ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

自動退会対応フィッシングとは?無視できないメールを装う攻撃!

自動退会対応フィッシング

また、新しい「メールでの攻撃」についての情報が入ってきました。

今度は、

「○○日以内にログインしないと、貴方のアカウントが無効になりますよ」

という内容のメールが送られてきて、書かれている通りにログインすると、情報が盗まれてしまう、というものです。


今回の攻撃が嫌らしいのは、

「一定期間内にログインしないとアカウントを無効にする」

という方針をとっている大手サービスが、本当に存在している事です。


この為、

「今回の攻撃で送られてくるのと同じような内容のメールが本物のサービスから送られてきた場合、そのメールには対応が必要である(対応しないと、実際にアカウントが無効になってしまう)」

という事があるのです。


これまでも、「貴方のアカウントが無効になっている」などの内容のメールを送り、ログイン情報を盗もうとする攻撃は存在しました。

しかし、そのようなメールに対応しなかったとしても、ユーザー側に被害が発生する事はありませんでした。

ですから、ITスキルが低いユーザーに対しては、「そのような内容のメールが届いても、対応しないで下さい」と教えておいてあげれば、それで被害は防げました。

しかし、今回は、本物のサービスから送られてきたメールであれば、ユーザーは対応しないといけません。

ですから、放っておく訳にもいかず、「ユーザーは、本物のメールか偽物のメールかを判別しないといけない」という事になります。

はっきり言って、被害を防ぐ為の対策は大変です。


検討した結果、当面、以下のような方針を事前に指導しておく事で、この問題に対応するのが良いのではないか、という結論に達しています。

①「ログインをしないと問題が発生する」といった内容のメールが届いた場合には、そのメールのURLなどをクリックするのではなく、検索エンジン(お気に入り、ブックマークでも可)を使ってサービスサイトに辿り着き、ログインを行う(その人に届いたメールが本物でも偽物でも、この方法であれば被害は発生しません)。

②自分が利用しているサービスのうち、一定期間内にログインしないと不利益を被る可能性のあるサイトを事前に確認しておき、必要がなくても、一定期間ごとにログインする(そのような予定をスケジュール帳に書き込んだりする)。

この2つのどちらかの対応で、ユーザーに被害が発生する事は防げるはずです。


または、ユーザー側に発生する不利益は、基本的には、アカウントが削除される事に関連する被害くらいですので、「アカウントが削除されても良いように日頃から準備しておく」とう手もあります。

例えば、

・ログイン出来なくなっても、すぐに再登録できるように準備しておく。

・サイトから自分の情報が削除される事態に備え、必要な情報はダウンロードして、自分のパソコンなどに保存しておく。

など。


また、一定期間内にログインがない場合の処理を定めているサービスで、ユーザー数が多いのは交通系のサービスです(「えきねっと」等)。

しかし、そのような方針を採用していないサービスをかたったメールも送られてきています。

ですから、多くの利用者の方にとっては、「自分が利用しているサービスであっても、交通系以外のサービスから、そのような内容のメールが送られてきた場合には無視して構わない」と覚えておくのも、被害を防ぐ事に役立つでしょう。

※他にも通信会社系のサービスなどで同様の方針を採用しているサービスが存在する事は確認出来ています。この為、ご自身がそのようなサービスを利用している場合には、そのサーヒスからの通知にも気をつけるようにして下さい。


さて、ここまでの対応策は、ユーザー側で出来る対策でした。

しかし、かなりの攻撃が行われている以上、やはり、サービス提供側(企業側)での対応も望まれるところです。

具体的には、

・一定期間内にログインがないとユーザーに不利益が発生するような仕組みを改める。

・ユーザー側に送るログインを要請するメールには、URLなどのアクセス方法に関する情報は絶対に記載しない方針とし、それをユーザーにも周知しておく。

など。


ただ、これらの方針にはデメリットも存在します。

本来は、メールに関係する業界全体で、「第三者をかたったメールが送れないようにする」「第三者をかたったメールが送られても、その事をユーザーがすぐに判別できるようにする」などの仕組みが整備されていくべきなのでしょう。


※情報が盗まれた結果、どのような被害を被る事になるのか、という点については、他の攻撃と似ていますので、今回の記事では詳しく取り上げません。

※えきねっとでは、この問題に対応する為に、ログインしないと自動退会になる旨の通知(メール)を送るのを、2022年3月9日以降は止めたそうです。この方針が広がるようであれば、今後は、「定期的にログインをする」という方針での対応に一本化した上で、「ログインを要請するメールは無視する」という事を周知させるのが被害を防ぐ上で望ましいと考えられます。
https://secure.okbiz.okwave.jp/eki-net/faq/show/3422