最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆2018年3月の国内フィッシング事情(2018/04/19) | メイン | ◆架空請求の相談急増、国民生活センターが注意呼びかけ(2018/04/25) »

2018/04/20

◆狙われる「キャリア決済」、通信事業者を装うフィッシングに注意(2018/04/20)

 今年2月ごろから暗躍していた、通信事業者の偽の会員サイトに誘導してアカウント情報を騙し取ろうとするフィッシングが、先週から手口を変えて連日メールをばらまいている。騙されると、キャリア決済で不正購入されるおそれがある。

 フィッシングの標的になっているのは、ソフトバンクとNTTドコモの2社のユーザーだ。不特定多数にばらまくフィッシングメールと違い、ぞれぞれのキャリアを装うメールが、キャリアメール宛てに届くのが特徴だ。ソフトバンクユーザーには、「ソフトバンク株式会社」という差出人名で、「【重要】ソフトバンク株式会社からの緊急のご連絡」という件名のメールが届く。ドコモユーザーには、「株式会社NTTドコモ」という差出人名で、「【重要】株式会社NTTドコモから緊急のご連絡」という件名のメールが届く。差出人のメールアドレスが、公式のものとは違う無関係なものになっていたため、偽物であることに気付いた人も多い。

 これまでのメールは、第三者に不正ログインされた可能性があり、パスワードをリセットしたので、パスワード設定の手続きをするようにと求め、それぞれの会員サイトそっくりの偽ログインページに誘導し、ログインさせようとするものだった。引っかかってしまったユーザーからは、オンラインゲームでの不正購入被害が報告されている。

 新しいメールは、Apple IDが不正に使用され、契約内容が「まとめて支払い」に変更された可能性があるので、ホームページにログインし、iTunesとApp Storeから送られてくるセキュリティコードを入力して支払いを解除するよう求める。偽ソフトバンクは今月12日頃から、偽ドコモ版は18日からこの内容に変わり、誘導先の偽サイトで、メールの文面通りの操作を行わせようとする。これに騙されて電話番号とSMSで送られてくる4桁の番号を渡してしまうと、攻撃者のApple IDの支払い方法に、あなたのキャリア決済が登録されてしまうおそれがある。

■「キャリア決済」悪用し、不正購入

 キャリア決済は、通信事業者が提供している月々の料金と一緒に支払いができるサービスのこと。ソフトバンクでは「まとめて支払い」、NTTドコモでは「ドコモ払い(旧ケータイ払い)」「spモード決済」などと呼んでおり、対応サイトではクレジットカードと同じように利用することができる。アップルのiTunesやApp Storeなどのサービスもそのひとつで、Apple IDに請求先の携帯電話番号を指定し、その電話番号宛てに送られてくるSMSメッセージに記載された4桁のコード(数字)を入力して決済登録を行うと、キャリア決済で支払うことができるようになる。

 電話番号宛てにSMSメッセージを送ることで、その番号の持ち主であることを確認し、メッセージに記載したコードの入力で決済登録を承認する仕組みだ。メールやSMSで送ったコードの入力やリンクのクリックは、こうした確認や承認の意思を伝える手段としてよく使われる。それがどういうもので、何が起こるのかをよく理解したうえで操作していただきたい。実際に、メールが偽物だと気付かず指示されるままに操作したところ、キャリア決済にiTunes/App Storeから身に覚えのない請求が来たとの報告がある。キャリア決済で利用できる金額は、年齢や契約期間、ユーザーの設定状況にもよるが、最大で10万円だ。

■騙されてしまったら

 偽サイトにログインしてしまったところで気づいたら、直ちにブラウザのブックマーク(お気に入り)や公式アプリなどから公式サイトに行き、ログインできるようであればパスワードを変更しておく。ログインできない場合はサポートに問合せ、パスワードリセットなどの復旧手段をとる。SMSメッセージの番号まで入力してしまったら、キャリア決済を確認し、アップルのサービスの登録解除と、身に覚えのない購入履歴の払い戻しを申請する。キャリア決済への事後対処は、通信事業者側からでもアップル側からでも対処してもらえたとの報告があるが、正確なところはサポートに問い合わせていただきたい。

■騙されないためには

 不審なメールであることに気付くことができれば、フィッシングメールに騙されないで済む。不審点のチェック方法はいろいろあるが、最も簡単で確実なのがリンク先のURLの確認だ。リンク先のURLは偽装されたり、文字や画像、ボタンなどになっていたりするので注意したい。

 パソコンの場合は、多くがマウスポインタを重ねるマウスオーバーという操作で、マウスポインタのそばかステータスバーに表示される。ブラウザで閲覧するWebメールの場合は、マウスポインタのそばに偽装リンクを表示できるので、ステータスバーの方を確認する。確認できない場合は、右クリックメニューのコピーなどの操作でも本当のリンク先を調べられる。スマートフォンの場合は、リンクをタッチしたまましばらく待つ長押し操作で、リンク先や操作メニューが表示される。表示したURLが、「https://」ではじまる公式サイトのものであることが確認できれば安心だ。

 うっかりクリックしてしまった場合には、操作する前に必ずブラウザのアドレスバーを確認していただきたい。錠前マークが表示された公式サイトのもの、または公式サイトの運営者名が表示されていれば安心だ。

(2018/04/20 ネットセキュリティニュース)

【関連URL】
・ソフトバンクを装う電子メールに関するご注意(ソフトバンク)
https://www.softbank.jp/mobile/info/personal/news/support/20180418a/
・NTTドコモのdアカウントログイン画面にきわめて似ているウェブサイトにご注意ください(NTTドコモ)
https://id.smt.docomo.ne.jp/src/utility/notice_trouble20180205.html
・ソフトバンクをかたるフィッシング (2018/04/18)
https://www.antiphishing.jp/news/alert/softbank_20180418.html

投稿情報: 10:45 |

|