楽天市場からの偽の注文情報メールはただのフィッシングメールではなかった！

フィッシングに気づく前に不安に陥れる

●先日は、楽天カードからの偽のフィッシングメールが来たことを話題にしましたが、今回は楽天市場から偽の注文情報メールが届きました。
メールの冒頭部分は以下の通りです。
---------------------
この度は楽天市場内のショップ「クレールオンラインショップ」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。
--------------------------


●内容はこれまでのように全く心当たりがないのは言うまでもなく、自分の注文でないことははっきりしています。当然、同じメールを受信した人もみんなそう思って、おかしいメールが来たと気が付くはずです。ところが今回のメール、これまでのフィッシングメールとはちょっと違っています。

●今回のメール内容が今までの詐欺メールと違う点は、ショップ名や注文ID、購入日だけでなく、商品名や金額、発送先住所、支払方法に至るまですべてが具体的な内容になっていることです。内容を見た人の多くは、普通のフィッシングメールだと気づく前に、あまりに具体的な内容なため不安が先に立って、混乱に陥ってもおかしくありません。

●要するに、フィッシングメールと判断する前に、ひょっとしたら誰かにIDを乗っ取られて不正利用の被害に遭ったかもしれない！と思うのが先になるような詳細な内容なのです。これはフィッシングメールの判断より先に不安な思いを抱かせてマスキングしてしまい、判断や対応を遅らせる手口なのです。

●内容の具体性が災いし、多くの人は冷静さを失って思わず「不正アクセス被害ではないのか？」とメール内容のリンク先を踏んでしまう可能性が高くなります。日頃からフィッシングに気を付けて・・と言われてわかっているのに、私のお金が盗られた？と被害の不安のほうが勝ってしまい、思わずリンクを踏んでしまうことになるのです。

●今回のメールでは、リンク先が楽天の正規のアドレスとは全く別のもの。その上リンクがすべて同じアドレスとなっているというありえない状態なので、はっきりと偽メールという事がわかります。リンクを踏まなくても、リンクの箇所にマウスカーソルを当てる（ポイントする）だけで、どこかにそのリンクアドレスが表示されます。それを読み取ることで、正否の判断が可能です。

フィッシング詐欺もついに心理戦に入った

●これまでと違って、このメールが非常に危険なのは、人の心理的な弱点を突いてきていることにあります。不安が先に立つと判断力が鈍るという心理を巧みに利用しています。

●以前から言っていることですが、セキュリティーの最後の砦はユーザーの判断とリテラシーです。その判断を間違えた場合すべてのセキュリティー対策は水泡に帰することになります。今のIT社会ではユーザーのミスが最大のセキュリティーリスクなのです。

●たまたまその端末に、狙った脆弱性が無かったら被害に遭う事もないですが、そのメールがどのような脆弱性を狙ってきているかはわかりません。

●これからのセキュリティーの考え方は、物や仕組みの対策だけでなく個々の判断力やリテラシーの向上を重視していく必要があるでしょう。

●しかしながら、そのような事を支援したり周知したりする身近な公的仕組みがほとんどありません。予算消化のためのワープロ教室とかタブレット教室などばかりで、IT社会で被害に遭ったり、ついていけない人たちは切り捨てられてしまっています。

●これからは公共の場でも他の相談と同様、一般の方々が気軽にIT相談出来る仕組みと場所が必要な時代になっているのではないでしょうか。

NetProve ネットプローブ「情報管理サービス」
九州インターワークス
http://www.kumin.ne.jp/kiw/security.html