【セキュリティ対策】恐怖!アカウントが勝手に作成された!?対処法と心構えについてシェアします

こんにちは。林です。

冬ですね。寒いですね。はい。先日、めっちゃ驚いたことがありまして。全く身に覚えのないアカウントが作成されちゃったようなんです(笑)

もうこれね、ホラー以外の何物でもないです…。すいません、ホラーは夏限定ですよね。でも起こっちゃったものは仕方ありません。

参考になることもあると思うので、情報をシェアしておきます!それと今回、いい意味で危機対応の練習ができたので、その観点でもお話してみます。

行列FPメルマガ

「アカウントが作成されました」って、なんだこのメールは!?

いつものようにご機嫌でPCに向かって仕事をしてたら、ふとある「不審」なメールを見つけまして。なんとそこには

「お客様のアカウントが作成されました」

とデカデカと書かれているではないですか!

「アカウントが作成されました」…え!?

え!?ど、ど、ど、どういうこと!?(マジでお茶吹きかけるww)

全っっっ然、身に覚えがないんですけど!?笑

っていうかこの時間、朝ごはん食べてましたけど!笑笑

その後、◯◯を設定しました!っていう呑気なメールも届いて、いやいやいやいやいや。作成もしてないし、設定なんてもっとしてないし!怖すぎる、怖すぎる!笑笑

で、ですね。ちょっと冷静になって考えまして。

もちろん最初は、詐欺かスパムを疑ったんです。でも詐欺やスパムにしては、サイトへの誘導が曖昧すぎるし、リンクを確認しても、ちゃんと公式サイトのドメインになってます。

…ということは!考えられる可能性がいくつかあって、僕が考えたのは

  1. 業者側のシステム障害などの不具合(+情報流出?)
  2. 個人情報の流出

この2つです。

1はどうしようもないのでまぁいいとして(良くはないか…)、問題は2。

個人情報が流出したのなら、どの範囲に、どれだけ流出しているのかを知っておかないと流石に怖い。場合によっては、こちらの対策が必要です。

ということで、早速電話して状況を聞いてみました(もちろん公式サイトから電話番号を調べました)。

甘いセキュリティポリシーが招いた事故?

該当業者のコールセンターに問い合わせた所、以下が判明しました。

  1. 実際にアカウントは作成されてる
  2. メールの2段階認証はしてない(←え?)
  3. したがって、誰かが間違えて作成した可能性が高い
  4. アカウントの削除はこの電話ではできない

スパム行為や嫌がらせ行為、間違いなどを防ぐために、一般にメールは2段階認証します。

2段階認証では、

  • 開設時のメールに、ワンタイムパスワードや期限付きの固有のリンクを付けて送る
  • ユーザーがそれを利用して、追加認証する

のステップが一般的ですね。

なぜこんな面倒なことをするかというと、今回のような「間違い」や「迷惑行為」を防いでくれるから。他人のメアドで登録しようとしてもそのメールは読めませんよね?なので、メールを読めない他人が2段階認証を突破することはできません。つまり、なりすましのアカウントを作成できないわけです。

カンタンな仕組みで予防効果が大きいことからほとんどの業者やサイトで導入されてます。

が、まさかの「最大手級」の業者さんが導入してなかったとは…マジか…w

早急に改善して頂けることを切に願ってます。

っていうか未だにアカウント削除できなくてメールが届き続けるのなんとかして欲しいです(泣)新手のスパムですやん(笑)

セキュリティ危機対応のいい練習に

で、今回はいい経験をさせてもらったので、ここから少しでも有益な情報に、強引に引っ張り上げてみたいと思います。笑

上記の通り、今回は事なきを得ましたが、いつなんどき、これ以上の危機に「不意に」遭遇するかは分かりません。ですので、普段からセキュリティ危機の対応意識を高めておきくのは大事なことかと。

セキュリティ危機対応のステップはこんな感じになります。

  1. メールの真偽を見極める
  2. 正しい可能性のあるメールなら、必ず「公式サイト」を調べる
  3. 状況を把握し、冷静に分析して対処法を決める

ひとつずつ見ていきますね。

メールの真偽を見極める

メールの真偽は、主にメール内にあるリンクのドメインを調べれば分かります。今回のメール内のリンクは公式サイトのドメインでしたので、少なくとも無視はできないと判断できました。

なお、メールのリンクを調べるには

「本文で表示されているリンクの文字列を信用してはいけません」

これ、めちゃくちゃ大事です。

どうやって調べるかというと、メールアプリによってまちまちなんですが、だいたいマウスをリンクに乗せる(クリックしない)だけで、リンクのURL、または関連情報がポップアップで表示されるはずです。スマホアプリなら長押しして、メニューを開けばリンクのURLが表示されることが多いと思われます。この時点では決してリンク先を開かないようにしてください!

そこに公式サイトのドメインが含まれていなければ、基本、詐欺(フィッシング)メールだと思って間違いありません。

例えばこちらのようなメール。

メルカリからの連絡を装った詐欺(フィッシング)メールの例

警告がなければ、一見メルカリ公式からのメールのように感じますが、青枠の部分に注目してください。メルカリと書いてあるものの、送信者アドレスのドメインは「gingou.net」というメルカリとは全く関係ないドメインですので、まず送信者が疑わしい。

ただし送信者アドレスは詐称できるので、ここが正常に見えても安心はできないです。よくあるのは送信アドレスも受信者のアドレス(あなたのアドレス)になっているものです。自分で自分に送っている形ですね。こうなると、迷惑メールフィルタもすり抜けてくる可能性が高まるので注意が必要です。

幸い、逆に見抜きやすくなるのでこういうのは瞬殺でゴミ箱行き。だって、自分自身にメール送ることなんてないですやん。ただ、ブログからの問い合わせなどはその形式になっている場合もあるので、個別に状況を確認してくださいね。

さてこのメールで一番危険なのは、クリックを促している下の青枠部分。メール内の文字列にはちゃんとメルカリのドメインが含まれてますので一見、正しいリンクのように見えますよね。

ですが実はこれも引っ掛け。

マウスを乗せると、文字列に隠された実際に設定された、裏の情報が読み取れます。

マウスを乗せると、メール内の表示とは異なる文字列が…

はい。本文とは関係ない、意味不明の文字列が出てきてますね。

ですので、メール内のメルカリドメインは表示だけで、実際にはフィッシングサイトに繋がる可能性が極めて高いと推測できます(怖くてやってませんがw)。

この作業を守れば、メールの真偽はほぼ確定でき、恐らく99%以上は単なる詐欺メールだと判断できてそのままゴミ箱いき、なはずです。

ただ…今回の僕のように、これを通過してしまうことも稀にあると思います。その場合は次に進みます。

正しい可能性のあるメールなら、必ず「公式サイト」を調べる

ここから先は、要は状況確認の作業なんですが、公式サイトから送られている可能性が高いなら、公式サイトに直接問い合わせるべきです。

ただし決して、メール内に表示されたサイトを訪問したりメール内の電話番号に掛けないようにしましょう。

自分で別途公式サイトを検索して、公式サイトの連絡フォームや電話番号に問い合わせます。今回僕は、公式サイトから電話番号を調べ、そこからオペレーターにつないで状況確認しました。

状況を把握し、冷静に分析して対処法を決める

不測の事態ですから、基本、頭が混乱しがちです。場合によっては頭に血が登っていることもあるかもしれません。だからこそ、意識的に冷静に対処するのが大事です。

今回僕も、問い合わせ中にちょっとムッとすることもありましたが、そもそもセキュリティ対策が緩いというだけで相手に直接非があるわけではないです。第三者が間違ったのがそもそもいけないわけですので…

ですので、公式サイトの担当者を「敵」とみなすのではなく、冷静に、協力関係だと思って対処していくのが大事ですね。

もちろん言うべきことや聞くべきことは遠慮してはいけませんが、こちらが混乱してたり、勘違いしている可能性もゼロではないので、一つ一つ、確実に状況把握していきましょう。

いや、それにしてもメールの所有者には、アカウントの削除ぐらい、させて欲しいなぁ…。メール内に削除についてお問い合わせって書いてあるのにぃ(泣)

まとめ

ということで、セキュリティ危機(メール編)の事例と対応として

  1. メールの真偽を見極める
  2. 正しい可能性のあるメールなら、必ず「公式サイト」を調べる
  3. 状況を把握し、冷静に分析して対処法を決める

についてお話しました!

こんなことは滅多に無いかと思いますが、危機対応能力を高めるための予備訓練(?)みたいなものができたと思って、前向きに捉えています。これをお読みのあなたも、危機意識を高めておいてもらえると嬉しいです!

それではまた。

プロフィール
行列FPメルマガ

コメントフォーム

名前 

 

メールアドレス 

 

URL (空白でもOKです)

 

コメント

プロフィール

こんにちは、林FP事務所代表の林健太郎です。ブログご訪問ありがとうございます。

ファイナンシャルプランナー(CFP®)、工学博士(阪大)。ライフプラン相談100世帯以上、個別の資産運用相談等を中心にFP業で収入を得ていますが、ネット集客が得意で北は北海道、南は沖縄まで日本全国に顧客を持っています。

FPは集客が難しいと言われる中、ネットだけで集客に成功しているFPはさらに少ないと思いますが、その秘密をメルマガでお伝えしています。

メルマガ詳細

プロフィール
メディア掲載実績など
FPジャーナル2018年9月号
2018年9月、日本FP協会の機関紙「FPジャーナル」(約20万部)の特集「長期x分散x積立投資を徹底検証」に林の記事が掲載されました。(→プロフィール



PHPPHPくらしラク〜る2017年12月号表紙

PHPくらしラク〜る2017年12月号・2018年1月号短期集中連載の監修をさせて頂きました。(→プロフィール



日経ヴェリタス2016-08-14

日経ヴェリタス2016年8月14日号「確定拠出年金 とことん活用術」にコメントが掲載されました。(→プロフィール



イオンカード会員誌mom 2015年12月号(30万部)に監修記事

イオンカード会員誌mom 2015年12月号(30万部)に監修記事が掲載されました。(→プロフィール



FP事務所ブログが月間16万アクセスを超えました



FP事務所メルマガ読者様が 4,000名 を超えました。



プロフィール詳細はこちら

お問い合わせ
人気記事 月間TOP10
最近の投稿