フィッシング対策協議会のニュースで、セゾンNetアンサーをかたるフィッシングメールについて注意が呼びかけられています。
【重要:必ずお読みください】というタイトルで、「第三者によるアクセスを感知したので、暫定的にIDを変更した」という内容のメールを送り、フィッシングサイトに誘導し、正規のIDとパスワードを入力させる手法のようです。
こういった手法は以前からあるのですが、ビックカメラなど最近の不正アクセス事件が注目されたことにより、また「引っかかる」人が増えているようです。
セゾンカードのサイトにも書かれていますが、見分け方は
○saisoncard.co.jp、またはa-q-f.comドメインである
×それ以外のドメイン
(最近はマルウェアによるリゾルバ書き換えなど、クラッカーのファーミングテクニック向上により、ドメイン名だけで安心するのは危険です)
○メールアドレス、NetアンサーIDの入力欄が無い
×メールアドレス、NetアンサーIDの入力欄がある
とのことです。
「あなたのアカウントが不正ログインされたので、暫定的にIDを変更しました。」
というメールが、サービス事業社から届く可能性はあります。
いかにも本当にサービス事業社から届いたメールのような内容でフィッシング詐欺サイトに誘導するのは、利用者心理の隙をついた、とても悪質な方法ですね。
セキュリティ意識がちょっと高い人ほど騙されてしまいそうです。
このような内容のメールが届いた時は、すぐにリンクをクリックせず、利用しているクレジットカード会社のサイトを確認し、セキュリティに関するお知らせが出ていないか確認しましょうね。
また、各クレジットカード会社も、新規獲得だけに注力するだけではなく、自社サイトで事件が起きていることを告知し、釣られてしまうユーザーを減らす活動に力を入れるべきだと思います。
セゾンカードのサイトは、トップページで「お客様の情報を盗み取ろうとする不正な画面にご注意ください!」と表示していることは良いですね。
- トップページの注意文言を「セゾンカードを名乗る【重要:必ずお読みください】というメールはフィッシング詐欺です」と具体的に表示する
- 利用者に「セゾンカードを名乗る【重要:必ずお読みください】というメールはフィッシング詐欺です」という告知メールを送る
- What’s Newで「フィッシング対策協議会からフィッシング詐欺の注意が出ています」のお知らせを出す
などの対応を行うと、さらに良くなると思います。
インターネットのID/ Password認証と、クラッカーの技術との競争には終わりがありません。
サービス提供社の努力、利用者の意識向上だけではなく、技術的な認証方式のブレークスルーが必要なんでしょうね。