤字から、133億円の赤字に下方修正し、赤字幅が拡大した^[要出典]。

 

 

このように大変な事態になりました。

 

また、

[Yodobashi会員]ログインしましたか？(日付 時刻)

と問い合わせるような、顧客側の行動に不信がある場合にメールで問い合わせる仕組みにしていることも問題です。

 

既にショッピングが終わった後で発覚したのであればメールではなく電話などで問い合わせれば良いし、決済前に不審な行動にシステムが気付いたのであれば決済を保留して緊急連絡・確認する仕組みを組み込んでおけばいいだけです（この場合は特定のアドレスでのメールも可）。

可能なら会員登録する際にこういった緊急時の連絡費用を顧客側に請求できるように取り決めておけば良いのですが、そういった風潮でもないだけに。

 

 

 

 

 

 かなり脱線しましたが、去年の YAHOO のニュースに 「進化するフィッシング攻撃。従来のフィッシング攻撃対策の常識がむしろ被害を拡大させる。」というものがあり、この中では

 

　　■目視での判別はほぼ不可能

　　■ドメイン名でも判別不可能 

　　■「怪しい」箇所を教えようとするフィッシング対策は逆効果

 

 ということが述べられています。

 

 一例として、ライザップグループがラテラルフィッシングと見られる被害を受け不正アクセスされたアカウントから送信された送信されたSPAMメールは当然ながらライザップの正規ドメインからのものだった、という事例を取り上げています。

 

 

 

今回の yodobashi の対応策では有効性がきちんと確認されていると思います。

けれども、確認方法の一般的な拡散という面からすると多少問題があるかも知れませんね。